SlideShare a Scribd company logo

Linux Security Hardening - panoramica sui principi generali per la riduzione delle superfici di attacco

Marco Ferrigno
Marco Ferrigno

Indipendentemente dalla tipologia di dispositivo utilizzato (mobile/desktop/server), uno dei pre-requisiti fondamentali per una sana gestione dei propri dati è la mitigazione del rischio e la riduzione delle superfici esposte a potenziali attacchi. Il nostro approccio quindi non si limiterà ad una serie di suggerimenti e tecniche da applicare - sia in ambito domestico che enterprise - ma ad un'analisi approfondita di diverse tipologie di attacco ed eventuali contromisure.

Technology
1 of 23
Download to read offline
A cura di Marco Ferrigno Linux Security Hardening panoramica sui principi generali per la riduzione delle superfici di attacco LinuxDay Napoli 2015 #ldna15 || @marco_ferrigno
Prerequisiti: attitudine mentale alla sicurezza (non solo informatica) aver visto Mr.Robot Cosa impareremo: Metodo (giusto qualche contenuto tecnico) modus operandi Propedeuticità ed obiettiviPropedeuticità ed obiettivi
Perché sono cosi forti:Hardening: definizioneHardening: definizione In informatica, è definito hardening (indurire, temprare) quel processo il cui obiettivo è quello di proteggere un sistema riducendo la sua superficie di vulnerabilità. Maggiori sono i servizi che il sistema offre, maggiore è la superficie di vulnerabilità sfruttabile per un potenziale attacco. In linea di principio, quindi, un sistema a singola funzione risulta più sicuro di qualunque altro sistema (o quasi ...)
Perché sono cosi forti:Perchè GNU/Linux?Perchè GNU/Linux? Sebbene in configurazione standard sia un sistema molto più sicuro di diversi competitor, risulta comunque necessario (e intellettualmente stimolante, imho) riuscire a renderlo ancora più sicuro; indipendentemente dall'ambito di utilizzo
Perché sono cosi forti:Hardening Linux DesktopHardening Linux Desktop Gli attacchi nei confronti dei convenzionali (e diffusi) computer desktop sono in costante aumento. Anche se esiste un numero inferiore di malware operanti su piattaforma GNU/Linux rispetto agli altri sistemi operativi, è superficiale (nonché stupido) credere di essere al sicuro! In un contesto espressamente linux-oriented si parla di rootkit quando un software malevolo è progettato e programmato con lo scopo di guadagnare l'accesso come utente root Indipendentemente da ciò (e dalla distribuzione scelta) sono molti i software stand-alone esposti a potenziali attacchi.
Perché sono cosi forti:Hardening Linux DesktopHardening Linux Desktop Un buon inizio: ClamAV: progettato espressamente per il rilevamento e l'eliminazione di malware e trojan. Interessante il comando freshclam che permette l'upgrade del db contenente tutte le info sui virus in circolazione. RkHunter: valido strumento contro i rootkit, sniffer e bugs Comandi chiave: - rkhunter update - rkhunter ­c (o rkhunter –check; accompagnato magari da uno ­skip­ keypress)
Perché sono cosi forti:Hardening Linux DesktopHardening Linux Desktop L'utente desktop ha solitamente poco interesse nel verificare quali parametri (nella maggior parte dei casi, fondamentali) siano stati modificati all'interno della propria macchina … Tiger: esamina una serie di parametri fondamentali come: passwd, gestione gruppi, utenti, gestione hosts, PATH, sintassi cron, servizi in avvio, gestione e integrità del filesystem … verificandone correttezza e riportando eventuali modifiche in /var/log/tiger/
Perché sono cosi forti:Hardening Linux DesktopHardening Linux Desktop Firewall Le distro GNU/Linux dispongo già di un firewall interno e di strumenti adatti alla loro gestione. Al di là del loro uso lato terminale, è possibile semplificare il tutto con comode interfacce grafiche. Un esempio su tutti è Uncomplicated Firewall e la sua GUI (gufw)
Perché sono cosi forti:Hardening Linux DesktopHardening Linux Desktop Backup e ripristino Attualmente molte distribuzioni prevedono soluzioni di disaster recovery, vere e proprie suite che comprendono sia software di backup che di ripristino. Uno strumento interessante è senz'altro duplicity, basato su rsync, la cui caratteristica è quella di creare backup cifrati ed efficienti in termini di banda. Per rendere le cose ancora più immediata per l'utente desktop, deja­dup fornisce una comoda interfaccia grafica a duplicity
Perché sono cosi forti:Hardening Linux DesktopHardening Linux Desktop Aggiornamento costante (e consapevole!) Molti attacchi vs le nostre postazioni vengono lanciati da attacker che hanno avuto modo di appurare la presenza o meno di vulnerabilità legate al sistema operativo o ad altri programmi in esecuzione su di esso. La community crea le opportune patch che vengono messe a disposizione degli utenti tramite delle funzioni built-in che avvisano la presenza degli aggiornamenti
Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Siano essi utilizzati in produzione o in fase di test, una infrastruttura server rappresenta l'obiettivo preferito di un potenziale attacker. Uno dei compiti fondamentali del sistemista è quindi quello contrastare gli attacchi esterni riducendo la superficie di vulnerabilità afferente alla propria infrastruttura. Punti chiave: gestire le sessioni remote configurare ad hoc il firewall configurare ad hoc un ids
Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Premessa: Molti dei concetti inerenti la sicurezza di base si applicano sia in ambito desktop che in ambito server. Ciò che cambia è il modo in cui questi concetti vengono applicati. Per impostazione predefinita, una macchina (ed un sistema operativo) desktop richiede una configurazione minima e ha in sé un gran numero di applicazioni pronto uso per l'utente (genericamente consumatore) Al contrario, una macchina (ed un sistema operativo) server ha come presupposto limitare al minimo i livelli di accesso e di usabilità Parola chiave: pianificazione Determinare la funzione del server Limitare a zero l'installazione di software aggiuntivo GUI or NOT GUI
Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Secure Shell (ssh) ssh consente ad un utente la connessione remota ad un'altra macchina. Gli amministratori di sistema usano costantemente ssh per accedere ai loro server da un computer remoto. Anche se ssh fornisce un ottimo livello di sicurezza, è possibile fare ancora di più! Cambio del numero di porta (22, di default), ma è una modifica utile solo contro gli script kiddies! Negare accesso come root. Creazione di una whitelist per utenti e gruppi. Knockd: permette di nascondere l'esistenza di un accesso ssh (insieme di parole chiave da inviare ad una serie di porte)
Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Regole del firewall Iptables strumento per il filtraggio di pacchetti. Potenzialità elevate Massima personalizzazione Possibilità di costruire infrastrutture complesse  La completa comprensione dei protocolli di rete aiuta molto!
Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Monitoraggio del sistema Si rende necessario istituire un sistema di monitoraggio per rilevare se un attacco contro il server ha avuto luogo. Analizziamo due strumenti interessanti: tripwire e logwatch Tripwire verifica l'integrità di files e directory segnalando eventuali anomalie attraverso un log dedicato oppure via mail; Logwatch aiuta a controllare i vari log di sistema evitando di collegarsi via ssh, in quanto essi vengono spediti via mail (necessita quindi di un server di posta elettronica in uscita, smtp)
Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Utenti e gruppi: la gestione dei permessi La colonna dei permessi mostrati tramite terminale contiene 10 lettere: Il primo spazio indica la tipologia dell'elemento (directory, link, file) I permessi per 3 gruppi distinti (utente, gruppo, altri utenti) Strumenti chiave: chmod – permessi su utenti chown – cambio dell'utente proprietario chgrp – cambio del grupp
Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Chroot permette di "imprigionare" un utente in una radice diversa da quella che il kernel usa realmente (/). Definiamo in primo luogo una serie di domande che ci consentiranno di svolgere più facilmente il nostro lavoro: 1. Cosa vogliamo consentire all'utente ? 2. A chi è destinata la shell ? 3. Quanti utenti dovrà contenere l'ambiente chroot ? 4. Che genere di restrizioni vogliamo applicare ?
Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Crittografia Processo di cifratura che rende dei dati illeggibili a chi non possiede la chiave per ricrearli nella loro forma originale. È possibile cifrare un intero disco rigido o le partizioni del disco. Consigli utili: crittografare una directory che contiene informazioni sensibili!! ecryptfs - utility per cifrare il disco Recupero dati In caso di emergenza, potrebbe essere necessario recuperare i dati crittografati. È possibile farlo automaticamente facendo in modo che il disco rigido è montato, e poi aprire il terminale. encryptfs­recover­private
Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Ulteriori misure di sicurezza: tutto in PIÙ password Password BIOS / EFI E non dimentichiamo: Configurar{lo} per disabilitare il boot da dispositivi esterni Password GRUB E /boot …!?
Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Ulteriori misure di sicurezza Partizionamento: scelte ponderate! Minimizzare i pacchetti in esecuzione Un comando utile chkconfig ­­list  | grep '3:on' Controllare la lista delle porte aperte { netstat } Un'idea non da poco: disabilitare l'accesso a periferiche usb! Creare un file come ‘/etc/modprobe.d/no­usb‘ E scriverci install usb­storage /bin/true
Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Ulteriori misure di sicurezza SELinux Security-Enhanced Linux è un meccanismo di sicurezza di controllo di accesso obbligatoria prevista nel kernel. Disabilitare è sconsigliato, ma ...
Perché sono cosi forti:Una distro a caso: Qubes OSUna distro a caso: Qubes OS È una distro GNU/Linux basata su Fedora la cui filosofia si basa su un concetto “semplice” security by isolation Utilizza i meccanismi tipici della paravirtualizzazione (XEN) per mandare in esecuzione le applicazioni lanciate. la magia Tenta di coniugare due concetti contraddittori: - riduzione al minimo della quantità di fiducia (necessaria per isolare le istanze) - esecuzione di applicativi desktop oriented
Perché sono cosi forti:contatticontatti Marco Ferringo - @marco_ferrigno - Research and consultant in computer scurity and system enginnering - IT Infrastructure Engineer e IT Security Manager per il progetto Programma il Futuro (MIUR-CINI) - Developer of the Italian Debian GNU/Linux HowTos - SailfisOS Early Adopter - NaLUG (Napoli Linux Users Group) member (atto finale!) - ICTTF (International Cyber Threat Task Force) member - Supporter @ Digital Champions Napoli - http://marcoferrigno.wordpress.com - mailto: marcoferrigno@cryptolab.net

Recommended

Introducao ao Neuromarketing
Introducao ao NeuromarketingIntroducao ao Neuromarketing
Introducao ao Neuromarketing
neuronioweb
 
Projet d’animation médiathèque
Projet d’animation médiathèqueProjet d’animation médiathèque
Projet d’animation médiathèquecharunwt
 
Quiz de informatica básica
Quiz de informatica básicaQuiz de informatica básica
Quiz de informatica básica
Luciene Lima Alves
 
