2. Configurazione

Una volta terminata la nostra installazione dobbiamo configurare (blindare) il nostro sistema, per fare questo useremo Linuxconf ( DrakConf , YAST, Setup) con il quale, tramite i vari menù setteremo servizi da attivare, permessi per utenti/gruppi ed altro. Dove non si può arrivare con i tools provvederemo a mano.

2.1 le password:

L'utente "pippo" con password "pippo" è, in italia, quello più gettonato per i test, nonchè il primo digitato dallo sprovveduto che si trova di fronte alla richiesta di nome utente e password. Evitiamo quindi di usare "pippo" come password per l'utente root, così come: root, admin, test, mandrake, redhat, suse, joshua e simili. Per creare una password "sicura" o difficilmente individuabile anche usando algoritmi del tipo "brute-force" si dovrebbe scegliere un insieme di almeno 8 caratteri alfanumerici posti a caso es: 10voLTe10 ‹@S1Nò29 i99p0sSE 12M0$FeT ‹i@0Baby. Per avere un insieme del genere facilmente memorizzabile usate le iniziali di una frase a voi famigliare es.: a 12 anni ho iniziato a programmare in c : a12ahiapic
Le password da non usare si trovano negli elenchi usati dai principali password_finder, dategli un'occhiata!!

2.2 permessi ad utenti / gruppi:

All'inizio dovremo cancellare gli utenti inutili che vengono creati di default durante installazione legati ad uno specifico servizio o programma come anonymous e gopher:

[root @ bastion]# userdel adm
[root @ bastion]# userdel anonymous
[root @ bastion]# userdel lp
[root @ bastion]# userdel sync
[root @ bastion]# userdel shutdown
[root @ bastion]# userdel halt
[root @ bastion]# userdel news
[root @ bastion]# userdel uucp
[root @ bastion]# userdel operator
[root @ bastion]# userdel games (se non si usa X Window).
[root @ bastion]# userdel gopher

Cancelliamo anche i gruppi che non interessano:

[root @ bastion]# groupdel adm
[root @ bastion]# groupdel lp
[root @ bastion]# groupdel news
[root @ bastion]# groupdel dip
[root @ bastion]# groupdel slipusers
[root @ bastion]# groupdel popusers (se non si ha un server pop)
[root @ bastion]# groupdel pppusers (se non si hanno utenti che usano ppp)
[root @ bastion]# groupdel uucp
[root @ bastion]# groupdel games (se non si usa X Window).

Ricordiamoci anche di togliere i vari utenti/password "di prova" coem guest/guest, pippo/pippo, admin/admin e test/test.

2.3 i servizi:

Sceglieremo ora, tra i servizi da caricare all’avvio del sistema, solo quelli che realmente servono al nostro sistema: un buon modo di operare è disattivare tutti i servizi indistintamente per poi andare ad attivarli in base alle nostre esigenze.
Qui sotto sono elencati buona parte dei servizi che non servono se non nelle condizioni descritte a fianco (indicati con il nome degli script per farli partire al boot) questi si trovano in /etc/rc.d/rc3.d o /etc/rc.d/rc5.d se si fa il boot in modo grafico.
Volendo fare le variazioni a mano basta rinominare il file interessato con una s (start) minuscola al posto della S maiuscola e questo non verrà più eseguito, per terminare il servizio si possono usare gli script con la K (kill) al posto della S.

