Securing Debian Manual
Appendice A - Il processo di blindatura passo-passo

Di seguito è riportata una procedure passo-passo, post-installazione, per blindare un sistema Debian GNU/linux 2.2. Questo è un possibile approccio a tale procedura ed è orientato a blindare i servizi di rete. È incluso al fine di mostrare l'intero processo che potrebbe essere usato durante la configurazione. Vedete in Verifica della configurazione, Appendice B.

• Installate il sistema, tenendo in considerazione le informazioni che riguardano il partizionamento incluse precedentemente in questo documento. Dopo l'installazione di base, andate alla configurazione personalizzata. Non selezionate i pacchetti dei servizi. Selezionate le password shadow.

• Utilizzando dselect, rimuovete tutti i pacchetti selezionati ma non necessari prima di effettuare l'installazione con il comando [I]nstall. Mantenete il minimo numero di pacchetti per il sistema.

• Aggiornate tutti i programmi dal più recente pacchetto disponibile da security.debian.org come spiegato precedentemente in Eseguire un security update, Sezione 4.2.

• Applicate i suggerimenti presentati in questo manuale al riguardo delle quote utente, definizioni di login e lilo.

• Compilate una lista di servizi attivi al momento sul sistema. Eseguite:

         $ ps -aux
         $ netstat -pn -l -A inet 
         # /usr/sbin/lsof -i | grep LISTEN
  

  In questo caso è necessario installare lsof-2.2 per avere a disposizione il comando (che lavorerà da root). Dovreste fare attenzione che lsof potrebbe tradurre il termine LISTEN secondo le vostre impostazioni locali.

• Per rimuovere i servizi non necessari, determinate inizialmente quale pacchetto fornisca il servizio e come si avvii. Questo può essere ottenuto controllando quali programmi ascoltano su di un socket. Il seguente script di shell, che utilizza i programmi lsof e dpkg, fa proprio questo:

         #!/bin/sh
         # FIXME: this is quick and dirty; replace with a more robust script snippet
         for i in `sudo lsof -i | grep LISTEN | cut -d " " -f 1 |sort -u` ; do
       	  pack=`dpkg -S $i |grep bin |cut -f 1 -d : | uniq`
       	  echo "Service $i is installed by $pack";
       	  init=`dpkg -L $pack |grep init.d/ `
       	  if [ ! -z "$init" ]; then
       		   echo "and is run by $init"
       	  fi
         done
  

• Una volta avete individuato un qualsiasi servizio che non volete fornire, rimuovete il pacchetto che lo genera (con dpkg --purge), o disabilitate la partenza automatica del servizio all'avvio del sistema utilizzando update-rc.d (vedete in Disabilitare i servizi attivi in modalità demone, Sezione 3.6.1).

• Per i servizi avviati da inetd (lanciati tramite il superdemone), verificate che i servizi siano abilitati in /etc/inetd.conf, utilizzando:

         $ grep -v "^#" /etc/inetd.conf | sort -u
  

  Per disabilitare quei servizi che non desiderate, è necessario commentare le linee che li avviano in /etc/inetd.conf, altrimenti, rimuovere il pacchetto che fornisce il servizio, o utilizzare update-inetd.

• Se avete servizi wrapped (quelli che usano /usr/sbin/tcpd), verificate che i file /etc/hosts.allow e /etc/hosts.deny siano configurati in accordo con la vostra politica di sicurezza.

• Se il server usa più di una interfaccia con l'esterno, in funzione del servizio, potreste voler limitare il servizio all'ascolto su una specifica interfaccia. Per esempio, se si volesse un accesso FTP esclusivamente dall'interno, fate in modo che il demone FTP sia in ascolto solo sull'interfaccia di gestione e non su tutte le interfacce (p.e. 0.0.0.0:21).

• Riavviate la macchina, o commutate sulla modalità monoutente e quindi tornate a quella multiutente, utilizzando i comandi:

         $ init 1
         (....)
         $ init 2
  

• Controllate i servizi adesso disponibili e se necessario, ripetete i passi appena esposti.

• Ora installate i servizi che ritenete necessari, se non avete già agito così e configurateli appropriatamente.

• Usate il seguente comando da shell, per determinare con quale identità ogni servizio disponibile sta girando:

         $ for i in `/usr/sbin/lsof -i |grep LISTEN |cut -d " " -f 1 |sort -u`; \
         > do user=`ps -ef |grep $i |grep -v grep |cut -f 1 -d " "` ; \
         > echo "Service $i is running as user $user"; done
  

  Valutate l'opportunità di modificare questi servizi associandoli a specifici utenti/gruppi mediante gabbie chroot per avere maggior sicurezza. Potete farlo modificando lo script /etc/init.d che avvia il servizio. La maggior parte dei servizi in Debian usano start-stop-daemon che ha l'opzione (--change-uid e --chroot) per apportare le modifiche di cui sopra. Alcuni avvertimenti al riguardo dei servizi in chroot: potrebbe essere necessario mettere tutti i file installati dal pacchetto (usando dpkg -L) che fornisce il servizio, così come tutti i pacchetti da cui esso dipende, in un ambiente di tipo chroot. Le informazioni per configurare un ambiente chroot per il programma ssh possono essere trovate in Ambiente Chroot per SSH, Appendice G.

• Ripetete i passi summenzionati al fine di verificare che girino i soli servizi desiderati e che essi stiano girando con la desiderata combinazione utente/gruppo.

• Verificate i servizi installati per controllare che funzionino come avete previsto.

• Controllate il sistema con un rilevatore di vulnerabilità (come nessus), al fine di determinare le vulnerabilità nel sistema (p.e. errate configurazioni, servizi vecchi o non necessari).

• Installate rilevatori di intrusioni su macchine e su reti come snort e logsentry.

• Ripetete la sequenza dell'esame della rete e verificate che i sistemi di rilevamento delle intrusioni stiano funzionando correttamente.

Le persone realmente paranoiche dovrebbero valutare anche quanto segue:

• Aggiungete funzionalità di "firewall" al sistema, accettando connessioni in ingresso solo per servizi offerti e limitando le connessioni uscenti alle sole autorizzate.

• Ricontrollare l'installazione con una nuova verifica di vulnerabilità usando uno "scanner" di rete.

• Usando un rilevatore di rete, controllate le connessioni uscenti dal sistema verso una macchina esterna e verificate che nessuna connessione trovi il modo di uscire.

FIXME: questa procedura si occupa della blindatura dei servizi, non della blindatura di sistemi a livello utente, includendo le informazioni per controllare i permessi utente, i file SETUID e il congelamento dei cambiamenti del sistema utilizzando il filesystem ext2.

Securing Debian Manual