Ihc2016.2 aula 2 design centrado no usuário e processos de design
Ihc2016.2 aula 2 design centrado no usuário e processos de designIhc2016.2 aula 2 design centrado no usuário e processos de design
Ihc2016.2 aula 2 design centrado no usuário e processos de design
Ticianne Darin
 
Livro manual-do-biomedico
Livro manual-do-biomedicoLivro manual-do-biomedico
Livro manual-do-biomedicoPéricles M Silva Miguel
 
SEAC: Um Simulador Online para Ensino de Arquitetura de Computadores
SEAC: Um Simulador Online para Ensino de Arquitetura de ComputadoresSEAC: Um Simulador Online para Ensino de Arquitetura de Computadores
SEAC: Um Simulador Online para Ensino de Arquitetura de Computadores
Eduardo de Lucena Falcão
 
Signalétique Biblliothèque Universitaire d'Angers BUA
Signalétique Biblliothèque Universitaire d'Angers BUASignalétique Biblliothèque Universitaire d'Angers BUA
Signalétique Biblliothèque Universitaire d'Angers BUA
Nathalie Clot
 
Aula 3: Introdução a sistema de arquivos
Aula 3: Introdução a sistema de arquivosAula 3: Introdução a sistema de arquivos
Aula 3: Introdução a sistema de arquivos
camila_seixas
 

Recommended

Introducao ao Neuromarketing
Introducao ao NeuromarketingIntroducao ao Neuromarketing
Introducao ao Neuromarketing
neuronioweb
 
Projet d’animation médiathèque
Projet d’animation médiathèqueProjet d’animation médiathèque
Projet d’animation médiathèquecharunwt
 
Quiz de informatica básica
Quiz de informatica básicaQuiz de informatica básica
Quiz de informatica básica
Luciene Lima Alves
 
Ihc2016.2 aula 2 design centrado no usuário e processos de design
Ihc2016.2 aula 2 design centrado no usuário e processos de designIhc2016.2 aula 2 design centrado no usuário e processos de design
Ihc2016.2 aula 2 design centrado no usuário e processos de design
Ticianne Darin
 
Livro manual-do-biomedico
Livro manual-do-biomedicoLivro manual-do-biomedico
Livro manual-do-biomedicoPéricles M Silva Miguel
 
SEAC: Um Simulador Online para Ensino de Arquitetura de Computadores
SEAC: Um Simulador Online para Ensino de Arquitetura de ComputadoresSEAC: Um Simulador Online para Ensino de Arquitetura de Computadores
SEAC: Um Simulador Online para Ensino de Arquitetura de Computadores
Eduardo de Lucena Falcão
 
Signalétique Biblliothèque Universitaire d'Angers BUA
Signalétique Biblliothèque Universitaire d'Angers BUASignalétique Biblliothèque Universitaire d'Angers BUA
Signalétique Biblliothèque Universitaire d'Angers BUA
Nathalie Clot
 
Aula 3: Introdução a sistema de arquivos
Aula 3: Introdução a sistema de arquivosAula 3: Introdução a sistema de arquivos
Aula 3: Introdução a sistema de arquivos
camila_seixas
 
Palestra PET.Com - Sistemas Embarcados
Palestra PET.Com - Sistemas EmbarcadosPalestra PET.Com - Sistemas Embarcados
Palestra PET.Com - Sistemas Embarcados
PET Computação
 
Arquitetura e Manutenção de Computadores
Arquitetura e Manutenção de ComputadoresArquitetura e Manutenção de Computadores
Arquitetura e Manutenção de Computadores
Emanoel Lopes
 
Arquitetura de computadores – memórias
Arquitetura de computadores – memóriasArquitetura de computadores – memórias
Arquitetura de computadores – memórias
Elaine Cecília Gatto
 
Reunião 5 Estratégias mercadológicas
Reunião 5 Estratégias mercadológicasReunião 5 Estratégias mercadológicas
Reunião 5 Estratégias mercadológicas
Rafael Cardoso
 
Memoria cache princípio da localidade
Memoria cache princípio da localidadeMemoria cache princípio da localidade
Memoria cache princípio da localidadeClaudia Costa
 
Introdução Ao Web Design
Introdução Ao Web DesignIntrodução Ao Web Design
Introdução Ao Web Design
Sandra Oliveira
 
Instalação e configuração de S.O
Instalação e configuração de S.OInstalação e configuração de S.O
Instalação e configuração de S.O
Clayton de Almeida Souza
 
Senac assistente de marketing aula 01
Senac assistente de marketing aula 01Senac assistente de marketing aula 01
Senac assistente de marketing aula 01
Marcus Vinícius Liberato
 
Aula 09 - Memórias do Computador
Aula 09 - Memórias do ComputadorAula 09 - Memórias do Computador
Aula 09 - Memórias do Computador
Suzana Viana Mota
 
Fundamentos de Sistemas Operacionais - Aula 1 - Introdução à disciplina
Fundamentos de Sistemas Operacionais - Aula 1 - Introdução à disciplinaFundamentos de Sistemas Operacionais - Aula 1 - Introdução à disciplina
Fundamentos de Sistemas Operacionais - Aula 1 - Introdução à disciplina
Helder Lopes
 
Mapas mentais - Criatividade e uso eficaz na TI
Mapas mentais - Criatividade e uso eficaz na TIMapas mentais - Criatividade e uso eficaz na TI
Mapas mentais - Criatividade e uso eficaz na TI
sauloamui
 
Mini Tool Kit Design Thinking
Mini Tool Kit Design Thinking Mini Tool Kit Design Thinking
Mini Tool Kit Design Thinking
Beto Lima Branding
 
