Il primo grado di sicurezza che dovete considerare è la sicurezza fisica dei vostri sistemi. Chi ha fisicamente accesso ai computer? Dovrebbe averlo? Riuscite a proteggere la vostra macchina da eventuali intrusioni?
Di quanta sicurezza fisica avete bisogno sul vostro sistema dipende molto dalla situazione e/o dal budget.
Se siete un utente casalingo, probabilmente non è molto importante (anche se potreste aver bisogno di proteggervi dalla curiosità di bambini o parenti). Se si tratta di un laboratorio, ne avrete più bisogno, ma gli utenti avranno comunque bisogno di non essere limitati nel lavoro. Molte delle seguenti sezioni saranno d'aiuto. Se siete in un ufficio, potreste avere bisogno o no di tenere al sicuro le vostre macchine fuori dalle ore di lavoro o quando non siete presenti. In certe compagnie, lasciare incustodita la vostra macchina è un errore da licenziamento.
Ovvi metodi di sicurezza come lucchetti, macchine chiuse a chiave e video sorveglianza sono buone idee, ma vanno oltre il tema di questo documento. :)
Molti case dei moderni PC includono la possibilità di essere chiusi. In genere hanno una toppa sulla parte frontale del case che può essere alternate fra le posizioni "chiuso" e "aperto con una chiave. Queste serrature possono aiutare ad evitare che qualcuno rubi il vostro PC, o che apra il case e manipoli o rubi i componenti. In alcuni casi possono anche impedire che qualcuno riavvii il computer con un proprio floppy o con componenti modificati.
Queste serrature hanno funzioni diverse a seconda che siano riconosciute dalla scheda madre e di come è costruito il case. Su molti PC fanno in modo di obbligarvi a rompere il case per aprirlo. In altri, non vi permetteranno neanche di inserire nuove tastiere o mouse. Controllate le istruzioni della vostra scheda madre o del case per maggiori informazioni. A volte questa può essere una caratteristica molto utile, anche se le serrature sono in genere di bassissima qualità e possono essere facilmente superate con un po' di scasso.
Alcune macchine (soprattutto SPARC e Mac) hanno un gancio sul retro in cui far passare una catena che un ipotetico intrusore dovrebbe rompere per aprire il case. Semplicemente metterci un lucchetto può essere un deterrente contro i furti.
Il BIOS è il più basso livello software per configurare il vostro hardware basato su tecnologia x86. LILO e altri metodi di boot di Linux accedono al BIOS per capire come avviare la macchina. Altro hardware su cui gira Linux ha un software simile (OpenFirmware sui Mac e i nuovi Sun, la PROM di avvio di Sun, ecc...). Potete usare il vostro BIOS per evitare che un intrusore riavvii la vostra macchina e manipoli il vostro sistema Linux.
Molti BIOS di PC vi permettono di usare una password di avvio. Questo non dà molta sicurezza (il BIOS può essere resettato o rimosso se qualcuno può aprire il case), ma potrebbe essere un buon deterrente (cioè si perderà del tempo e si lasceranno delle tracce). Allo stesso modo, su S/Linux (Linux per macchine con processore SPARC(tm)), la vostra EEPROM può essere configurata per richiedere una password di avvio. Questo può rallentare l'intrusore.
Molti BIOS x86 vi permettono anche di usare diversi altri utili settaggi di sicurezza. Leggete il manuale del vostro BIOS o dategli un'occhiata quando riavviate la prossima volta. Per esempio alcuni BIOS bloccano l'avvio da floppy e altri richiedono una password per modificare certe caratteristiche del BIOS.
Nota: se avete una macchina server e inserite una password di avvio, questa non ripartirà da sola. Ricordate che dovrete andare a mettere la password se mancasse la corrente. ;(
Anche i vari boot loader per Linux possono avere una password.
LILO, per esempio, ha le opzioni password
e restricted
;
password
richiede una password all'avvio,
mentre restricted
richiede una password solo se specificate opzioni (
come single
) al prompt di LILO
.
