Salta il menu
*Guida Linux Mint 9.0 - Sicurezza

< Home >

*

La Sicurezza in Linux Mint

La sicurezza in Linux in generale ed in Linux Mint nello specifico, si concretizza nell'evitare l'esposizione a software malevolo attraverso l'uso di repositories con firma digitale, nel minimizzare i danni accidentali o automatizzati susseguenti all'impiego dell'account non-root, nei permessi dei file e con la diversità del software quale riserva.
Alcuni di questi accorgimenti, ha bisogno di ulteriore affinamento.

1. Tenete il sistema aggiornato

questo è un semplice, ma estremamente importante pezzo del puzzle. Assicuratevi di avere il sistema che segnali automaticamente gli aggiornamenti e per farlo basta seguire questo percorso:

Menù → Preferenze → Applicazioni d'avvio

Assicuratevi che nella finestra delle applicazioni ad avvio automatico, sia abilitata la voce "mintUpdate" e se non lo è aggiungete il segno di spunta cliccando sul box a lato.

*

2. Firewall

Il Firewall si basa su un interessante concetto. Fondamentalmente un firewall è uno strumento che controlla il traffico in ingresso e in uscita dalla vostra macchina. I Firewall sono configurati per permettere il traffico da voi impostato e blocca tutto quello che non è stato richiesto e consentito.

Linux Mint dispone di un Firewall preinstallato che non è attivo predefinitamente e che va attivato.

*

Per farlo basta selezionare la voce "Abilitato".

*

Nel pulsante accanto alla voce "Incoming" (Ingresso) è predefinita la negazione all'ingresso di dati. Se si vuole concedere l'ingresso dei dati, basta cliccare sullo stesso pulsante e scegliere la voce "Permetti". A questa scelta è possibile abbinare delle regole, cliccando sul pulsante "Aggiungi" e definendo le regole preferite.
Ad esempio se si vuole consentire a Transmission - il client BitTorrent - di far entrare i dati di un download, basta rimanere nella scheda "Predefinite" , lasciare selezionato il pulsante "In", il pulsante "Programma" e cliccare sul pulsante più a destra e selezionare "Transmission". Fatto ciò occorre cliccare sul pulsante "Aggiungi" e poi chiudere. In questo modo il Firewall non si opporrà all'ingresso dei dati provenienti da Transmission.

*

Nel pulsante accanto alla voce "Outgoing" (Uscita) è predefinita la concessione all'uscita dei dati. Se si vuole escludere l'uscita dei dati, basta cliccare sullo stesso pulsante e scegliere la voce "Nega". A questa scelta è possibile abbinare delle regole, cliccando sul pulsante "Aggiungi" e definendo le regole preferite.

2.1 Shorewall

Shorewall è un firewall molto potente e flessibile che utilizza iptables e Netfilter. Molto flessibile è la configurazione, che consente di essere utilizzato in una vasta gamma di ambienti firewall/gateway/router e VPN. L'installazione Shorewall può essere effettuata dal Gestore dei Pacchetti.
Ecco una guida rapida per utilizzare Shorewall. Le caratteristiche di Shorewall possono essere consultate qui.

3. Ricerca di malware

Queste funzioni sono ormai da tempo necessarie in altri sistemi operativi. Nel caso vogliate effettuare queste ricerche anche su Linux Mint, potreste prendere in considerazione rkhunter o chkrootkit, i quali scansionano il vostro sistema alla ricerca di modificazioni nefande. Entrambi sono a linea di comando.

3.1 Chkrootkit

Chkrootkit è uno strumento progettato per controllare localmente la presenza di una firma di root kit nella vostra Linux box. I "Root kits" sono fondamentalmente dei file che si nascondono nel vostro computer in momenti di pausa, consentendo all'attacker di accedere al vostro computer in futuro.
Questo PDF (in inglese) spiega come aggiungere chkrootkit al vostro arsenale.

3.2 Rootkit Hunter

Rootkit Hunter è un grande strumento per analizzare e monitorare la sicurezza del vostro sistema. Come Chkrootkit, questo strumento controlla anche la presenza di rootkits nascosti nella vostra macchina, così come la presenza di strumenti che possano essere potenzialmente dannosi per il vostro sistema.
Una guida dettagliata sul download e sulla installazione di Rootkit Hunter può essere trovata qui.

