15.3. I livelli di sicurezza nel dettaglio

In questa parte descriveremo dettagliatamente i tre livelli Rilassato (ingl. Lax), Moderato (Moderate) e Paranoico (Paranoid) che vengono utilizzati nell'impostazione del livello di sicurezza, sia durante l'installazione, sia successivamente tramite BastilleChooser.

15.3.1. Configurazione come postazione di lavoro

15.3.1.1. Livello di sicurezza rilassato

  • Niente firewall

  • Disattiva l'attributo SUID degli strumenti del news server e di DOSEMU

  • Imposta l'invecchiamento delle password - gli account vecchi e inutilizzati saranno disabilitati, e gli utenti che ne sono i proprietari saranno avvisati

  • Protegge con password la modalità utente singolo

  • Applica dei limiti all'utilizzo di risorse da parte di qualsiasi utente o programma, per respingere eventuali attacchi di tipo Denial of Service.

  • Aggiunge ulteriori file di registro

  • Disattiva il demone del server DHCP

  • Disabilita i demoni SNMP

  • Disabilita i comandi di analisi dati VRFY/EXPN in Sendmail

  • Disattiva il server DNS

  • Disattiva il server Apache

  • Disattiva i Server Side Include (SSI) di Apache

  • Imposta umask a 022

  • Imposta il livello di sicurezza a 2

  • Applica i permessi di livello 2 per i file

  • Rimuove "." dalla variabile PATH

  • Disattiva il telnet

  • Disattiva il servizio ftp

  • Attiva i controlli di sicurezza

15.3.1.2. Livello di sicurezza moderato

  • Firewall moderato

  • Disattiva l'attributo SUID di dump, restore, cardctl, rsh, rlogin e rcp

  • Disattiva l'attributo SUID degli strumenti del news server e di DOSEMU

  • Inibisce l'accesso al sistema tramite rsh/rlogin

  • Imposta l'invecchiamento delle password - gli account vecchi e inutilizzati saranno disabilitati, e gli utenti che ne sono i proprietari saranno avvisati

  • Protegge con password la modalità utente singolo

  • Applica dei limiti all'utilizzo di risorse da parte di qualsiasi utente o programma, per respingere eventuali attacchi di tipo Denial of Service.

  • Aggiunge ulteriori file di registro

  • Disattiva il demone APMd

  • Disabilita NFS e Samba

  • Disabilita GPM

  • Disattiva il demone del server DHCP

  • Disabilita i demoni SNMP

  • Disattiva la modalità di monitoraggio della rete di Sendmail, in modo che il sistema non funzioni da server di posta

  • Disabilita i comandi di analisi dati VRFY/EXPN in Sendmail

  • Disattiva il server DNS

  • Disattiva il server Apache

  • Disattiva i Server Side Include (SSI) di Apache

  • Imposta umask a 022

  • Imposta il livello di sicurezza a 3

  • Applica i permessi di livello 3 per i file

  • Rimuove "." dalla variabile PATH

  • Disattiva il telnet

  • Disattiva l'ftp

  • Inibisce la modalità anonima per l'FTP

  • Attiva i controlli di sicurezza

  • Applica la protezione di TMPDIR

15.3.1.3. Livello di sicurezza paranoico

  • Firewall restrittivo

  • Disattiva l'attributo SUID di mount, umount, ping, at usernetctl e traceroute

  • Disattiva l'attributo SUID di dump, restore, cardctl, rsh, rlogin e rcp

  • Disattiva l'attributo SUID degli strumenti del news server e di DOSEMU

  • Inibisce l'accesso al sistema tramite rsh/rlogin

  • Permette l'uso di cron al solo utente root

  • Disabilita lo script di avvio della pcmcia

  • Imposta l'invecchiamento delle password - gli account vecchi e inutilizzati saranno disabilitati, e gli utenti che ne sono i proprietari saranno avvisati

  • Protegge con password la modalità utente singolo

  • Applica dei limiti all'utilizzo di risorse da parte di qualsiasi utente o programma, per respingere eventuali attacchi di tipo Denial of Service.

  • Aggiunge ulteriori file di registro

  • Disattiva il demone APMd

  • Disabilita NFS e Samba

  • Disabilita GPM

  • Disattiva il demone del server DHCP

  • Disabilita i demoni SNMP

  • Disattiva la modalità di monitoraggio della rete di Sendmail, in modo che il sistema non funzioni da server di posta

  • Disabilita i comandi di analisi dati VRFY/EXPN in Sendmail

  • Disattiva il server DNS

  • Disattiva il server Apache

  • Disattiva i Server Side Include (SSI) di Apache

  • Impedisce al server Apache di seguire i collegamenti simbolici

  • Disabilita i CGI del server Apache

  • Disattiva tutti gli altri demoni, ad eccezione di crond, syslog, keytable, network, gpm, xfs e pcmcia

  • Imposta umask a 077

  • Imposta il livello di sicurezza a 4

  • Applica i permessi di livello 4 per i file

  • Rimuove "." dalla variabile PATH

  • Disattiva il telnet

  • Disattiva l'ftp

  • Inibisce la modalità anonima per l'FTP

  • Inibisce la modalità utente per l'FTP

  • Attiva i controlli di sicurezza

  • Applica la protezione di TMPDIR

15.3.2. Configurazione come server

La configurazione come server presenta tre possibili livelli di sicurezza, nei quali inizialmente i principali server (DNS, Mail, web, FTP e DHCP) sono disattivati, e vengono successivamente attivati in base a quale dei cinque tipi di server viene richiesto dall'utente.