Ihc2016.2 aula 1 introdução a ihc
Ihc2016.2 aula 1 introdução a ihcIhc2016.2 aula 1 introdução a ihc
Ihc2016.2 aula 1 introdução a ihc
Ticianne Darin
 
De una moral de proximidad a una moral de larga distancia. Lecturas recomenda...
De una moral de proximidad a una moral de larga distancia. Lecturas recomenda...De una moral de proximidad a una moral de larga distancia. Lecturas recomenda...
De una moral de proximidad a una moral de larga distancia. Lecturas recomenda...
Ecologistas en Accion
 
Du signalement bibliographique à la recherche documentaire
Du signalement bibliographique à la recherche documentaireDu signalement bibliographique à la recherche documentaire
Du signalement bibliographique à la recherche documentaire
ABES
 
Marketing Mix
Marketing MixMarketing Mix
Marketing MixEscola Básica e Secundária Vale do Tamel
 
Formularios. pdf
Formularios. pdfFormularios. pdf
Formularios. pdf
mayberangelishernand
 
Innovation en bibliothèque
Innovation en bibliothèqueInnovation en bibliothèque
Innovation en bibliothèque
Dujol Lionel
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Da Cesare ai quanti - Workshop@UNINA - NaLUG - Crittografia - polialfabetici ...
Da Cesare ai quanti - Workshop@UNINA - NaLUG - Crittografia - polialfabetici ...Da Cesare ai quanti - Workshop@UNINA - NaLUG - Crittografia - polialfabetici ...
Da Cesare ai quanti - Workshop@UNINA - NaLUG - Crittografia - polialfabetici ...
Mario Rossano
 
Crittografia è sinonimo di sicurezza?
Crittografia è sinonimo di sicurezza?Crittografia è sinonimo di sicurezza?
Crittografia è sinonimo di sicurezza?
Enrico Zimuel
 
Codemotion 2012: una nuova crittografia frattale - classe Crypt::FNA
Codemotion 2012: una nuova crittografia frattale - classe Crypt::FNACodemotion 2012: una nuova crittografia frattale - classe Crypt::FNA
Codemotion 2012: una nuova crittografia frattale - classe Crypt::FNA
Mario Rossano
 

More Related Content

What's hot

Palestra PET.Com - Sistemas Embarcados
Palestra PET.Com - Sistemas EmbarcadosPalestra PET.Com - Sistemas Embarcados
Palestra PET.Com - Sistemas Embarcados
PET Computação
 
Arquitetura e Manutenção de Computadores
Arquitetura e Manutenção de ComputadoresArquitetura e Manutenção de Computadores
Arquitetura e Manutenção de Computadores
Emanoel Lopes
 
Arquitetura de computadores – memórias
Arquitetura de computadores – memóriasArquitetura de computadores – memórias
Arquitetura de computadores – memórias
Elaine Cecília Gatto
 
Reunião 5 Estratégias mercadológicas
Reunião 5 Estratégias mercadológicasReunião 5 Estratégias mercadológicas
Reunião 5 Estratégias mercadológicas
Rafael Cardoso
 
Memoria cache princípio da localidade
Memoria cache princípio da localidadeMemoria cache princípio da localidade
Memoria cache princípio da localidadeClaudia Costa
 
Introdução Ao Web Design
Introdução Ao Web DesignIntrodução Ao Web Design
Introdução Ao Web Design
Sandra Oliveira
 
Instalação e configuração de S.O
Instalação e configuração de S.OInstalação e configuração de S.O
Instalação e configuração de S.O
Clayton de Almeida Souza
 
Senac assistente de marketing aula 01
Senac assistente de marketing aula 01Senac assistente de marketing aula 01
Senac assistente de marketing aula 01
Marcus Vinícius Liberato
 
Aula 09 - Memórias do Computador
Aula 09 - Memórias do ComputadorAula 09 - Memórias do Computador
Aula 09 - Memórias do Computador
Suzana Viana Mota
 
Fundamentos de Sistemas Operacionais - Aula 1 - Introdução à disciplina
Fundamentos de Sistemas Operacionais - Aula 1 - Introdução à disciplinaFundamentos de Sistemas Operacionais - Aula 1 - Introdução à disciplina
Fundamentos de Sistemas Operacionais - Aula 1 - Introdução à disciplina
Helder Lopes
 
Mapas mentais - Criatividade e uso eficaz na TI
Mapas mentais - Criatividade e uso eficaz na TIMapas mentais - Criatividade e uso eficaz na TI
Mapas mentais - Criatividade e uso eficaz na TI
sauloamui
 
Mini Tool Kit Design Thinking
Mini Tool Kit Design Thinking Mini Tool Kit Design Thinking
Mini Tool Kit Design Thinking
Beto Lima Branding
 
Ihc2016.2 aula 1 introdução a ihc
Ihc2016.2 aula 1 introdução a ihcIhc2016.2 aula 1 introdução a ihc
Ihc2016.2 aula 1 introdução a ihc
Ticianne Darin
 
De una moral de proximidad a una moral de larga distancia. Lecturas recomenda...
De una moral de proximidad a una moral de larga distancia. Lecturas recomenda...De una moral de proximidad a una moral de larga distancia. Lecturas recomenda...
De una moral de proximidad a una moral de larga distancia. Lecturas recomenda...
Ecologistas en Accion
 
Du signalement bibliographique à la recherche documentaire
Du signalement bibliographique à la recherche documentaireDu signalement bibliographique à la recherche documentaire
Du signalement bibliographique à la recherche documentaire
ABES
 
Formularios. pdf
Formularios. pdfFormularios. pdf
Formularios. pdf
mayberangelishernand
 
