Lista di controllo per sicurezza di Linux

Linus Torvald della Finlandia. Si è sviluppata in un sistema operativo a 32 bits di pieno-impiumatura. È solido, scuderia e fornisce il supporto per un numero incredibile delle applicazioni. Ha possibilità molto potenti e fa funzionare molto veloce e raramente gli arresti.

Purtroppo le macchine di Linux sono quasi giornaliere rotto. Ciò accade non perché è un sistema operativo insicuro. Contiene tutti gli attrezzi necessari per renderla molto sicura. Ma la verità è. Non è diventato sensibilmente più sicura con l'aumento nella popolarità. Da un lato, la nostra comprensione dei metodi dei riprogrammatori e l'ampia varietà di attrezzi e di tecniche disponibili hanno contribuito ai gestori di systema di aiuto per fissare i loro calcolatori di Linux. Il nostro obiettivo in questo articolo è di elencare le situazioni più critiche e come impedire un'invasione con le misure semplici.

1 - Parole d'accesso deboli? Di gran lunga la primo e maggior parte del metodo usato impiegato dai riprogrammatori per provare a penetrare un sistema di Linux sta fendendo una parola d'accesso, preferently della radice dell'utente. In primo luogo ed allora designeranno solitamente un utente come bersaglio comune, usando il suo accesso al sistema operativo, prova per ottenere un accesso privilegiato che fende la parola d'accesso della radice. La buona politica di parola d'accesso e le buone parole d'accesso sono assolutamente critiche alla sicurezza su tutto il calcolatore. Alcuni errori comuni quando selezionano una parola d'accesso:
Un uso “parola d'accesso„ come parola d'accesso.
Uso di b il nome del calcolatore.
C un nome di bene-sapere da scienza, dagli sport o dalla politica.
Riferimento di d al cinema.
E qualche cosa che fa parte del Web site dell'utente.
F? riferisce collegato con il cliente.

L'ultima versione dell'offerta di Linux ha ombreggiato le parole d'accesso. Se un cracker può vedere una parola d'accesso cifrata, fendila un'operazione semplice. Così, invece di conservazione della parola d'accesso nella lima di passwd, ora sono immagazzinati nella lima dell'ombra che è leggibile soltanto per la radice. Prima che un riprogrammatore possa fendere una parola d'accesso deve calcolare fuori un nome di cliente. Così, i nomi di clienti semplici devono essere evitati pure. Un'altra misura di sicurezza è di non applicare “un inizio attività„ al cliente nella lima di passwd. Ciò deve essere fatta a tutti i clienti che non devono entrare al sistema. Gli esempi sono: apache, mysql, ftp ed altro.

Il limite che i terminali sradicano può entrare da. Se il cliente di radice è permesso entrare soltanto in determinati terminali che sono considerati sicuri, sarà quasi impossible affinchè un riprogrammatore penetri il sistema. Ciò può essere fatta elencando i terminali permessi su /etc/security. Il programma di inizio attività considererà insicuro tutto il terminale che non è elencato su questa lima, che è leggibile, soltanto dalla radice.

2 - Orificii di rete aperta

Tutta l'installazione di difetto di Linux fornirà al sistema operativo le tonnellate di software e di servizi. Vari di loro non sono necessari o persino carenti dal coordinatore. L'eliminazione questa software e servizi chiuderà il percorso a parecchi attacchi e migliorerà la sicurezza. Il programma di /sbin/chkconfig può essere usato per arrestare i servizi automaticamente dal cominciare ai Livelli funzionati 3, 4 e 5. entrano come la radice e tipo /sbin/chkconfig - lista per osservare tutti i servizi fissati per cominciare automaticamente. Selezioni quei che non abbiate bisogno e che non non scriv del name_of_service a macchina di /sbin/chkconfig 345 fuori. Dovete fare quello a tutti i servizi che non volete continu aare funzionare. Inoltre, l'assistente del xinetd può essere utilizzato per rendere invalidi altri servizi pure.

3 - Vecchie versioni di software

Le vulnerabilità giornalieri sono trovate nei programmi e la maggior parte di loro sono riparate costantemente. È importante ed a volte critico, continuare con i cambiamenti. Ci sono elenchi di indirizzi per ogni distribuzione di Linux dove una può avere informazioni relative alla sicurezza e le ultime vulnerabilità trovate.
Un certo posto da guardare per i buchi di sicurezza è:
? http://www.redhat.com/mailman/listinfo/redhat-announce-list
? http://www.debian.org/MailingLists/
? http://www.mandrakesecure.net/en/mlist.php
? http://www.suse.com/us/private/support/security/index.html
? http://www.freebsd.org/security/index.html
? http://www.linuxtoday.com/
? http://www.lwn.net/
È cruciale assicurare che le zone liberate sicurezza si applichino ai programmi non appena zona disponibile. La comunità del riprogrammatore sarà informata dei fori scoperti e proverà ad esplorarla prima che le difficoltà siano applicate.

4 - Programmi insicuri e male configurati

Ci sono alcuni programmi che hanno una storia dei problemi di sicurezza. Per chiamare alcuni IMAP, il POP, il ftp, il programma dell'orificio ed il NFS, sono il più conosciuto. La buona cosa è che la maggior parte di questi programmi possono essere sostituiti da una versione sicura come lo spop, lo sftp o lo scp.

È importante che, prima dello spiegamento del qualsiasi servizio, il coordinatore studia la relativa storia di sicurezza. Le misure a volte semplici di configurazione possono impedire le emicranie serie in avvenire.

Alcuni consigli per quanto riguarda una configurazione di web server sono valore buono da accennare:

- Non faccia funzionare mai il web server come utente privilegiato;
- Non mantenga i dati confidenziali dei clienti sul web server? I numeri di carta di credito, numeri di telefono, indirizzi di spedizione, devono essere registrati su una macchina differente.
- Assicuri che i dati privilegiati che un utente assicura su una forma non rivela come difetto affinchè la persona seguente usino la forma;
- Stabilisca i valori accettabili per i dati che sono assicurati dai web client.
- Controlli le vulnerabilità sui programmi di cgi.

5 - Clienti stantii ed inutili

Quando un utente più non usa il suo cliente, assicuri che sia rimosso dal sistema. Questo cliente stantio non avrà questa parola d'accesso variabile periodicamente lasciando un foro. Le lime pubblicamente leggibili o scrivibile di proprietà da quel cliente devono essere rimosse. Quando rimuovete un servizio inutile selo assicuri per rimuovere o rendere invalido il cliente corrispondente.

Risorse di sicurezza nel fotoricettore

Bugtraq? Comprende le discussioni dettagliate sui buchi di sicurezza di Unix
http://www.securityfocus.com/

Pareti refrattarie? Discuta la progettazione, la costruzione, lo sfruttamento ed il mantenimento dei sistemi della parete refrattaria.

http://www.isc.org/services/public/lists/firewalls.html

I RISCHI discutono i rischi alla società dai calcolatori

http://www.risks.org/

Insecure.org

http://www.insecure.org/