4. Anti-virus

Fondamentalmente sono strumenti che non servono in Linux e nemmeno in Linux Mint. Sono inutili. Un antivirus in Linux Mint serve solo a proteggere gli utenti Windows dai virus che eventualmente transitano su Linux Mint.

4.1 Clam AntiVirus

ClamAV è una serie di strumenti GPL anti virus. L'obiettivo principale di ClamAV è l'integrazione con i server mail, ma può essere usato anche per controllare file per la presenza di virus, da linea di comando. Fornisce uno scanner a linea di comando ed un database di virus che viene costantemente aggiornato. La più conosciuta applicazione è quella associata ad un mail server, abbinata a strumenti antispam come Spam Assassin.
L'installazione può essere effettuata dal Gestore dei Pacchetti.
Il Wiki di Clam AntiVirus può essere frequentato qui.
Questo PDF copre tutte le necessità che possiate avere al riguardo di ClamAV.

4.2 Soluzioni online

Inoltre, non è necessario avere un programma installato localmente per avere un servizio antivirus. Potete sfruttare anche soluzioni online, come Jotti o VirusTotal, entrambi dotati di scanners multipli per il riconoscimento di contenuti malevoli. Caricate un file e verrà sottoposto a scansionamento da parte di software antimalware.

5. Allarmi di sistema

Gli allarmi di sistema vanno al di la del malware. Si riferiscono ai controlli al vostro sistema per sapere cosa sta funzionando, dove, come, quando e perché. Ci sono moltissime applicazioni al riguardo, molte già installate e pronte all'uso.

5.1 /var/log/messages

Questo è il log di sistema. Praticamente ogni cosa passa da qui. Leggendo il log si avranno indicazioni di possibili problemi di sistema, compresi gli errori del software e relativi problemi di sicurezza. È necessario un certo grado di conoscenza per leggere questo file.

5.2 Esaminare i log in degli utenti

Ci sono molti modi per fare questo. Il più accurato è quello di visualizzare l'output del comando ps. Ma potete usare anche i comandi w, who e lastlog.

6. Altri Strumenti

6.1 Nmap Security Scanner

Nmap, che sta per "Network Mapper" è una utility free open source che consente di esplorare e controllare una rete. Usa un nuovo modo per determinare quali host sono disponibili sulla rete, quali servizi (nome dell'applicazione e versione) offre quell'host, quale sistema operativo ha in uso, quali filtri ai pacchetti sono in uso e dozzine di altre caratteristiche.
Può essere installato dal Gestore dei Pacchetti.
Un ottimo tutorial (in inglese) è reperibile qui.

6.2 Nessus Vulnerability Scanner

Nessus è uno scanner di vulnerabilità che prova la vostra macchina in rete paragonandola ad un database aggiornato delle vulnerabilità, avvertendovi della presenza di falle, con una dettagliata analisi dei sistemi per chiudere tali falle.
Per la installazione, visitate questa pagina.
Una utile guida a Nessus può essere reperita qui.

6.3 Snort

Snort è una delle armi più potenti da opporre agli intrusi. Snort viene usato in tre modi differenti: come un packet sniffer, un packet logger, o come un completo sistema di riconoscimento delle intrusioni (IDS). Può avviare una analisi del traffico in tempo reale sulla rete. Può avviare una analisi di protocolli, dei contenuti e può essere usato per riconoscere una varietà di attacchi tentativi di intrusione, come il buffer overflows, scansione nascosta delle porte, attacchi CGI e molto altro.
Può essere installato dal Gestore dei Pacchetti ed un manuale di utenza (in inglese), può essere reperito qui.

6.4 Tripwire

Tripwire è uno strumento di sicurezza e di integrità dei dati, utile per monitorare e avvisare su specifici cambiamenti di file su molti sistemi. Fondamentalmente, tripwire ha la capacità di avvisarvi quando i file sono stati modificati sul vostro sistema.
Può essere installato dal Gestore dei Pacchetti ed una guida all'uso (in inglese) può essere consultata qui.