15.3.2.1. Livello di sicurezza rilassato

  • Niente firewall

  • Disattiva l'attributo SUID di dump/restore, cardctl, dosemu e dei programmi del news server

  • Rafforza l'invecchiamento delle password

  • Protegge con password la modalità utente singolo

  • Aggiunge ulteriori file di registro

  • Disattiva apmd, NFS, Samba, pcmcia, il server DHCP, il news server, i demoni di routing, NIS, SNMPD

  • Disabilita i comandi di analisi dati VRFY/EXPN in Sendmail

  • Disattiva il server DNS

  • Disattiva il server web Apache

  • Disattiva i Server Side Include (SSI) di Apache

  • Imposta umask a 022

  • Imposta il livello di sicurezza a 2

  • Applica i permessi di livello 2 per i file

  • Disattiva il telnet

  • Disattiva l'ftp

  • Attiva i controlli di sicurezza

15.3.2.2. Livello di sicurezza moderato

  • Firewall moderato

  • Disattiva l'attributo SUID di dump/restore, cardctl, dosemu e dei programmi del news server

  • Disattiva l'attributo SUID di rsh, rlogin

  • Inibisce l'autenticazione basata su rhost

  • Rafforza l'invecchiamento delle password

  • Protegge con password la modalità utente singolo

  • Aggiunge ulteriori file di registro

  • Disattiva apmd, NFS, Samba, pcmcia, il server DHCP, il news server, i demoni di routing, NIS, SNMPD

  • Disabilita GPM

  • Disabilita i comandi di analisi dati VRFY/EXPN in Sendmail

  • Disattiva il server DNS

  • Disattiva il server web Apache

  • Disattiva i Server Side Include (SSI) di Apache

  • Inibisce l'esecuzione di script CGI in Apache

  • Inibisce la modalità utente per l'FTP

  • Inibisce la modalità anonima per l'FTP

  • Imposta umask a 022

  • Imposta il livello di sicurezza a 3

  • Applica i permessi di livello 3 per i file

  • Rimuove "." dalla variabile PATH

  • Disattiva il telnet

  • Disattiva l'ftp

  • Attiva i controlli di sicurezza

15.3.2.3. Livello di sicurezza paranoico

  • Firewall restrittivo

  • Disattiva l'attributo SUID di dump/restore, cardctl, dosemu e dei programmi del news server

  • Disattiva l'attributo SUID di rsh, rlogin

  • Disattiva l'attributo SUID di mount, umount, ping, at, usernetctl, traceroute

  • Inibisce l'autenticazione basata su rhost

  • Permette l'uso di cron al solo utente root

  • Rafforza l'invecchiamento delle password

  • Rafforza i limiti imposti sulle risorse per prevenire gli attacchi di tipo Denial of Service

  • Protegge con password la modalità utente singolo

  • Aggiunge ulteriori file di registro

  • Disattiva apmd, NFS, Samba, pcmcia, il server DHCP, il news server, i demoni di routing, NIS, SNMPD

  • Disabilita GPM

  • Disabilita i comandi di analisi dati VRFY/EXPN in Sendmail

  • Disattiva il server DNS

  • Disattiva il server web Apache

  • Disattiva i Server Side Include (SSI) di Apache

  • Inibisce l'esecuzione di script CGI in Apache

  • Impedisce al server Apache di seguire i collegamenti simbolici

  • Disabilita la stampa

  • Inibisce la modalità utente per l'FTP

  • Inibisce la modalità anonima per l'FTP

  • Applica la protezione di TMPDIR

  • Imposta umask a 077

  • Imposta il livello di sicurezza a 4

  • Applica i permessi di livello 4 per i file

  • Rimuove "." dalla variabile PATH

  • Disattiva il telnet

  • Disattiva l'ftp

  • Attiva i controlli di sicurezza


Tux on Star from MandrakeSoft Linux è un marchio registrato di Linus Torvalds. Tutti gli altri marchi e copyright appartengono ai rispettivi proprietari.
Se non diversamente specificato, i diritti di tutto il contenuto di queste pagine e di tutte le immagini sono proprietà di MandrakeSoft S.A. e MandrakeSoft Inc. 2002.
http://www.mandrakelinux.com/