Dopo aver letto tutte le informazioni dei capitoli precedenti potreste chiedervi "Devo fare molte cose per rendere sicuro il mio sistema, non potrebbero essere automatizzate?". La risposta è si, ma fate attenzione agli strumenti automatizzati. Alcune persone credono che uno strumento di irrobustimento non elimini il bisogno di una buona amministrazione. Perciò non pensate stupidamente che si possa automatizzare l'intero processo e risolvere i problemi correlati. La sicurezza è un processo continuo al quale l'amministratore deve partecipare e al quale non può solo assistere e lasciare che gli strumenti svolgano il loro lavoro. Non esiste un solo strumento che possa risolvere problemi per tutte le possibili implementazioni delle politiche di sicurezza, tutti i tipi di attacchi e tutti gli ambienti.
Dall'uscita di woody (Debian 3.0) esistono due pacchetti specifici che sono
utili per aumentarne la sicurezza. Il pacchetto harden
che
utilizza un approccio basato sulle dipendenze dei pacchetti per installare
rapidamente i pacchetti relativi alla sicurezza certa e rimuovere quelli con
dei problemi, la configurazione dei pacchetti deve essere fatta
dall'amministratore. Il pacchetto bastille
che implementa una
data politica di sicurezza su un sistema locale, basata su una precedente
configurazione fatta dall'amministratore (la configurazione può essere
effettuata rispondendo con sì od un no a delle semplici domande).
Il pacchetto harden
tenta di rendere più semplice l'installazione
e l'amministrazione degli host che necessitano di una buona sicurezza. Questo
pacchetto dovrebbe essere usato da persone che desiderano un piccolo aiuto per
aumentare la sicurezza del sistema. Per fare questo entra in conflitto con i
pacchetti che hanno problemi, includendo (ma non limitandosi solamente a
questo): buchi di sicurezza noti (come buffer overflow), uso di password in
chiaro, mancanza di controllo d'accesso, etc. Installa anche automaticamente
alcuni tool che possono fornire una sicurezza maggiore in qualche modo:
strumenti per il rilevamento delle intrusioni, strumenti di analisi della
sicurezza, etc. Harden installa i seguenti pacchetti virtuali (cioè
non hanno contenuto, ma solo dipendenze su altri):
harden-tools
: strumenti che aumentano la sicurezza del sistema
(controllo d'integrità, rilevamento delle intrusioni, patch al kernel...)
harden-doc
: fornisce questo manuale e altri pacchetti di
documentazione relativi alla sicurezza.
harden-environment
: aiuta a configurare un ambiente più robusto
(al momento vuoto).
harden-servers
: rimuove i server considerati insicuri per qualche
ragione.
harden-clients
: rimuove i client considerati insicuri per qualche
ragione.
harden-remoteflaws
: rimuove i pacchetti con buchi di sicurezza
conosciuti, che possono essere usati da un attaccante remoto per compromettere
il sistema (usa Conflicts: sulle versioni).
harden-localflaws
: rimuove pacchetti con buchi di sicurezza noti
che possono essere usati da un attaccante locale per compromettere il sistema
(usa Conflicts: sulle versioni).
harden-remoteaudit
: strumenti per un controllo remoto di un
sistema.
Fate attenzione perché se avete software di cui avete necessità (e che non
volete disinstallare per qualche motivo) che entra in conflitto con qualcuno
dei pacchetti qui sopra, potreste non essere in grado di usare pienamente
harden
. I pacchetti di harden non fanno nulla (direttamente). Ad
ogni modo, hanno dei conflitti con dei pacchetti conosciuti per la non
sicurezza. In questo modo, il sistema di packaging di Debian non approverà
l'installazione di questi pacchetti. Per esempio, quando tenterete di
installare un demone telnet con harden-servers
, apt
dirà:
# apt-get install telnetd The following packages will be REMOVED: harden-servers The following NEW packages will be installed: telnetd Do you want to continue (Y/n)
Questo dovrebbe far nascere qualche dubbio nella testa dell'amministratore che, a questo punto, dovrebbe riconsiderare questa azione.
Bastille Linux
è uno
strumento automatico per migliorare la sicurezza, originariamente pensato per
le distribuzioni Red Hat e Mandrake; ciononostante, il pacchetto
bastille
è stato riveduto e corretto per offrire le identiche
funzionalità anche al sistema Debian GNU/Linux (in cui è presente a partire
dalla distribuzione woody).
Bastille può essere utilizzato con diversi frontend (sono tutti documentati nella rispettiva pagina man inclusa nel pacchetto Debian), ciò permette all'amministratore di:
InteractiveBastille(8)
).
BastilleChooser(8)
), a
seconda che la macchina funzioni da server o da semplice postazione di lavoro.
AutomatedBastille(8)
).
Securing Debian Manual
Version: 2.97, Fri, 03 Dec 2004 23:31:57 +0000jfs@debian.org