Jump to content

Search the Community

Showing results for tags 'hardening'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Richiesta informazioni e consigli hosting
    • Domini e Registrazioni
    • Shared e Managed Webhosting
    • WebHosting - Primi passi
    • Server dedicati, colocation, connettività e scelta data center
    • VPS - Virtual Private Server
    • Cloud Computing e Cloud Hosting
    • Gestione Server Windows e Server Linux
    • E-mail e Managed Services
    • Pannelli di controllo e Hosting software
    • Professione Hosting Provider
  • Sviluppo Web e Tempo Libero
    • Io Programmo
    • Promozione, advertising e SEO
    • Off-Topic
    • Il tuo sito
  • Guide su hosting, domini, server, CMS e Cloud Computing
    • Articoli e Guide su hosting, domini e cloud computing
    • Annunci e News
    • Offerte Hosting - Provider HostingTalk.it

Calendars

There are no results to display.


Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


AIM


MSN


Website URL


ICQ


Yahoo


Jabber


Skype


Location


Interests


Biografia


Località


Interessi


Cosa fai nella vita?


Il tuo Hosting Provider?

Found 4 results

  1. Oggi vi pongo una domanda, che si pongono spesso molti utenti, soprattutto coloro che si avviano ad amministrare magari un piccolo VPS ,server o una macchina cloud, o che magari vogliono fare della gestione dei server la propria professione... Come si diventa SysAdmin? Come lo siete diventati voi? Come avete imparato i segreti dell'hardening? (la sicurezza è il problema più grande per un neosysadmin che porta la propria macchina online) Vorrei che questa discussione diventasse una grande raccolta di esperienze e consigli, in modo che chi abbia voglia e soprattutto passione per entrare a far parte di quello che è, a mio avviso, uno dei più affascinanti settori tecnologici, possa farsi un idea di come muoversi.
  2. Continuiamo il progetto descritto qui http://www.hostingtalk.it/forum/pannelli-di-controllo-e-hosting-software/11897-da-grande-faccio-il-sistemista-introduzione-ad-una-serie-di-collaborative-tutorial.html. Per chi non volesse fare un minimo di fatica a leggere l'introduzione, questo non vuole essere un tutorial o un how to passo passo esaustivo sull'argomento. Vorrebbe essere solo una sorta di scaletta sulle cose più importanti da verificare per la sicurezza di un server in generale e nello specifico anche per l'hosting. Da questa traccia poi chi è interessato può fare ricerche o anche aprire dei thread con cui approfondire un determinato argomento. MI danno i dati di accesso del server che ho noleggiato, che faccio? Ci sono due scuole di pensiero sul primo passo (di solito, magari ne scopro una terza che non conosco). Piallare tutto e installare dall'inzio il S.O. oppure controllare quello che già c'è e sistemarlo. Io generalmente, salvo situazioni particolari sono per la seconda via. I sistemi operativi pronti con clic e install di solito sono adattati ai server, quanto meno il kernel. Può però servire di sostituire il kernel perchè si hanno esigenze particolari (che so virtualizzare). Non ho manie dietrologiche nel pensare che la webfarm mi configuri un server con chissà che robe nascoste... tanto se vogliono hanno l'accesso fisico alla macchina e poi se mi serve per webhosting.... Se avessi altre esigenze userei crittografia tramite client e sul server depositerei solo dati criptati. Ma visto che per ora una banca non ce l'ho ancora..... In ogni caso, quale che sia la via, le prime tre cose che faccio sono, nell'ordine, sistemare SSHD io personalmente disabilito la password, cambio porta per evitare scanning prolungati e installo i certificati IPTABLES cioè il firewall, appena cambiata la porta di ssh chiudo tutto lasciando aperta solo quella che ho appunto scelto per ssh. Poi man mano apro per gli altri servizi. Chiudere tutti i servizi non usati che si usi l'installazione standard o una pulita il S.O. aggiunge servizi che magari a noi non servono, meglio chiuderli. Le porte saranno già chiuse dal firewall all'esterno, ma basta entrare in altro modo e poi dall'interno il firewall non controlla (a meno che non lo si imposti all'uopo, è non è il caso). Dopo ci si può sbizzarrire su altri metodi di verifica, per esempio i sistemi che dopo X tentativi da parte di un certo IP lo bannano (per esempio Fail2ban) o quelli che non ti fanno passare se non "bussi" tipo Port Knock. Ma questi vanno sempre (eventualmente, non sono necessari per forza) usati in più se li si vuole usare, non per rimediare ad una configurazione assurda di Iptables o alla password di root "paperino". Spunti per i prossimi post in questo 3d: I Log sono nostri amici... anche se pallosi Entra nella testa del nemico, usa i suoi strumenti per primo Al topolino lascia il formaggio sotto la molla non nel frigorifero L'attaccante non può cancellare la traccia che non c'è già più sul server E poi passando ai particolari cenni sui vari servizi che occorrendoci vanno messi in sicurezza. Ovviamente gli interventi sono graditi nonchè necessari per farmi continuare :emoticons_dent2020: N.B. finchè parlo da solo, descrivo il mio punto di vista sulla cosa, non è detto che sia perfetto, non mi assumo responsabilità su chi interpretando bene o male ciò che scrivo avesse danni. Per me e con me funziona, poi ognuno valuti con la propria testa.
  3. Quando si termina di configurare una macchina per servizi web si testa ogni componente in modo minuzioso. Dopo questo passo importante, siamo ormai quasi pronti ad andare in produzione, rimane, però, prima dell'agognato “traguardo”, un ultimo passo da compiere davvero fondamentale per essere ragionevolmente sicuri durante la fase di produzione. Stiamo parlando dell'hardening del server stesso, ovvero tutta una serie di aggiustamenti e configurazioni mirate a proteggere al massimo l'integrità di ogni servizio fino ad arrivare al sistema operativo stesso. Leggi il contenuto dell'articolo Hardening prima della messa in produzione di un sistema LAMP
  4. Rebel

