Hardening di un sistema GNU/Linux

Похожие документы
Indice. Indice V. Introduzione... XI


Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)

Corso avanzato di Reti e sicurezza informatica

Terza lezione: Directory e File system di Linux

Samba: guida rapida - Guide@Debianizzati.Org

Installazione LINUX 10.0

Istruzioni per l uso del servizio VPN su sistemi Linux

Hardening di un Sistema Operativo

Protezione della propria rete

Corso Linux Corso Online Amministratore di Sistemi Linux

3. Come realizzare un Web Server

Davide Casale, Politecnico di Torino

Intel One Boot Flash Update Utility Guida dell utente

! S/Key! Descrizione esercitazione! Alcuni sistemi S/Key-aware. " Windows " Linux. ! Inizializzazione del sistema. " S = prepare(passphrase, seed)

Cosa e come installare (Definire cosa si vuole fare - Sapere cosa si può installare - Selezione dei pacchetti)

I.S. Sobrero. Dipartimento di Informatica. Utilizzo. 16/02/2007 Marco Marchisotti

Linux Server Sicuri. Introduzione ad una gestione dei server Linux Sicuri e cenni generali di difesa informatica. Di Alessio Porcacchia

Corso Amministratore di Sistema Linux Programma

L a b o I n f o r m a t i c a Assistenza Full on-site e remota.

Manuale di configurazione per iphone

Configurazione modalità autenticazione utenti sui firewall D-Link Serie NetDefend (DFL-200, DFL-700, DFL-1100)

Installare GNU/Linux

Corso GNU/Linux - Lezione 6. Davide Giunchi - davidegiunchi@libero.it

NAL DI STAGING. Versione 1.0

Corso amministratore di sistema Linux. Corso amministratore di sistema Linux Programma

Programma corsi LogX S.r.l.

Una soluzione per il backup automatico dei dati di più server non necessariamente appartenenti alla stessa rete locale

01/05/2013 Istruzioni per l installazione

CRITTOGRAFIA SSL POSTA ELETTRONICA

Easy Access 2.0 Remote Control System

Configurazione client di posta elettronica per il nuovo servizio

1) Una periferica di input è: A) il mouse B) il monitor C) la stampante

Corso di Linux. Dott. Paolo PAVAN

Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca

inetd (the Internet Superserver) Servizi di rete inetd (the Internet Superserver) inetd.conf

Sicurezza su linux... e considerazioni varie. Gianluca Antonacci giaaan@tin.it

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione Impostazioni di fabbrica Configurazione indirizzo IP e gateway 3

ATLAS 2.X IL MANAGER NON SI AVVIA

Guida per l accesso alla rete dati Wireless Windows 2000

DEFINIZIONI VM: abbreviazione di Virtual Machine (macchina virtuale).

Guida per la configurazione di un account di posta elettronica Midhgard sul programma. Mozilla Thunderbird

Fatti Raggiungere dal tuo Computer!!

Il computer: primi elementi

SICUREZZA. Sistemi Operativi. Sicurezza

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

CREATE A VPN OVER SSH WITH PPP. Hal

MODULO 02. Iniziamo a usare il computer

Riferimento rapido per l'installazione SUSE Linux Enterprise Server 11

Istruzioni per il server

Server dolphin: installazione e configurazione di un server web

Laboratorio di Informatica (a matematica)

NAS 109 Uso del NAS con Linux

Come condividere l accesso internet tramite chiavetta HSPDA di 3 (o altro operatore) con un Ipod Touch via WIFI


Prima di iniziare la procedura d installazione, verificare che siano disponibili tutte le informazioni e le attrezzature necessarie

BREVE GUIDA ALL ATTIVAZIONE DEL SERVIZIO DDNS PER DVR SERIE TMX

Servizio di Posta elettronica Certificata (PEC)

RETI INFORMATICHE Client-Server e reti paritetiche

Gli step previsti per portare a termine la configurazione della casella PEC sono:

Manuale di configurazione di Notebook, Netbook e altri dispositivi personali che accedono all Hot e di programmi per la comunicazione

ARCHIVIA PLUS VERSIONE SQL SERVER

Linux nella scuola...proviamo!

Security by example. Alessandro `jekil` Tanasi LUG Trieste. Alessandro Tanasi - alessandro@tanasi.

Linux Terminal Server Project (LTSP)

Guida per la configurazione di un account di posta elettronica Midhgard sul programma. Microsoft Outlook 2003

Configurazione client di posta elettronica per il nuovo servizio

Servizio di Posta elettronica Certificata (PEC)

Database & FreeBSD. Come configurare il sistema operativo ottimizzando le prestazioni sul DB. GufiCon#3 Milano, 12 Ottobre 2002

IPCop: un pinguino come Firewall

Creare connessioni cifrate con stunnel

Creazione e installazione di un NAS utilizzando FreeNAS

Prima di iniziare la procedura d installazione, verificare che siano disponibili tutte le informazioni e le attrezzature necessarie

2.1 Configurare il Firewall di Windows

CRITTOGRAFIA SSL POSTA ELETTRONICA

Guida per la configurazione di un account di posta elettronica Midhgard sul programma. Microsoft Outlook 2007

Procedura di installazione Linux Red Hat

Guida per la configurazione di un account di posta elettronica Midhgard sul programma. Outlook Express

Augusto Scatolini Miniguida n. 177 Ver. 1.0 Novembre 2012

SETUP DEL BIOS E CARATTERISTICHE DI SICUREZZA

Configurazione client di posta elettronica per il nuovo servizio . Parametri per la Configurazione dei client di posta elettronica

Sequenza di avvio di Linux:

Sistemi operativi e reti A.A Lezione 2

Guida all utilizzo. Versione guida: 0.1alpha No layout grafico.

