<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> <HTML> <HEAD> <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.9"> <TITLE>Linux Security HOWTO: Preparazione della Sicurezza (prima di entrare in rete)</TITLE> <LINK HREF="Security-HOWTO-10.html" REL=next> <LINK HREF="Security-HOWTO-8.html" REL=previous> <LINK HREF="Security-HOWTO.html#toc9" REL=contents> </HEAD> <BODY> <A HREF="Security-HOWTO-10.html">Avanti</A> <A HREF="Security-HOWTO-8.html">Indietro</A> <A HREF="Security-HOWTO.html#toc9">Indice</A> <HR> <H2><A NAME="secure-prep"></A> <A NAME="s9">9. Preparazione della Sicurezza (prima di entrare in rete)</A></H2> <P>Bene: avete controllato il sistema, è sicuro per quanto possibile e siete pronti a metterlo in rete. Ci sono alcune cose che dovreste fare ora per prepararvi ad un'intrusione, in modo da poter mettere fuori gioco velocemente l'aggressore e tornare alla piena funzionalità. <P> <H2><A NAME="ss9.1">9.1 Fate un backup completo della macchina.</A> </H2> <P>La discussione dei metodi di backup va oltre gli scopi di questo documento, ma vanno spese alcune parole su backup e sicurezza: <P>Se avete meno di 650mb di dati da salvare su una partizione, un CD-R è un'ottima strada (perché difficile da manomettere e molto durevole). Nastri e altri media riscrivibili dovrebbero essere protetti dalla scrittura non appena il backup è completo e quindi verificati per evitare la manomissione. Assicuratevi di lasciare i backup in un'area sicura e off-line. Un buon backup vi darà un buon punto di riferimento da cui ripristinare il sistema. <P> <P> <H2><A NAME="ss9.2">9.2 Scegliere una Buona Tabella di Backup</A> </H2> <P>Un ciclo di sei nastri è facile da mantenere. Prevede quattro nastri per la settimana, uno per i Venerdì pari e uno per quelli dispari. Eseguite un backup incrementale ogni giorno, e un backup completo sul nastro del Venerdì. Potreste fare un backup completo anche per dei particolari cambiamenti importanti. <P> <P> <H2><A NAME="ss9.3">9.3 Fate un Backup dei Vostri Database di RPM o Debian</A> </H2> <P>Nel caso di un'intrusione, potete usare il vostro database di pacchetti come usereste <CODE>tripwire</CODE>, ma solo se siete sicuri che non è stato modificato. Dovreste copiare il database RPM in un floppy e tenerlo sempre off-line. Probabilmente la Debian ha qualcosa di simile. <P>I file <CODE>/var/lib/rpm/fileindex.rpm</CODE> e <CODE>/var/lib/rpm/packages.rpm</CODE> probabilmente non entreranno in un solo floppy, ma se compressi dovrebbero entrare in un floppy ciascuno. <P>Ora, se il vostro sistema viene compromesso potete usare il comando: <P> <BLOCKQUOTE><CODE> <PRE> root# rpm -Va </PRE> </CODE></BLOCKQUOTE> per verificare ogni file sul sistema. Leggete la pagina man di <CODE>rpm</CODE>, perché esistono alcune opzioni che possono essere usate per avere un output più: conciso. Ricordate che dovete essere sicuri che anche l'eseguibile di RPM non sia stato compromesso. <P>Questo significa che ogni volta che viene aggiunto al sistema un RPM, il database dovrà essere ri-archiviato. voi decidere i vantaggi contro gli svantaggi. <P> <P> <H2><A NAME="logs"></A> <A NAME="ss9.4">9.4 Tenete Nota dei Dati degli Account</A> </H2> <P>È molto importante che le informazioni che vengono da <CODE>syslog</CODE> non siano modificate. Rendendo leggibili e scrivibili file in <CODE>var/log</CODE> solo da poche persone è un buon inizio. <P>Assicuratevi di tenere d'occhio cosa viene scritto lì soprattutto in <CODE>auth</CODE>. La presenza di molti login falliti, per esempio, indica una tentata intrusione. <P>Dove cercare i log dipende dalla vostra distribuzione. In un sistema Linux conforme al "Linux Filesystem Standard", come RedHat, cercherete in <CODE>/var/log</CODE> e controllerete <CODE>messages</CODE>, <CODE>mail.log</CODE>, ed altri. <P>Potete capire dove il sistema tiene i log leggendo il file <CODE>/etc/syslog.conf</CODE>. Questo è il file che dice a <CODE>syslogd</CODE> (il demone dei log di sistema) dove tenere i messaggi dei log. <P>Potreste anche voler configurare lo script o il demone che alterna i log per fargli tenere a lungo i log per avere tutto il tempo di esaminarli. Date un'occhiata al pacchetto <CODE>logrotate</CODE> su distribuzioni RedHat recenti. Altre distribuzioni hanno probabilmente un processo simile. <P>Se i vostri log sono stati manomessi, cercate di capire quando è iniziata la manomissione e cosa sembra cambiato. Ci sono lunghi periodi di tempo che non hanno log? Controllare i nastri di backup in cerca di log intatti è un buon inizio. <P>Gli intrusi in genere modificano i log per coprire le loro tracce, ma dovrebbero comunque essere controllati. Potreste notare l'intruso che cerca un accesso o sfrutta un programma per ottenere l'account di root. Potreste vedere voci nei log che l'intruso non ha avuto il tempo di cambiare. <P>Dovreste anche assicurarvi di separare <CODE>auth</CODE> dagli altri log, inclusi i tentativi di cambiare utente con <CODE>su</CODE>, i tentativi di login, e altre informazioni sugli account. <P>Se possibile, configurate <CODE>syslog</CODE> per mandare una copia dei log ad un sistema sicuro. Questo eviterà che un intruso cancelli le sue tracce insieme ai tentativi di login/su/ftp/ecc. Leggete la pagina man di <CODE>syslog.conf</CODE> e cercate l'opzione <CODE>@</CODE>. <P>Ci sono diversi altri programmi <CODE>syslogd</CODE> più avanzati. Leggete <A HREF="http://www.core-sdi.com/ssyslog/">http://www.core-sdi.com/ssyslog/</A> a proposito di Secure Syslog. Secure Syslog permette di crittare le voci del syslog per essere sicuri che nessuno le manometta. <P>Un altro <CODE>syslogd</CODE> con altre caratteristiche è <A HREF="http://www.balabit.hu/products/syslog-ng.html">syslog-ng</A>. Vi permette molta flessibilità e critta i flussi remoti di syslog per evitare la manomissione. <P>In fine, i log sono inutili se nessuno li controlla. Prendetevi del tempo ogni tanto per leggere i vostri log e farvi un'idea di come devono essere in normali condizioni. Saperlo fa risaltare molte cose strane. <P> <P> <H2><A NAME="ss9.5">9.5 Applicate Tutti i Nuovi Aggiornamenti di Sistema.</A> </H2> <P>Molti utenti Linux istallano da un CD-ROM. A causa della natura repentina degli aggiornamenti di sicurezza, vengono rilasciati continuamente nuovi programmi. Prima di connettere la vostra macchina alla rete è bene controllare sul sito ftp della vostra distribuzione e prendere tutti i pacchetti aggiornati da quando avete installato il CD-ROM. Spesso questi pacchetti contengono molte soluzioni di sicurezza, quindi è una buona idea installarli. <P> <P> <HR> <A HREF="Security-HOWTO-10.html">Avanti</A> <A HREF="Security-HOWTO-8.html">Indietro</A> <A HREF="Security-HOWTO.html#toc9">Indice</A> </BODY> </HTML>