Servizio

descrizione

S05apmd         gestione alimentazione / batterie solo per portatili
S10xntpd        distribuisce l'orario del nostro sistema in rete
S11portmap      richiesto se si fanno girare servizi rpc come NIS o NFS
S15sound        gestisce il sonoro della nostra linux-box
S15netfs        client nfs, usato per montare filesystem da un server nfs
S20rstatd       i servizi r forniscono informazioni sul sistema ad utenti
                remoti, si consiglia quindi di disattivarli tutti 
S20rusersd          "
S20rwhod             "
S20rwalld             "
S20bootparamd   client per sistemi diskless 
S25squid        proxy server 
S34yppasswdd    da attivare se la macchina è un server NIS, è uno tra i servizi
                più vulnerabili con quello che segue
S35ypserv          
S35dhcpd        server dhcp 
S40atd          servizio at simile a cron ma non richiesto dal sistema 
S45pcmcia       demone per la gestione dei servizi pcmcia, solo per portatili 
S50snmpd        demone SNMP, utile ma può distribuite informazioni 
                preziose sul tuo sistema. 
S55named        server DNS, se lo usi vai su http://www.isc.org/bind.html per ottenere
                l'ultima versione, è un servizio molto bersagliato, va tenuto
                costantemente aggiornato 
S55routed       RIP, se non sai cos'è non ti serve 
S60lpd          servizi di stampa, poco utile per una firewall-box (2.y)
S60mars-nwe     server Netware, servizi file e stampa 
S60nfs          server NFS 
S72amd          demone AutoMount, usato per "montare" filesystem remoti 
S75gated        da usare se si ha intenzione di usare altri protocolli di routing 
                come OSPF 
S80sendmail     se si disabilita questo servizio si potranno mandare e-mail ma non
                riceverle o farne il relay 
S85httpd        webserver Apache, da tenere costantemente aggiornato:
                http://www.apache.org
S87ypbind       se il sistema è un client NIS. 
S90xfs          server xfont  ( se non si usa X non serve)
S95innd         server per news 
S99linuxconf    usato per configurare la linux-box da remoto

2.4 il file /etc/aliases

Va editato commentando tutti gli alias tranne:

MAILER-DAEMON: postmaster
postmaster: root
bin: root
daemon: root
nobody: root

2.5 il file /etc/host.conf

Va editato e settato così:

#Aggiungere ,host alla fine per far tornare la ricerca degli host dal DNS in /etc/hosts:
order bind,hosts
#Se abbiamo macchine con indirizzi Ipmultipli:
multi on
# Per controllare l'IP address spoofing:
nospoof on

2.6 il file /etc/exports

Se proprio dobbiamo condivide qualche directory tramite NFS, il file /etc/exports va settato nel modo piu' restrittivo possibile, non usando wildcard e specificando quali host dovranno aver accesso alle directory esportate:

/directory_da_condividere host.dominio.it(ro,root_squash)

dove ro sta per read-only e root_squash non permette nemmeno a root di scrivervi, lancia /usr/sbin/exportfs -a per attuare le modifiche.

2.7 il file /etc/login.defs

Cercate la riga PASS_MIN_LEN e mettete un valore superiore a 5 che solitamente è il default per obbligare gli eventuali utenti a scegliere una password lunga.

2.8 il file /etc/lilo.conf

Se vogliamo aumentare la sicurezza della nostra macchina aggiungeremo in lilo.conf:

restricted
password=

siccome la password è in chiaro dovrà essere vista solo da root quindi:

[root @ bastion]# chmod 600 /etc/lilo.conf

per attuare le modifiche e vedere i messaggi di ritorno in maniera esaustiva:

[root @ bastion]# lilo -v

e per maggior paranoia renderemo anche lilo.conf immutabile:

[root @ bastion]# chattr +i /etc/lilo.conf

2.9 il file /etc/services

Si occupa della conversione "nome servizio / numero porta". Solo root deve avere il permesso di leggerlo:

[root @ bastion]# chmod 600 /etc/services

e siccome capita di rado di doverci mettere mano lo renderemo immutabile:

[root @ bastion]# chattr +i /etc/services

2.10 le risorse utente

Se vogliamo evitare che un utente saturi le risorse di sistema dobbiamo agiungere in /etc/security/limits.conf:

* hard core 0
# per non fargli creare file core di dimensione uguale a 0
* hard rss 5000
# per limitare la memoria a disposizione a 5Mb
* hard nproc 10
# per limitare il numero di processi lanciabili a 10


2.11 la directory /etc/rc.d/init.d/

Anche qui bisogna assicurarsi che sono root abbia accesso agli script quindi digiteremo:

[root @ bastion]# chmod -R 700 /etc/rc.d/init.d/*