1. Servizio di accesso remoto con SSL VPN

Servizio di Posta elettronica Certificata (PEC)

Транскрипт:

Hardening di un sistema GNU/Linux Gianluca P pex Minnella - Linux_Var - gianm@despammed.com

Hardening GNU/Linux Systems Hardening: è un aspetto della sicurezza informatica GNU/Linux OS - client e server Systems: il nostro PC

Hardening GNU/Linux Rendere più sicura una linux box Google.com: 183.000 hits

Hardening GNU/Linux Forte è Sicuro? Livello fisico, hardware Livello applicativo Kernel e OS Applicazioni (demoni e programmi) Livello networking

Hardening hardware Accesso al PC (fisso o portatile) I boot manager (lilo o grub) Basta premere CTRL+ALT+CANC TODO disabilitare modificando / etc/inittab Senza essere utente del pc che stiamo usando, basta fare il reboot (magari staccando la spina!) e passare i parametri al boot manager per eseguire una shell TODO inserire password nel boot manager: /etc/lilo.conf : togliere prompt e mettere password /boot/grub/menu.lst: password Chiedere la pass di root in single user mode : /etc/inittab inserire sp:s:respawn:/sbin/sulogin

Hardening hardware Accesso alle periferiche (floppy, cdrom, usb-key, boot-on-lan) al boot Con un CD-Live siamo fregati. TODO: modifica Bios Accensione della macchina (pass bios) Se si tratta di un server remoto _è_un_problema_ nel caso si volesse fare il reboot per installare un nuovo kernel Se si tratta del portatile _è_obbligatori_ averla... Basta lasciarlo in giro Se è il PC di casa? Basta portarlo al LinuxDay 2005... o a casa di amici TODO: modifica Bios, fingerprint, smartcard

OS hardening Un OS Linux appena installato _non_ è sicuro Sono necessarie una serie di attività di configurazione Installare il servizi necessari Installare le patch di sicurezza: kernel e appl Verificare i permessi del filesystem e i binari S*ID Migliorare la sicurezza del login e degli utenti Impostare/verificare la sicurezza fisica ed del boot Rafforzare il controllo dell accesso ai demoni attraverso la rete Aumentare le informazioni dei log e dell audit Configurare i software che forniscono sicurezza (IDS, host firewall)

OS hardening Politica di correzione Bug di sicurezza Il caso debian Vengono corretti i bug nei software del ramo stable e unstable Il caso Fedora Redhat enterprise Rilascio di nuove versioni del software con le correzioni Rilascio a pagamento delle security patch

OS hardening Partizionamento Tutto RO (?) Fare partizioni separate per /boot, /usr, /var, /tmp, and /home Montare le partizioni nel modo giusto In /etc/fstab: /dev/hda7 /tmp ext2 defaults,nosuid,noexec,nodev 0 2 mount o remout,exec /tmp; apt-get install pack.deb;mount o remount, nosuid,noexec,nodev /tmp Si può circuire con un semplice $/lib/ld-linux.so.2 /tmp/eseguibile Kernel hardening OpenWall http://www.openwall.com/linux/

Bastille Software automatic hardening URL: http://www.bastille-linux.org/ Attivazione: iptables, aggiornamenti OS, disabilita SUID su alcuni programmi (ping, linuxconf), scadenze password, limitazione risorse, logging system e utenti, rafforzamento apache Disattiva: servizi non sicuri r*, CTRL+ALT+CANC, banner /etc/motd, compilatore, lpr SUID, FTP Harden package (debian) harden-tools: strumenti che aumentano la sicurezza del sistema (controllo d'integrità, rilevamento delle intrusioni, patch al kernel...) harden-servers harden-clients -harden-remoteflaws - harden-localflaws harden-remoteaudit: strumenti per un controllo remoto di un sistema.

System hardening Account Strong password policy /etc/login.defs PASS_MIN_LEN, PASS_MAX_DAYS - chage SSH users AllowUsers PermitRootLogin Shell: rbash, history /etc/security/limits.conf Log Syslog: replicare i log, stamparli, remote logging Audit Accounting, logcheck, watchlog Security by obscurity: /etc/issue e /etc/issue.net Porte e banner dei demoni

System hardening Utilizzare il _meno_ possibile root IDS SUDO: visudo PAM per su : gruppo wheel auth required /lib/security/pam_wheel.so use_uid Network: snort System: tripwire, aide

System hardening daemon preferire i servizi sicuri a quelli non sicuri Telnet --> SSH FTP --> sftp POP3 --> POP3 SSL SMTP --> SMTP SSL limitare la visibilità dei servizi inetd / xinetd /etc/inetd.conf: disabilitare il superfluo (discard,daytime,time)

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back