Innovation en bibliothèque
Innovation en bibliothèqueInnovation en bibliothèque
Innovation en bibliothèque
Dujol Lionel
 

What's hot (18)

Palestra PET.Com - Sistemas Embarcados
Palestra PET.Com - Sistemas EmbarcadosPalestra PET.Com - Sistemas Embarcados
Palestra PET.Com - Sistemas Embarcados
 
Arquitetura e Manutenção de Computadores
Arquitetura e Manutenção de ComputadoresArquitetura e Manutenção de Computadores
Arquitetura e Manutenção de Computadores
 
Arquitetura de computadores – memórias
Arquitetura de computadores – memóriasArquitetura de computadores – memórias
Arquitetura de computadores – memórias
 
Reunião 5 Estratégias mercadológicas
Reunião 5 Estratégias mercadológicasReunião 5 Estratégias mercadológicas
Reunião 5 Estratégias mercadológicas
 
Memoria cache princípio da localidade
Memoria cache princípio da localidadeMemoria cache princípio da localidade
Memoria cache princípio da localidade
 
Introdução Ao Web Design
Introdução Ao Web DesignIntrodução Ao Web Design
Introdução Ao Web Design
 
Instalação e configuração de S.O
Instalação e configuração de S.OInstalação e configuração de S.O
Instalação e configuração de S.O
 
Senac assistente de marketing aula 01
Senac assistente de marketing aula 01Senac assistente de marketing aula 01
Senac assistente de marketing aula 01
 
Aula 09 - Memórias do Computador
Aula 09 - Memórias do ComputadorAula 09 - Memórias do Computador
Aula 09 - Memórias do Computador
 
Fundamentos de Sistemas Operacionais - Aula 1 - Introdução à disciplina
Fundamentos de Sistemas Operacionais - Aula 1 - Introdução à disciplinaFundamentos de Sistemas Operacionais - Aula 1 - Introdução à disciplina
Fundamentos de Sistemas Operacionais - Aula 1 - Introdução à disciplina
 
Mapas mentais - Criatividade e uso eficaz na TI
Mapas mentais - Criatividade e uso eficaz na TIMapas mentais - Criatividade e uso eficaz na TI
Mapas mentais - Criatividade e uso eficaz na TI
 
Mini Tool Kit Design Thinking
Mini Tool Kit Design Thinking Mini Tool Kit Design Thinking
Mini Tool Kit Design Thinking
 
Ihc2016.2 aula 1 introdução a ihc
Ihc2016.2 aula 1 introdução a ihcIhc2016.2 aula 1 introdução a ihc
Ihc2016.2 aula 1 introdução a ihc
 
De una moral de proximidad a una moral de larga distancia. Lecturas recomenda...
De una moral de proximidad a una moral de larga distancia. Lecturas recomenda...De una moral de proximidad a una moral de larga distancia. Lecturas recomenda...
De una moral de proximidad a una moral de larga distancia. Lecturas recomenda...
 
Du signalement bibliographique à la recherche documentaire
Du signalement bibliographique à la recherche documentaireDu signalement bibliographique à la recherche documentaire
Du signalement bibliographique à la recherche documentaire
 
Marketing Mix
Marketing MixMarketing Mix
Marketing Mix
 
Formularios. pdf
Formularios. pdfFormularios. pdf
Formularios. pdf
 
Innovation en bibliothèque
Innovation en bibliothèqueInnovation en bibliothèque
Innovation en bibliothèque
 

Viewers also liked

Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Da Cesare ai quanti - Workshop@UNINA - NaLUG - Crittografia - polialfabetici ...
Da Cesare ai quanti - Workshop@UNINA - NaLUG - Crittografia - polialfabetici ...Da Cesare ai quanti - Workshop@UNINA - NaLUG - Crittografia - polialfabetici ...
Da Cesare ai quanti - Workshop@UNINA - NaLUG - Crittografia - polialfabetici ...
Mario Rossano
 
Crittografia è sinonimo di sicurezza?
Crittografia è sinonimo di sicurezza?Crittografia è sinonimo di sicurezza?
Crittografia è sinonimo di sicurezza?
Enrico Zimuel
 
Codemotion 2012: una nuova crittografia frattale - classe Crypt::FNA
Codemotion 2012: una nuova crittografia frattale - classe Crypt::FNACodemotion 2012: una nuova crittografia frattale - classe Crypt::FNA
Codemotion 2012: una nuova crittografia frattale - classe Crypt::FNA
Mario Rossano
 
Reti di Calcolatori - Crittografia
Reti di Calcolatori - CrittografiaReti di Calcolatori - Crittografia
Reti di Calcolatori - Crittografia
Sergio Porcu
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
MODULO 14 --> La crittografia delle informazioni
MODULO 14 --> La crittografia delle informazioniMODULO 14 --> La crittografia delle informazioni
MODULO 14 --> La crittografia delle informazioni
Francesco Ciclosi
 
Principi di crittografia
Principi di crittografiaPrincipi di crittografia
Principi di crittografia
peppespe
 
Hardening De Servidores GNU/Linux
Hardening De Servidores GNU/LinuxHardening De Servidores GNU/Linux
Hardening De Servidores GNU/Linux
Avanet
 

Viewers also liked (10)

Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...
 
Da Cesare ai quanti - Workshop@UNINA - NaLUG - Crittografia - polialfabetici ...
Da Cesare ai quanti - Workshop@UNINA - NaLUG - Crittografia - polialfabetici ...Da Cesare ai quanti - Workshop@UNINA - NaLUG - Crittografia - polialfabetici ...
Da Cesare ai quanti - Workshop@UNINA - NaLUG - Crittografia - polialfabetici ...
 
