Ricordate il tutorial sull’hardening estremo di Linux che abbiamo segnalato un po’ di tempo fa? Bene, su DeveloperWorks è stata pubblicata la seconda parte, dedicata ad una configurazione un po’ particolare del kernel: seguendo i passi del tutorial saremo in grado di limitare l’esecuzione di binari sul nostro sistema, “certificando” quelli che intendiamo utilizzare ed escludendo quindi qualsiasi binario di dubbia provenienza.
Non si tratta di una lettura semplicissima ma se volete approfondire l’utilizzo di GnuPG e di DigSig non potete proprio lasciarvela scappare.
RSBAC, acronimo di Rule Set Based Access Control, è una soluzione per incrementare la sicurezza di un sistema Linux e, a grandi linee, svolge lo stesso ruolo di SELinux ( pur basandosi su teorie differenti ); recentemente è stata rilasciata una nuova versione del ramo stabile ( 1.3 ) la cui novità maggiore è sicuramente l’implementazione del caching dei file descriptor, una modifica che incrementa in maniera netta il livello prestazionale di RSBAC e che lo parta al pari delle altre soluzioni per l’hardening.
Approfittiamo di questa notizia per segnalare anche la disponibilità di mod_rsbac, un modulo per Apache che sostituisce SuExec offrendo un più alto livello di separazione dei privilegi ed una diminuzione dell’overhead normalmente generato dal forking.
[ via OSNews ]
GNU/Linux è apprezzato da tutte le categorie di utenti: i power user approfittano della sua estrema flessibilità per modificare qualsiasi cosa non sia di loro gradimento mentre gli utenti normali ne apprezzano la solidità; gestire decine di postazioni può però diventare un compito veramente gravoso per il sysadmin di turno, soprattutto in casi in cui gli utenti abbiano troppe libertà.
L’hardening di una macchina è un processo che, potenzialmente, può richiedere molto tempo, soprattutto se si vuole ottenere qualcosa di fuori dal normale, che metta in crisi anche l’attaccante più preparato; proprio per illustrare alcune varianti più estreme di questa nobile arte, IBM DeveloperWorks ha deciso di pubblicare due tutorial sull’argomento.
Un’installazione con impostazioni di default di Ubuntu è già un notevole passo avanti in termi di sicurezza rispetto a un sistema Windows XP protetto, nel migliore dei casi, dal solo firewall integrato. Tuttavia neanche Ubuntu è un sistema sicuro di default e molti sono i passi necessari per blindare la propria Linux-box.
Ecco perchè ITSecurity ha realizzato una guida passo passo per un hardening completo divisa in alcuni passi “preliminari” che vanno dalla disabilitazione dell’account root su SSH alla restrizione dei privilegi sulle home directory degli utenti, dall’installazione di patch come grsecurity e PaX per il kernel.
Terminati gli step per un rinforzamento basilare la guida passa alla descrizione di alcuni software utili per mantenere un buon grado di sicurezza passando in rassegna i più noti ed efficaci tra cui: rootkit hunter, Clam Antivirus, Firestarter, Nessus, Wireshark, Snort e TrueCrypt.
[Via | LinuxSecurity]
Ne hanno già parlato i nostri colleghi di Downloadblog ma è sempre bene ribadirlo: due nuove versioni di Wordpress sono arrivate. Si tratta della release 2.1.3 e 2.0.10. E’ importante segnalarle perchè per entrambi i rami di sviluppo si tratta di aggiornamenti di sicurezza, un tema particolarmente sentito dal team di sviluppo colpito di recente da un’intrusione sui server che ospitano Wordpress.org.
E proprio per prevenire nuovi attacchi Matthew Mullenweg ha annunciato che i server hanno subito un hardening che consentirà di avere maggior sicurezza contro script kiddies e malintenzionati. A quanto pare dopo la notizia della violazione di Wordpress.org gli attacchi e i tentativi di intrusione sono aumentati esponenzialmente…ma a detta di Matt le precauzioni prese impediranno nuove “sorprese”.
Ritornando alle due release le ccorrezioni riguardano vulnerabilità lievi di tipo Cross Site Scripting (XSS) e un bug critico in XML-RPC oltre a una ripulitura completa del codebase.
Visto che nel mio ultimo post sulla sicurezza di OpenSSH avevo solamente accennato quali fossero le direttive da seguire per ottenere una configurazione più sicura, vorrei farmi perdonare segnalandovi questo articolo su Linux.com, nel quale viene affrontato proprio il discorso dell’hardening di base; ed inoltre, visto che talvolta trascuro i lettori non angolofoni, ho pensato di sintetizzare, in italiano, il pezzo…ladies and gentleman, let the show begin
Praticamente tutti i server unix-like utilizzano il servizio SSH per permettere ai sysadmin di collegarsi in modo sicuro da remoto; sfortunatamente per questi amministratori gli attacchi ad SSH sono molto gettonati perché, se mal configurato, permette ad un intruso di ottener accesso al sistema senza destar alcun sospetto.
Non esiste una ricetta per garantire la sicurezza di un sistema. E’ necessario un impegno costante del sysadmin per garantire giorno dopo giorno un buon livello di protezione per le macchine amministrate. Certo è che per l’hardening di una Linux-box può fare molto comodo avere a portata di mano una checklist come quella pubblicata in 28 Steps on how to harden your linux server..
In 28 punti vengono forniti consigli pratici facilmente applicabili: molto spazio viene dedicato all’impostazione dei permessi sulle cartelle anche se non sono trascurati SSH, Apache e PHP.
Qualche giorno fa l’Internet Storm Center ha pubblicato una piccola guida che può interessare chi si trova giornalmente a dover gestire un web server Apache difendolo da attacchi esterni: Securing Apache/PHP.
L’autore passa in rassegna i i tool più utili che non dovrebbero mancare nella cassetta degli attrezzi di ogni sysadmin che si rispetti. Vediamoli:
Questo articolo renderà sicuramente contenti i nostri cuginetti di Ecoblog in quanto spiega come ottimizzare il proprio computer con Linux per renderlo più ecologico, o almeno per diminuirne nel possibile l’impatto con l’ambiente.
Nell’howto in questione si parla quindi di come configurare l’hibernate ed il suspend delle periferiche che non sono utilizzate, al fine di ridurre i consumi elettrici, di come modificare le ventole per ridurre rumori e vengono addirittura spiegati alcuni trucchetti per stampare più pagine in una o per riciclare la vecchia carta.
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
