Avanti Indietro Indice

9. Preparazione della Sicurezza (prima di entrare in rete)

Bene: avete controllato il sistema, è sicuro per quanto possibile e siete pronti a metterlo in rete. Ci sono alcune cose che dovreste fare ora per prepararvi ad un'intrusione, in modo da poter mettere fuori gioco velocemente l'aggressore e tornare alla piena funzionalità.

9.1 Fate un backup completo della macchina.

La discussione dei metodi di backup va oltre gli scopi di questo documento, ma vanno spese alcune parole su backup e sicurezza:

Se avete meno di 650mb di dati da salvare su una partizione, un CD-R è un'ottima strada (perché difficile da manomettere e molto durevole). Nastri e altri media riscrivibili dovrebbero essere protetti dalla scrittura non appena il backup è completo e quindi verificati per evitare la manomissione. Assicuratevi di lasciare i backup in un'area sicura e off-line. Un buon backup vi darà un buon punto di riferimento da cui ripristinare il sistema.

9.2 Scegliere una Buona Tabella di Backup

Un ciclo di sei nastri è facile da mantenere. Prevede quattro nastri per la settimana, uno per i Venerdì pari e uno per quelli dispari. Eseguite un backup incrementale ogni giorno, e un backup completo sul nastro del Venerdì. Potreste fare un backup completo anche per dei particolari cambiamenti importanti.

9.3 Fate un Backup dei Vostri Database di RPM o Debian

Nel caso di un'intrusione, potete usare il vostro database di pacchetti come usereste tripwire, ma solo se siete sicuri che non è stato modificato. Dovreste copiare il database RPM in un floppy e tenerlo sempre off-line. Probabilmente la Debian ha qualcosa di simile.

I file /var/lib/rpm/fileindex.rpm e /var/lib/rpm/packages.rpm probabilmente non entreranno in un solo floppy, ma se compressi dovrebbero entrare in un floppy ciascuno.

Ora, se il vostro sistema viene compromesso potete usare il comando:

                        root#  rpm -Va
per verificare ogni file sul sistema. Leggete la pagina man di rpm, perché esistono alcune opzioni che possono essere usate per avere un output più: conciso. Ricordate che dovete essere sicuri che anche l'eseguibile di RPM non sia stato compromesso.

Questo significa che ogni volta che viene aggiunto al sistema un RPM, il database dovrà essere ri-archiviato. voi decidere i vantaggi contro gli svantaggi.

9.4 Tenete Nota dei Dati degli Account

È molto importante che le informazioni che vengono da syslog non siano modificate. Rendendo leggibili e scrivibili file in var/log solo da poche persone è un buon inizio.

Assicuratevi di tenere d'occhio cosa viene scritto lì soprattutto in auth. La presenza di molti login falliti, per esempio, indica una tentata intrusione.

Dove cercare i log dipende dalla vostra distribuzione. In un sistema Linux conforme al "Linux Filesystem Standard", come RedHat, cercherete in /var/log e controllerete messages, mail.log, ed altri.

Potete capire dove il sistema tiene i log leggendo il file /etc/syslog.conf. Questo è il file che dice a syslogd (il demone dei log di sistema) dove tenere i messaggi dei log.

Potreste anche voler configurare lo script o il demone che alterna i log per fargli tenere a lungo i log per avere tutto il tempo di esaminarli. Date un'occhiata al pacchetto logrotate su distribuzioni RedHat recenti. Altre distribuzioni hanno probabilmente un processo simile.

Se i vostri log sono stati manomessi, cercate di capire quando è iniziata la manomissione e cosa sembra cambiato. Ci sono lunghi periodi di tempo che non hanno log? Controllare i nastri di backup in cerca di log intatti è un buon inizio.

Gli intrusori in genere modificano i log per coprire le loro tracce, ma dovrebbero comunque essere controllati. Potreste notare l'intrusore che cerca un accesso o sfrutta un programma per ottenere l'account di root. Potreste vedere voci nei log che l'intrusore non ha avuto il tempo di cambiare.

Dovreste anche assicurarvi di separare auth dagli altri log, inclusi i tentativi di cambiare utente con su, i tentativi di login, e altre informazioni sugli account.

Se possibile, configurate syslog per mandare una copia dei log ad un sistema sicuro. Questo eviterà che un intrusore cancelli le sue tracce insieme ai tentativi di login/su/ftp/ecc. Leggete la pagina man di syslog.conf e cercate l'opzione @.

Ci sono diversi altri programmi syslogd più avanzati. Leggete http://www.core-sdi.com/ssyslog/ a proposito di Secure Syslog. Secure Syslog permette di crittare le voci del syslog per essere sicuri che nessuno le manometta.

Un altro syslogd con altre caratteristiche è syslog-ng. Vi permette molta flessibilità e critta i flussi remoti di syslog per evitare la manomissione.

In fine, i log sono inutili se nessuno li controlla. Prendetevi del tempo ogni tanto per leggere i vostri log e farvi un'idea di come devono essere in normali condizioni. Saperlo fa risaltare molte cose strane.

9.5 Applicate Tutti i Nuovi Aggiornamenti di Sistema.

Molti utenti Linux istallano da un CD-ROM. A causa della natura repentina degli aggiornamenti di sicurezza, vengono rilasciati continuamente nuovi programmi. Prima di connettere la vostra macchina alla rete è bene controllare sul sito ftp della vostra distribuzione e prendere tutti i pacchetti aggiornati da quando avete installato il CD-ROM. Spesso questi pacchetti contengono molte soluzioni di sicurezza, quindi è una buona idea installarli.


Avanti Indietro Indice