Crittografia è sinonimo di sicurezza?
Crittografia è sinonimo di sicurezza?Crittografia è sinonimo di sicurezza?
Crittografia è sinonimo di sicurezza?
 
Codemotion 2012: una nuova crittografia frattale - classe Crypt::FNA
Codemotion 2012: una nuova crittografia frattale - classe Crypt::FNACodemotion 2012: una nuova crittografia frattale - classe Crypt::FNA
Codemotion 2012: una nuova crittografia frattale - classe Crypt::FNA
 
Reti di Calcolatori - Crittografia
Reti di Calcolatori - CrittografiaReti di Calcolatori - Crittografia
Reti di Calcolatori - Crittografia
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open source
 
MODULO 14 --> La crittografia delle informazioni
MODULO 14 --> La crittografia delle informazioniMODULO 14 --> La crittografia delle informazioni
MODULO 14 --> La crittografia delle informazioni
 
Principi di crittografia
Principi di crittografiaPrincipi di crittografia
Principi di crittografia
 
Hardening De Servidores GNU/Linux
Hardening De Servidores GNU/LinuxHardening De Servidores GNU/Linux
Hardening De Servidores GNU/Linux
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
 

Similar to Linux Security Hardening - panoramica sui principi generali per la riduzione delle superfici di attacco

Corso linux base
Corso linux baseCorso linux base
Corso linux base
Beniamino Ferrari
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberry
Orazio Sarno
 
PIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel LinuxPIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel LinuxMarco Ferrigno
 
Linux Device Drivers
Linux Device DriversLinux Device Drivers
Linux Device Drivers
Fabio Nisci
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Mario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
Marco Ferrigno
 
Understanding Linux
Understanding LinuxUnderstanding Linux
Understanding Linux
NaLUG
 
Lezione corso Base GNU/Linux
Lezione corso Base GNU/LinuxLezione corso Base GNU/Linux
Lezione corso Base GNU/LinuxAlex Palesandro
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business Server
Francesco Taurino
 
CodingGym - Lezione 1 - Corso Linux, Android e Internet of Things
CodingGym - Lezione 1 - Corso Linux, Android e Internet of ThingsCodingGym - Lezione 1 - Corso Linux, Android e Internet of Things
CodingGym - Lezione 1 - Corso Linux, Android e Internet of Things
Mirko Mancin
 
Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1
I.S.I.S. "Antonio Serra" - Napoli
 
ClearOS
ClearOSClearOS
ClearOS
NaLUG
 
LinuxArena 2007 - Introduzione alle Distribuzioni Linux
LinuxArena 2007 - Introduzione alle Distribuzioni LinuxLinuxArena 2007 - Introduzione alle Distribuzioni Linux
LinuxArena 2007 - Introduzione alle Distribuzioni LinuxManuel Dalla Lana
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Salvatore Lentini
 
The Missing Link
The Missing LinkThe Missing Link
The Missing Link
Sandro Fontana
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Studio Fiorenzi Security & Forensics
 
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfTutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
HelpRansomware
 
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
Stefano Dall'Agata
 
Da Zero all'open per PA e PMI
Da Zero all'open per PA e PMIDa Zero all'open per PA e PMI
Da Zero all'open per PA e PMI
NaLUG
 
Da 0 all'open per PA e PMI
Da 0 all'open per PA e PMIDa 0 all'open per PA e PMI
Da 0 all'open per PA e PMI
Francesco Taurino
 

Similar to Linux Security Hardening - panoramica sui principi generali per la riduzione delle superfici di attacco (20)

Corso linux base
Corso linux baseCorso linux base
Corso linux base
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberry
 
PIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel LinuxPIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel Linux
 
Linux Device Drivers
Linux Device DriversLinux Device Drivers
Linux Device Drivers
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
 
Understanding Linux
Understanding LinuxUnderstanding Linux
Understanding Linux
 
Lezione corso Base GNU/Linux
Lezione corso Base GNU/LinuxLezione corso Base GNU/Linux
Lezione corso Base GNU/Linux
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business Server
 
CodingGym - Lezione 1 - Corso Linux, Android e Internet of Things
CodingGym - Lezione 1 - Corso Linux, Android e Internet of ThingsCodingGym - Lezione 1 - Corso Linux, Android e Internet of Things
CodingGym - Lezione 1 - Corso Linux, Android e Internet of Things
 
Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1
 
ClearOS
ClearOSClearOS
ClearOS
 
LinuxArena 2007 - Introduzione alle Distribuzioni Linux
LinuxArena 2007 - Introduzione alle Distribuzioni LinuxLinuxArena 2007 - Introduzione alle Distribuzioni Linux
LinuxArena 2007 - Introduzione alle Distribuzioni Linux
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
 
The Missing Link
The Missing LinkThe Missing Link
The Missing Link
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfTutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
 
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
 
Da Zero all'open per PA e PMI
Da Zero all'open per PA e PMIDa Zero all'open per PA e PMI
Da Zero all'open per PA e PMI
 
Da 0 all'open per PA e PMI
Da 0 all'open per PA e PMIDa 0 all'open per PA e PMI
Da 0 all'open per PA e PMI
 

More from Marco Ferrigno

The DevOps paradigm - the evolution of IT professionals and opensource toolkit
The DevOps paradigm - the evolution of IT professionals and opensource toolkitThe DevOps paradigm - the evolution of IT professionals and opensource toolkit
The DevOps paradigm - the evolution of IT professionals and opensource toolkit
Marco Ferrigno
 