    Kernel hardening

    Usiamo Grsec per rendere un po' più sicura la nostra linux box debian/ubuntu: Scarichiamo la giusta versione del kernel e patch: cd /usr/src wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.17.11.tar.gz wget http://www.grsecurity.net/grsecurity-2.1.9-2.6.17.11-200609031316.patch.gz Scompattiamo il tutto: tar xzvf linux-2.6.17.11.tar.gz gzip -d rsecurity-2.1.9-2.6.17.11-200609031316.patch.gz Applichiamo la patch: patch -p0 < ./grsecurity-2.1.9-2.6.17.11-200609031316.patch Installiamo i pacchetti .deb necessari per compilare il kernel: apt-get install debhelper modutils kernel-package libncurses5-dev Ora configuriamo e compiliamo il nuovo kernel: Ora si tratta di configurare il kernel. Io utilizzo queste opzioni per grsec: # # Security options # # # PaX # CONFIG_PAX=y # # PaX Control # CONFIG_PAX_SOFTMODE=y # CONFIG_PAX_EI_PAX is not set # CONFIG_PAX_PT_PAX_FLAGS is not set # CONFIG_PAX_NO_ACL_FLAGS is not set CONFIG_PAX_HAVE_ACL_FLAGS=y # CONFIG_PAX_HOOK_ACL_FLAGS is not set # # Non-executable pages # CONFIG_PAX_NOEXEC=y CONFIG_PAX_PAGEEXEC=y CONFIG_PAX_MPROTECT=y # CONFIG_PAX_NOELFRELOCS is not set # # Address Space Layout Randomization # CONFIG_PAX_ASLR=y # CONFIG_PAX_RANDUSTACK is not set # CONFIG_PAX_RANDMMAP is not set # # Miscellaneous hardening features # CONFIG_PAX_MEMORY_SANITIZE=y # # Grsecurity # CONFIG_GRKERNSEC=y # CONFIG_GRKERNSEC_LOW is not set # CONFIG_GRKERNSEC_MEDIUM is not set # CONFIG_GRKERNSEC_HIGH is not set CONFIG_GRKERNSEC_CUSTOM=y # # Address Space Protection # CONFIG_GRKERNSEC_KMEM=y CONFIG_GRKERNSEC_IO=y # CONFIG_GRKERNSEC_PROC_MEMMAP is not set CONFIG_GRKERNSEC_BRUTE=y CONFIG_GRKERNSEC_MODSTOP=y CONFIG_GRKERNSEC_HIDESYM=y # # Role Based Access Control Options # CONFIG_GRKERNSEC_ACL_HIDEKERN=y CONFIG_GRKERNSEC_ACL_MAXTRIES=3 CONFIG_GRKERNSEC_ACL_TIMEOUT=30 # # Filesystem Protections # CONFIG_GRKERNSEC_PROC=y CONFIG_GRKERNSEC_PROC_USER=y CONFIG_GRKERNSEC_PROC_ADD=y CONFIG_GRKERNSEC_LINK=y CONFIG_GRKERNSEC_FIFO=y CONFIG_GRKERNSEC_CHROOT=y CONFIG_GRKERNSEC_CHROOT_MOUNT=y CONFIG_GRKERNSEC_CHROOT_DOUBLE=y CONFIG_GRKERNSEC_CHROOT_PIVOT=y CONFIG_GRKERNSEC_CHROOT_CHDIR=y CONFIG_GRKERNSEC_CHROOT_CHMOD=y CONFIG_GRKERNSEC_CHROOT_FCHDIR=y CONFIG_GRKERNSEC_CHROOT_MKNOD=y CONFIG_GRKERNSEC_CHROOT_SHMAT=y CONFIG_GRKERNSEC_CHROOT_UNIX=y CONFIG_GRKERNSEC_CHROOT_FINDTASK=y CONFIG_GRKERNSEC_CHROOT_NICE=y CONFIG_GRKERNSEC_CHROOT_SYSCTL=y # CONFIG_GRKERNSEC_CHROOT_CAPS