Dalla pagina man di lilo.conf:
password=password
L'opzione `password=...' (vedi sotto) ha effetto su ogni partizione.
restricted
L'opzione `restricted' (vedi sotto) ha effetto su ogni partizione.
password=password
proteggi l'immagine con una password.
restricted
Serve una password per avviare l'immagine solo se vengono
specificati parametri alla linea di comando (per es. single).
Tenete presente quando settate tutte queste password che poi dovrete ricordarvele. :) Ricordatevi anche che tutte queste password si limiteranno a rallentare un intrusore ben determinato. Non impediranno di avviare da un floppy e quindi montare la partizione di root. Se state usando questo tipo di sicurezza dovreste anche disabilitare il boot da floppy nel BIOS del computer, e quindi proteggerlo con una password.
Se qualcuno avesse informazioni sulla sicurezza dei boot loader, ci piacerebbe
averle. (grub
, silo
, milo
, linload
, etc).
Nota: Se avete una macchina server e inserite una password di boot, la vostra macchina non si riavvierà da sola. Ricordate che dovrete andare a mettere la password se andasse via la corrente. ;(
Se vi allontanate dal computer ogni tanto, torna utile poter "bloccare" la macchina
così che nessuno possa manomettere, o vedere, il vostro lavoro.
Due programmi che lo fanno sono: xlock
e vlock
.
xlock
blocca il video di una sessione di X. Dovrebbe essere incluso in
ogni distribuzione che supporti X. Controllate la sua pagina man per trovare
altre opzioni, ma in genere potete eseguire xlock
da xterm per
bloccare il monitor e obbligare ad inserire una password per sbloccarlo.
vlock
è un semplice programmino che vi permette di bloccare
alcune o tutte le console virtuali del vostro Linux. Potete bloccarle tutte o
solo quella che state usando. Se ne bloccate una sola, altri potranno venire
ad usare le altre; semplicemente non potranno usare la vostra finché non
la sbloccate. vlock
è distribuito con RedHat Linux, ma non
è detto che sia l'unica.
Chiaramente bloccare la vostra console impedirà ad altri di manipolare il vostro lavoro, ma non di riavviare la macchina o distruggere il vostro lavoro in altri modi. Inoltre non evita che qualcuno acceda alla vostra macchina dalla rete e causi problemi
Ancora più importante, non impedisce che qualcuno esca da X e, passando a un normale prompt di login di una console virtuale o alla VC da cui X11 era stato avviato, lo sospenda, ottenendo così i vostri privilegi.
La prima cosa da notare è quando la macchina è stata riavviata. Visto che Linux è un SO stabile e robusto, dovrebbe essere riavviato solo quando voi lo riavviate per aggiornamenti del SO, cambiamenti all' hardware, o cose del genere. Se la vostra macchina si è riavviata senza un vostro comando, potrebbe essere il segno della manomissione di un intrusore. Molti dei metodi di manomissione richiedono un riavvio o uno spegnimento del computer.
Cercate segni di manomissione sul case o intorno al computer. Anche se molti intrusori cancellano le tracce della loro presenza dai log, è buona norma controllarli tutti e cercare delle discrepanze.
È una buona idea anche tenere i log in un posto sicuro, come un log server dedicato all'interno di una rete ben protetta. Una volta che una macchina è stata compromessa, i log perdono utilità perché probabilmente sono anch'essi stati manomessi.
Il demone syslog può essere configurato per mandare automaticamente dati di log a un server syslog centralizzato, ma in genere viene mandato non crittato, permettendo a un intrusore di vedere i dati mentre vengono trasferiti . Questo può rivelare informazioni sulla vostra rete che non dovrebbero essere pubbliche. Ci sono anche demoni syslog che crittano i dati inviati.
Tenete in conto anche del fatto che falsificare messaggi del syslog è facile -- con un exploit che è stato pubblicato. Syslog accetta anche log di rete che dichiarino di venire da local host senza indicare la loro vera origine.
Alcune cose da controllare nei vostri log:
su
o login da posti strani. Parleremo del controllo dei log più avanti ( Dati Account) nell' HOWTO.