Hack the whale
Hack the whaleHack the whale
Hack the whale
Marco Ferrigno
 
GNU/Linux for embedded system
GNU/Linux for embedded systemGNU/Linux for embedded system
GNU/Linux for embedded system
Marco Ferrigno
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaMarco Ferrigno
 
Understanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaUnderstanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaMarco Ferrigno
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 

More from Marco Ferrigno (7)

The DevOps paradigm - the evolution of IT professionals and opensource toolkit
The DevOps paradigm - the evolution of IT professionals and opensource toolkitThe DevOps paradigm - the evolution of IT professionals and opensource toolkit
The DevOps paradigm - the evolution of IT professionals and opensource toolkit
 
Hack the whale
Hack the whaleHack the whale
Hack the whale
 
GNU/Linux for embedded system
GNU/Linux for embedded systemGNU/Linux for embedded system
GNU/Linux for embedded system
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
 
Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaforma
 
Understanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaUnderstanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnica
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei dati
 

Linux Security Hardening - panoramica sui principi generali per la riduzione delle superfici di attacco

  • 1. A cura di Marco Ferrigno Linux Security Hardening panoramica sui principi generali per la riduzione delle superfici di attacco LinuxDay Napoli 2015 #ldna15 || @marco_ferrigno
  • 2. Prerequisiti: attitudine mentale alla sicurezza (non solo informatica) aver visto Mr.Robot Cosa impareremo: Metodo (giusto qualche contenuto tecnico) modus operandi Propedeuticità ed obiettiviPropedeuticità ed obiettivi
  • 3. Perché sono cosi forti:Hardening: definizioneHardening: definizione In informatica, è definito hardening (indurire, temprare) quel processo il cui obiettivo è quello di proteggere un sistema riducendo la sua superficie di vulnerabilità. Maggiori sono i servizi che il sistema offre, maggiore è la superficie di vulnerabilità sfruttabile per un potenziale attacco. In linea di principio, quindi, un sistema a singola funzione risulta più sicuro di qualunque altro sistema (o quasi ...)
  • 4. Perché sono cosi forti:Perchè GNU/Linux?Perchè GNU/Linux? Sebbene in configurazione standard sia un sistema molto più sicuro di diversi competitor, risulta comunque necessario (e intellettualmente stimolante, imho) riuscire a renderlo ancora più sicuro; indipendentemente dall'ambito di utilizzo
  • 5. Perché sono cosi forti:Hardening Linux DesktopHardening Linux Desktop Gli attacchi nei confronti dei convenzionali (e diffusi) computer desktop sono in costante aumento. Anche se esiste un numero inferiore di malware operanti su piattaforma GNU/Linux rispetto agli altri sistemi operativi, è superficiale (nonché stupido) credere di essere al sicuro! In un contesto espressamente linux-oriented si parla di rootkit quando un software malevolo è progettato e programmato con lo scopo di guadagnare l'accesso come utente root Indipendentemente da ciò (e dalla distribuzione scelta) sono molti i software stand-alone esposti a potenziali attacchi.
  • 6. Perché sono cosi forti:Hardening Linux DesktopHardening Linux Desktop Un buon inizio: ClamAV: progettato espressamente per il rilevamento e l'eliminazione di malware e trojan. Interessante il comando freshclam che permette l'upgrade del db contenente tutte le info sui virus in circolazione. RkHunter: valido strumento contro i rootkit, sniffer e bugs Comandi chiave: - rkhunter update - rkhunter ­c (o rkhunter –check; accompagnato magari da uno ­skip­ keypress)
  • 7. Perché sono cosi forti:Hardening Linux DesktopHardening Linux Desktop L'utente desktop ha solitamente poco interesse nel verificare quali parametri (nella maggior parte dei casi, fondamentali) siano stati modificati all'interno della propria macchina … Tiger: esamina una serie di parametri fondamentali come: passwd, gestione gruppi, utenti, gestione hosts, PATH, sintassi cron, servizi in avvio, gestione e integrità del filesystem … verificandone correttezza e riportando eventuali modifiche in /var/log/tiger/
  • 8. Perché sono cosi forti:Hardening Linux DesktopHardening Linux Desktop Firewall Le distro GNU/Linux dispongo già di un firewall interno e di strumenti adatti alla loro gestione. Al di là del loro uso lato terminale, è possibile semplificare il tutto con comode interfacce grafiche. Un esempio su tutti è Uncomplicated Firewall e la sua GUI (gufw)
  • 9. Perché sono cosi forti:Hardening Linux DesktopHardening Linux Desktop Backup e ripristino Attualmente molte distribuzioni prevedono soluzioni di disaster recovery, vere e proprie suite che comprendono sia software di backup che di ripristino. Uno strumento interessante è senz'altro duplicity, basato su rsync, la cui caratteristica è quella di creare backup cifrati ed efficienti in termini di banda. Per rendere le cose ancora più immediata per l'utente desktop, deja­dup fornisce una comoda interfaccia grafica a duplicity
  • 10. Perché sono cosi forti:Hardening Linux DesktopHardening Linux Desktop Aggiornamento costante (e consapevole!) Molti attacchi vs le nostre postazioni vengono lanciati da attacker che hanno avuto modo di appurare la presenza o meno di vulnerabilità legate al sistema operativo o ad altri programmi in esecuzione su di esso. La community crea le opportune patch che vengono messe a disposizione degli utenti tramite delle funzioni built-in che avvisano la presenza degli aggiornamenti
  • 11. Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Siano essi utilizzati in produzione o in fase di test, una infrastruttura server rappresenta l'obiettivo preferito di un potenziale attacker. Uno dei compiti fondamentali del sistemista è quindi quello contrastare gli attacchi esterni riducendo la superficie di vulnerabilità afferente alla propria infrastruttura. Punti chiave: gestire le sessioni remote configurare ad hoc il firewall configurare ad hoc un ids