is not set # # Kernel Auditing # # CONFIG_GRKERNSEC_AUDIT_GROUP is not set # CONFIG_GRKERNSEC_EXECLOG is not set # CONFIG_GRKERNSEC_RESLOG is not set # CONFIG_GRKERNSEC_CHROOT_EXECLOG is not set # CONFIG_GRKERNSEC_AUDIT_CHDIR is not set # CONFIG_GRKERNSEC_AUDIT_MOUNT is not set # CONFIG_GRKERNSEC_AUDIT_IPC is not set # CONFIG_GRKERNSEC_SIGNAL is not set # CONFIG_GRKERNSEC_FORKFAIL is not set # CONFIG_GRKERNSEC_TIME is not set # CONFIG_GRKERNSEC_PROC_IPADDR is not set # CONFIG_GRKERNSEC_AUDIT_TEXTREL is not set # # Executable Protections # CONFIG_GRKERNSEC_EXECVE=y CONFIG_GRKERNSEC_SHM=y CONFIG_GRKERNSEC_DMESG=y CONFIG_GRKERNSEC_RANDPID=y # CONFIG_GRKERNSEC_TPE is not set # # Network Protections # CONFIG_GRKERNSEC_RANDNET=y # CONFIG_GRKERNSEC_SOCKET is not set # # Sysctl support # CONFIG_GRKERNSEC_SYSCTL=y CONFIG_GRKERNSEC_SYSCTL_ON=y # # Logging Options # CONFIG_GRKERNSEC_FLOODTIME=10 CONFIG_GRKERNSEC_FLOODBURST=4 CONFIG_KEYS=y # CONFIG_KEYS_DEBUG_PROC_KEYS is not set CONFIG_SECURITY=y CONFIG_SECURITY_NETWORK=y # CONFIG_SECURITY_NETWORK_XFRM is not set CONFIG_SECURITY_CAPABILITIES=m CONFIG_SECURITY_SECLVL=m CONFIG_SECURITY_SELINUX=y CONFIG_SECURITY_SELINUX_BOOTPARAM=y CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0 CONFIG_SECURITY_SELINUX_DISABLE=y CONFIG_SECURITY_SELINUX_DEVELOP=y CONFIG_SECURITY_SELINUX_AVC_STATS=y CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1 Ho lasciato perdere il loging per ora, dato che ne genera veramente un sacco e devo un attimo capire cosa è veramente utile. Salviamo il nostro bel .config, facendo attenzione ad aver selezionato i giusti moduli per il nostro hw, quindi compiliamo il tutto: make-kpkg --revision=1 kernel_image Una volta terminato installiamo il pacchetto: cd /usr/src dpkg -i kernel-image-2.6.17.11_1_amd64.deb Io utilizzo lilo quindi proseguo con quello. Editiamo lilo.conf vi /etc/lilo.conf ed aggiungiamo queste righe prima di quelle relative al nostro attuale kernel: image=/boot/vmlinuz-2.6.17.11 label="Grsec" read-only Aggiorniamo il bootloader: lilo -v2 Incrociamo le dita e riavviamo la macchina. :P Una volta riavviato logghiamoci come un utente X normale e proviamo a dare: ps aux dovremmo vedere solo i processi relativi a quell'utente e quindi grsec funziona correttamente. Le feature della patch sono moltissime quindi consiglio di leggersi bene le descrizioni relative quando si configura il kernel, e cercare di capire cosa ci va più a genio.
×