Differences between revisions 3 and 4
Revision 3 as of 2011-04-26 20:37:40
Size: 2345
Editor: ?skizzhg
Comment:
Revision 4 as of 2013-02-23 15:31:46
Size: 2352
Comment: sync with English master
Deletions are marked like this. Additions are marked like this.
Line 33: Line 33:
 * Vedere http://www.linux-sec.net/Kernel/  * Vedere --(http://www.linux-sec.net/Kernel/ )--

Translation(s): English - Italiano

Lista di controllo per la sicurezza

Installare nuovi pacchetti

Come controllare che le firme dei pacchetti che si installano siano basate sulle chiavi del pacchetto debian-keyring?

Generale

Ci sono alcuni punti fondamentali, ma assicurarsi di leggere l'HOWTO.

Rete

  • Controllare il file '/etc/inetd.conf' per assicurarsi di non aver lasciato aperti servizi o porte che non si desiderano.
  • Usare un firewall se si hanno servizi che si desiderano essere disponibili localmente o per un insieme ristretto di IP, ma non per tutti: 'ipchains' (potato), 'iptables' (woody)
  • 'lsof -Pan -i tcp -i udp ||less' (da root); questo comando mostra tutte le connessioni di rete

  • 'netstat -le --inet||less' (da root); questo elenca le porte aperte

  • Assicurarsi di sapere esattamente quali servizi abbiano porte aperte e quali porte siano, e verificare che qualsiasi porta aperta strana sia di un demone che si desidera in esecuzione. Chiudere qualsiasi porta che non è necessario sia aperta o qualsiasi servizio a cui non si desidera possa accedere il mondo esterno.

    Chiedersi se si ha realmente * bisogno ** che un demone abbia una porta aperta e in caso contrario disabilitarlo (forse ha un modificatore per farlo o un'opzione di configurazione che disabilita il funzionamento in rete (come mysql per esempio).

  • Usare protocolli cifrati in modo che le password non attraversino la rete in chiaro ed essendo così vulnerabili rispetto a chiunque possa essere in ascolto. Si può evitare ciò incapsulando per esempio in SSL i servizi che non hanno una modalità cifrata. Si può guardare stunnel per fare questo, per esempio, per i demoni POP o IMAP.

Rendere sicuro il Kernel