  • 12. Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Premessa: Molti dei concetti inerenti la sicurezza di base si applicano sia in ambito desktop che in ambito server. Ciò che cambia è il modo in cui questi concetti vengono applicati. Per impostazione predefinita, una macchina (ed un sistema operativo) desktop richiede una configurazione minima e ha in sé un gran numero di applicazioni pronto uso per l'utente (genericamente consumatore) Al contrario, una macchina (ed un sistema operativo) server ha come presupposto limitare al minimo i livelli di accesso e di usabilità Parola chiave: pianificazione Determinare la funzione del server Limitare a zero l'installazione di software aggiuntivo GUI or NOT GUI
  • 13. Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Secure Shell (ssh) ssh consente ad un utente la connessione remota ad un'altra macchina. Gli amministratori di sistema usano costantemente ssh per accedere ai loro server da un computer remoto. Anche se ssh fornisce un ottimo livello di sicurezza, è possibile fare ancora di più! Cambio del numero di porta (22, di default), ma è una modifica utile solo contro gli script kiddies! Negare accesso come root. Creazione di una whitelist per utenti e gruppi. Knockd: permette di nascondere l'esistenza di un accesso ssh (insieme di parole chiave da inviare ad una serie di porte)
  • 14. Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Regole del firewall Iptables strumento per il filtraggio di pacchetti. Potenzialità elevate Massima personalizzazione Possibilità di costruire infrastrutture complesse  La completa comprensione dei protocolli di rete aiuta molto!
  • 15. Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Monitoraggio del sistema Si rende necessario istituire un sistema di monitoraggio per rilevare se un attacco contro il server ha avuto luogo. Analizziamo due strumenti interessanti: tripwire e logwatch Tripwire verifica l'integrità di files e directory segnalando eventuali anomalie attraverso un log dedicato oppure via mail; Logwatch aiuta a controllare i vari log di sistema evitando di collegarsi via ssh, in quanto essi vengono spediti via mail (necessita quindi di un server di posta elettronica in uscita, smtp)
  • 16. Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Utenti e gruppi: la gestione dei permessi La colonna dei permessi mostrati tramite terminale contiene 10 lettere: Il primo spazio indica la tipologia dell'elemento (directory, link, file) I permessi per 3 gruppi distinti (utente, gruppo, altri utenti) Strumenti chiave: chmod – permessi su utenti chown – cambio dell'utente proprietario chgrp – cambio del grupp
  • 17. Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Chroot permette di "imprigionare" un utente in una radice diversa da quella che il kernel usa realmente (/). Definiamo in primo luogo una serie di domande che ci consentiranno di svolgere più facilmente il nostro lavoro: 1. Cosa vogliamo consentire all'utente ? 2. A chi è destinata la shell ? 3. Quanti utenti dovrà contenere l'ambiente chroot ? 4. Che genere di restrizioni vogliamo applicare ?
  • 18. Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Crittografia Processo di cifratura che rende dei dati illeggibili a chi non possiede la chiave per ricrearli nella loro forma originale. È possibile cifrare un intero disco rigido o le partizioni del disco. Consigli utili: crittografare una directory che contiene informazioni sensibili!! ecryptfs - utility per cifrare il disco Recupero dati In caso di emergenza, potrebbe essere necessario recuperare i dati crittografati. È possibile farlo automaticamente facendo in modo che il disco rigido è montato, e poi aprire il terminale. encryptfs­recover­private
  • 19. Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Ulteriori misure di sicurezza: tutto in PIÙ password Password BIOS / EFI E non dimentichiamo: Configurar{lo} per disabilitare il boot da dispositivi esterni Password GRUB E /boot …!?
  • 20. Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Ulteriori misure di sicurezza Partizionamento: scelte ponderate! Minimizzare i pacchetti in esecuzione Un comando utile chkconfig ­­list  | grep '3:on' Controllare la lista delle porte aperte { netstat } Un'idea non da poco: disabilitare l'accesso a periferiche usb! Creare un file come ‘/etc/modprobe.d/no­usb‘ E scriverci install usb­storage /bin/true
  • 21. Perché sono cosi forti:Hardening Linux ServerHardening Linux Server Ulteriori misure di sicurezza SELinux Security-Enhanced Linux è un meccanismo di sicurezza di controllo di accesso obbligatoria prevista nel kernel. Disabilitare è sconsigliato, ma ...
  • 22. Perché sono cosi forti:Una distro a caso: Qubes OSUna distro a caso: Qubes OS È una distro GNU/Linux basata su Fedora la cui filosofia si basa su un concetto “semplice” security by isolation Utilizza i meccanismi tipici della paravirtualizzazione (XEN) per mandare in esecuzione le applicazioni lanciate. la magia Tenta di coniugare due concetti contraddittori: - riduzione al minimo della quantità di fiducia (necessaria per isolare le istanze) - esecuzione di applicativi desktop oriented
  • 23. Perché sono cosi forti:contatticontatti Marco Ferringo - @marco_ferrigno - Research and consultant in computer scurity and system enginnering - IT Infrastructure Engineer e IT Security Manager per il progetto Programma il Futuro (MIUR-CINI) - Developer of the Italian Debian GNU/Linux HowTos - SailfisOS Early Adopter - NaLUG (Napoli Linux Users Group) member (atto finale!) - ICTTF (International Cyber Threat Task Force) member - Supporter @ Digital Champions Napoli - http://marcoferrigno.wordpress.com - mailto: marcoferrigno@cryptolab.net