| Red Hat Linux 7.1: Official Red Hat Linux Reference Guide | ||
|---|---|---|
| Indietro | Capitolo 7. Compendio sulla sicurezza di Red Hat Linux | Avanti |
È sempre possibile dividere gli approcci al problema della sicurezza in due tipi: attivo o passivo. Un approccio attivo verso la sicurezza comprende tutte le azioni compiute per prevenire una falla nel vostro modello di sicurezza del sistema. Un approccio passivo invece comprende le azioni compiute per controllare la sicurezza del sistema basandosi sul modello di sicurezza.
Tutti gli utenti dovrebbero utilizzare entrambi gli approcci, poiché si rafforzano a vicenda. Il fatto di scoprire, grazie alle registrazioni del server, che un particolare utente sta cercando di penetrare nel vostro sistema (approccio passivo) può indurvi a installare un'applicazione per impedirgli di arrivare al prompt del login (approccio attivo). Allo stesso modo, il fatto che non usiate le password shadow per proteggere il vostro sistema (approccio attivo), può indurvi a modificare i file chiave del vostro sistema con l'utilizzo di un tool come Tripwire (approccio passivo). Per maggiori informazioni su Tripwire, consultate Capitolo 10.
Red Hat Linux contiene numerosi strumenti per aiutarvi con l'implementazione di entrambi gli approcci verso la sicurezza. Tuttavia, per impedire una dipendenza eccessiva dagli strumenti che proteggono il sistema, è di fondamentale importanza l'uso corretto dei metodi con ogni tipo di approccio.
La maggior parte dei tool per garantire la sicurezza di Red Hat Linux ha la funzione di proteggere attivamente il sistema. Sono qui elencati alcuni dei tool open source più comuni e utili:
Utility shadow — una serie di tool per gestire gli utenti e i gruppi locali su un sistema che usa password cifrate.
Kerberos 5 — un sistema sicuro che fornisce servizi di autenticazione di rete. Impedisce l'uso di password ovvie trasmesse su una rete per accedere a servizi Per maggiori informazioni relative a Kerberos 5, consultate il Capitolo 9.
OpenSSL — vi aiuta a proteggere numerosi servizi che supportano le operazioni su un livello di crittografia. Per maggiori informazioni su OpenSSL, consultate la Official Red Hat Linux Customization Guide.
OpenSSH — una serie di utility che possono sostituire facilmente tool tanto diffusi quanto poco sicuri come telnet e ftp con tool potenti e sicuri come ssh e scp. Per maggiori informazioni su OpenSSH, consultate la Official Red Hat Linux Customization Guide.
Sono elencati qui di seguito le azioni che supportano un approccio attivo:
Limitare il numero degli utenti che possono eseguire i comandi come root — un'alta percentuale di tutti i problemi di sicurezza derivano, almeno in modo indiretto, da utenti che conoscono la password di root oppure autorizzati tramite sudo a eseguire comandi al livello di root.
Sapere quali software sono installati sul vostro sistema e rimanere aggiornati sulla scoperta di nuove "falle" nel sistema — se infatti non sapete quali pacchetti sono installati sul vostro sistema, non potrete tenervi aggiornati e se non controllate le fonti di informazione, come Red Hat Network non saprete mai se dovete aggiornare i pacchetti.
Limitare al minimo i servizi in esecuzione sul sistema — in sostanza, più servizi avete, maggiore è il pericolo di un accesso non autorizzato. Risparmiate le risorse di sistema (e il problema di mantenere servizi che non usate) e rimuovete i pacchetti che non usate. Infine, eseguite un tool come ntsysv per impedire che servizi non necessari vengano attivati all'avvio del sistema. Vedere la sezione Controllo dell'accesso ai servizi nella Official Red Hat Linux Customization Guide.
Richiedere agli utenti di creare password sicure e di modificarle spesso — la maggior parte dei problemi di sicurezza sono causati da accesso non autorizzato al sistema. Si può ridurre questo rischio richiedendo agli utenti di utilizzare metodi di sicurezza attivi per proteggere le loro "chiavi" al vostro sistema.
Assicurarsi che i permessi ai file non siano aperti quando non è necessario — quasi nessun file dovrebbe essere modificabile da tutti.
Sebbene la maggior parte dei tool per Red Hat Linux siano ideati per un approccio attivo, esistono alcuni strumenti che rendono la sicurezza passiva un "fardello" amministrativo meno pesante:
Tripwire — un'applicazione ideata per avvertirvi se i file e le directory di sistema specificati sono stati modificati. In questo modo saprete se utenti non autorizzati hanno accesso al vostro sistema o se utenti autorizzati effettuano modifiche non necessarie a file importanti. Per maggiori informazioni su Tripwire, consultate il Capitolo 10.
COPS — una serie di tool per la sicurezza ideati per numerose funzioni, dal controllo delle porte aperte su un host specifico alla verifica delle password utente facilmente individuabili.
Qui di seguito sono elencati i metodi che supportano un approccio passivo alla sicurezza:
Effettuare controlli sistematici dei log di sistema — Red Hat Linux è impostato di default per raccogliere una quantità enorme di dati utili nei log di sistema che si trovano nella directory /var/log, soprattutto nel file messages. Un'attività semplice eseguita come utente root, per esempio la stringa grep "session opened for user root" /var/log/messages | less, vi consente di effettuare una verifica parziale del vostro sistema e di controllare chi sta accedendo al sistema come root. Ciò vi consente, per esempio, di ridurre velocemente il numero di utenti possibili che potrebbero aver modificato un determinato file modificabile solo da root, paragonando l'ora in cui il file in questione è stato modificato con l'ora dei vari login contenuta nel file /var/log/messages. Comunque, ricordatevi che questo metodo non è infallibile, perché chi ha l'autorizzazione a modificare un file di sistema tanto importante, probabilmente ha anche i permessi per modificare il file /var/log/messages e cancellare così le proprie tracce.