Securing Debian Manual
Appendice B - Verifica della configurazione

Quest'appendice riporta brevemente estratti dalle altre sezioni di questo manuale, condensati in un elenco (in seguito "checklist" N.d.T. ). La funzione di questa checklist è di fornire un rapido sommario per chi ha già letto il manuale. Ci sono altre buone checklist disponibili, incluso il Kurt Seifried's Securing Linux Step by Step e il CERT's Unix Security Checklist.

FIXME: Questa checklist è basata sulla versione 1.4 del manuale e potrebbe aver bisogno di essere aggiornata.

• Limitate le capacità di avvio e di accesso fisico
  • Abilitate la password del BIOS
  • Disabilitate l'avvio da floppy/cdrom/ ...
  • Impostate una password per GRUB o LILO (/etc/lilo.conf o /boot/grub/menu.lst, rispettivamente); verificate che i file di configurazione di LILO o GRUB siano protetti da scrittura.
  • Disabilitate l'avvio del MBR da floppy, sovrascrivendo l'MBR. (o forse no?)

• Partizionamento
  • Separate i dati scrivibili dagli utenti, i dati non di sistema e i dati run-time che cambiano velocemente, in partizioni distinte.
  • Impostate le opzioni di mount nosuid,noexec,nodev in /etc/fstab per le partizioni ext2 come /tmp.

• Accuratezza delle password e sicurezza in login
  • Impostate una buona password di root
  • Abilitate il password shadowing e l'MD5
  • Installate ed utilizzare PAM
    • Aggiungete il supporto per MD5 a PAM e assicuratevi che (in generale) le voci nel file /etc/pam.d/, che garantiscono l'accesso alla macchina, abbiano il secondo campo nel file pam.d impostato a requisite or required.
    • Modificate /etc/pam.d/login in modo che permetta solamente login root locali.
    • Inoltre segnate le tty:s autorizzate nel file /etc/security/access.conf e configurate in modo generale il file affinché le login da root siano limitate il più possibile.
    • Aggiungete pam_limits.so se volete impostare un limite per ciascun utente
    • Modificate /etc/pam.d/passwd: aumentate la lunghezza minima delle passwords (6 caratteri probabilmente) e abilitate l'MD5
    • Aggiungete il gruppo wheel a /etc/group se lo desiderate; aggiungete la voce pam_wheel.so group=wheel in /etc/pam.d/su
    • Per personalizzare i controlli relativi a ciascun utente, usate un'apposita voce pam_listfile.so dove appropriato
    • Create un file /etc/pam.d/other e configuratelo con un'alta sicurezza (N.d.r. tight security)
  • Impostate i limiti /etc/security/limits.conf (notate che /etc/limits non viene utilizzato se si usa PAM)
  • Limitate i permessi al file /etc/login.defs; inoltre, se avete abilitato MD5 e/o PAM, assicuratevi di fare i cambiamenti corrispondenti
  • Disabilitate l'accesso root via ftp in /etc/ftpusers
  • Disabilitate l'accesso root alla rete; usate su(1) oppure sudo(1). Considerate l'opportunità di installare sudo
  • Usate PAM per rendere più sicuri gli accessi con login?

• Altri suggerimenti sulla sicurezza locale
  • Adattamenti del kernel (vedete in Configurare le caratteristiche di rete del kernel, Sezione 4.17.1)
  • Patch per il kernel (vedete in Includere le patch nel kernel, Sezione 4.13)
  • Rendete più restrittivi i permessi ai file di log (/var/log/{last,fail}log, i log di Apache)
  • Verificate che il controllo SETUID sia abilitato in /etc/checksecurity.conf
  • Considerate la possibilità di rendere alcuni file di log append-only e alcuni file di configurazione immutabili con il comando chattr (solo per il file system ext2)
  • Configurate il controllo sull'integrità dei file (vedete in Controllare l'integrità del file system, Sezione 4.16.3). Installate debsums
  • Considerate la possibilità di sostituire locate con slocate
  • Loggare tutto su una stampante locale?
  • Scrivere su un CD avviabile la propria configurazione e fare il boot da CD?
  • Disabilitare i moduli del kernel?

• Limitate l'accesso alla rete
  • Installate e configurate ssh (si suggerisce di impostare a No le voci PermitRootLogin e PermitEmptyPasswords nel file /etc/ssh/sshd_config; notate anche gli altri suggerimenti nel testo)
  • Considerate la possibilità di disabilitare o rimuovere in.telnetd
  • In linea di massima, disabilitate i servizi inutili in /etc/inetd.conf usando update-inetd --disable (oppure disabilitate inetd completamente, o ancora usate un sostituto come ad esempio xinetd o rlinetd)
  • Disabilitate altri servizi di rete inutili; mail, ftp, DNS, WWW ecc. non dovrebbero essere eseguiti se non sono necessari e peraltro, tenuti regolarmente sotto controllo
  • Per i servizi di cui avete bisogno, non vi limitate ad usare i programmi più comuni ma cercatene versioni più sicure contenute all'interno di Debian (o di altre fonti). Qualsiasi cosa finiate per eseguire, assicuratevi di capirne i rischi
  • Impostate gabbie chroot per utenti e demoni esterni
  • Configurate firewall e tcpwrappers (per esempio hosts_access(5)); notate il trucco per /etc/hosts.deny nel testo
  • Se eseguite ftp, impostate il server ftpd per essere eseguito sempre in chroot alla home directory dell'utente
  • Se usate X, disabilitate l'autenticazione xhost ed usate ssh come sostituto; ancora meglio, disabilitate, se possibile, la possibilità di loggarsi in X da remoto (aggiungete -nolisten tcp alla riga di comando di X e disabilitate XDMPC nel file /etc/X11/xdm/xdm-config impostando a 0 la requestPort)
  • Disabilitate l'accesso dall'esterno alle stampanti
  • Effettuate il tunneling di qualsiasi sezione POP o IMAP attraverso SSL o ssh; installate stunnel se volete fornire questo servizio agli utenti remoti del servizio e-mail
  • Impostate un log host e configurate tutti gli altri host a mandare i log a questo host (/etc/syslog.conf)
  • Rendete sicuri BIND, Sendmail e altri demoni complessi (eseguiteli in una gabbia chroot; eseguiteli come pseudo-utente non-root)
  • Installate snort o un simile strumento di logging
  • Se possibile, fate a meno di NIS ed RPC (disabilitate portmap)

• Documenti sulle politiche adottate
  • Educate gli utenti a comprendere i perché ed i come delle vostre politiche. Quando proibite qualcosa che è regolarmente disponibile su altri sistemi, fornite documentazione che spieghi come raggiungere i risultati voluti utilizzando altri mezzi più sicuri
  • Proibite l'uso di protocolli che usano password in chiaro (telnet, rsh e simili; ftp, imap, http, ...)
  • Proibite i programmi che usano SVGAlib
  • Usate la gestione delle quote disco

• Tenetevi informati circa le notizie riguardanti la sicurezza
  • Iscrivetevi a mailing list di sicurezza
  • Configurate apt per gli aggiornamenti di sicurezza; aggiungete al file /etc/apt/sources.list una riga per http://security.debian.org/debian-security
  • Ricordatevi di eseguire periodicamente apt-get update ; apt-get upgrade (potreste farlo eseguire a cron) come spiegato in Eseguire un security update, Sezione 4.2

Securing Debian Manual