[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: R: [Slackit.org] 2 domande sulla sicurezza
|
From: |
insomniac |
|
Subject: |
Re: R: [Slackit.org] 2 domande sulla sicurezza |
|
Date: |
Wed, 11 May 2005 23:01:18 +0200 |
Paranoico? Qualcuno ha detto "paranoico"? :) Se di paranoia si tratta,
non posso non rispondere :)
Comunque gli attacchi principali (è riduttivo, ma passatemelo) da remoto
avvengono sfruttando le vulnerabilità dei servizi offerti. Diretta
conseguenza: meno servizi offri, meno rischi corri, almeno da questo
punto di vista (sto ignorando volutamente attacchi remoti di altro
tipo). Una buona idea è quella di controllare le porte che lasci aperte
al mondo, magari con un netstat -npltu (-n, output numerico, -p,
mostra programma che binda la socket, -l, mostra le socket in listen, -t
e -u, mostrano le socket per i protocolli TCP e UDP). Come già suggerito
puoi usare delle ACL (access control list, ossia delle regole per un
filtraggio granulare degli accessi), mettendo mano a /etc/hosts.allow,
/etc/hosts.deny, iptables e compagni. Oppure lanciare i demoni che ti
servono on-demand, ossia quando questo si renda necessario (uno dei
metodi più semplici è uno knock daemon; per maggiori informazioni cerca
queste parole su google o su sourceforge). Parlavi di dialup, ma anche
di connessioni permanenti: non posso non consigliarti l'utilizzo di reti
private virtuali (VPN; vedi ad esempio openvpn o tinc), soprattutto nel
caso in cui tu abbia bisogno di un elevato controllo sugli accessi
(Chi? Come? Quando? E soprattutto non in chiaro --la crittografia è una
gran cosa). In uno scenario del genere puoi permetterti di bindare i
servizi solo sulle interfacce private, e in questo modo solo chi da i
corretti certificati può avere accesso alle tue macchine, tutto questo,
come detto prima, preferibilmente crittografato.
La paranoia ti farà venire tante idee migliori e meno scontate, ma credo
ci sia qualche spunto interessante per cominciare.
Ah, dimenticavo. Meno informazioni hanno su di te, più dovranno
faticare per comprometterti la rete. Leggi: togliere i banner dai
daemon, cambiare le porte di default per evitare i mass-scan, o peggio
ancora (paranoia!) emulare stack di rete diversi da quello del tuo OS :)
insomniac
On Wed, 11 May 2005 10:02:13 +0200
"Mormile, Francesco" <address@hidden> wrote:
> > Un attacco brute force. Io ne ricevo quotidianamente. I suggerimenti
> > che ti posso dare sono:
> > 1) tenere ssh aggiornato
> > 2) usare una porta diversa dalla 22
> > 3) limitare l'accesso a certi indirizzi (/etc/hosts.allow(?))
> > 4) firewall
>
> Io aggiungerei anche:
> 1) visto che sei in dial-up magari non hai necessita' di tenere sshd
> in ascolto (o magari puoi attivarlo solo all'occorrenza) 2) lo stesso
> per tutti gli altri servizi, inetd di slack all'installazione lascia
> svariate porte il listen, dai un occhio ad /etc/inetd.conf e commenta
> all'occorrenza cio' che vuoi chiudere (il consiglio di un paranoico e'
> commenta tutto e restarta inetd) 3) Pensare di utilizzare portsentry
> non e' una cattiva idea 4) Un paio di buone righe di iptables possono
> cambiarti la vita;)