6.5 Kismet

Kismet è un detector 802.11 layer2 per reti wireless, ed un sistema di riconoscimento di intrusione. Se avete una rete wireless o viaggiate con un laptop, questo strumento è necessario.
Può essere installato dal Gestore dei Pacchetti.

6.6 Wireshark

Wireshark è un analizzatore di protocollo di rete, che ha una varietà di dotazioni di sicurezza. Fondamentalmente, Wireshark cattura i pacchetti che viaggiano a cavallo di una rete e mostra più informazioni possibili su essi.
Può essere installato dal Gestore dei Pacchetti ed è disponibile una guida all'utente qui (in inglese).

7. Accorgimenti per la sicurezza

Di per se un desktop Linux è già molto più sicuro di altre offerte, ma questo livello di sicurezza non coinvolge necessariamente tecniche e software appositamente dedicati ad essa. Talvolta, per facilitare l'applicazione di una buona sicurezza, ci sono quelle misure che sono facili da applicare.

7.1 Bloccare lo schermo ed effettuare il log out è importante

La maggior parte della gente dimentica che il desktop Linux è un ambiente multiutente. Perciò potete effettuare il log out mentre qualcun altro può effettuare il log in. Questo non significa solo che qualcun altro potrebbe usare il vostro desktop, vuole anche dire che potete ( e dovreste) effettuare il log out quando avete finito di lavorare. Naturalmente il log out non è la vostra unica opzione. Se siete il solo utente del vostro sistema, potete bloccare lo schermo. Bloccare lo schermo vuole semplicemente indicare che è necessaria una password per potere tornare al desktop. La differenza sostanziale è che potete lasciare le vostre applicazioni aperte e bloccare lo schermo. Quando sbloccherete il desktop, gli stessi programmi lasciati aperti, torneranno a funzionare.

7.2 Nascondere file e cartelle

Nel mondo Linux, file e cartelle sono nascosti aggiungendo un "." (punto) prima del nome del file. Quindi il file test apparirà nella finestra del file manager, ma il file .test no. La maggior parte della gente non sa che avviando il comando ls -a si visualizzeranno tutti i file e cartelle nascosti. Quindi se avete cartelle o file che non volete che il vostro coinquilino veda, basta semplicemente aggiungere un punto davanti al nome dei file e delle cartelle per impedire che lo faccia.
Potrete fare tutto questo anche da linea di comando in questo modo : mv test .test.

7.3 Una buona password è d'obbligo

La vostra password su un PC Linux è la vostra chiave dorata. Se date questa password a tutti o se questa è prevedibile, la vostra chiave dorata sarà quella di tutti. Ci sono molti generatori di password che potete usare (come Automated Password Generator). Ma potete anche ricorrere ad un metodo conosciuto e molto carino. Per un nome come "Enrico80" potremo usare numeri e lettere in questo modo "3nr1c08o", oppure "Federico91" con "f36er1c0gI". Ingegnatevi e non siate troppo prevedibili.

7.4 Installare applicazioni di file-sharing è rischioso

Ci sono molti utenti Linux inclini al file sharing. Se vorrete correre questo rischio a casa vostra, è una vostra scelta. Ma una volta al lavoro, non solo esporrete voi stessi (e la vostra azienda) ai rigori della legge, ma esporrete il vostro desktop ad altri utenti che potranno accedere ai vostri dati sensibili collocati nel vostro PC. Perciò, come regola principale, non installate programmi di file sharing.

7.5 SELinux c'è per una ragione

SELinux (Security-Enhanced Linux) è stato creato da NSA. Quello che fa SELinux è di controllare gli accessi alle applicazioni e lo fa molto bene. Certo, SELinux può qualche volta essere pesante e provocare qualche calo di prestazioni al vostro sistema, oppure potete notare come alcune applicazioni siano difficili da installare. Tuttavia il livello di sicurezza che guadagnerete usando SELinux (o Apparmor) vi farà dimenticare i suoi lati negativi. In corso di installazione di Fedora, potrete avere la possibilità di attivare SELinux.

7.6 Creare la /home in una partizione separata

L'installazione predefinita di Linux dispone che la directory /home sia piazzata nella root del vostro sistema. Certo è normale, ma 1) è lo standard, quindi chiunque ha accesso alla vostra macchina, sa già dove si trovano i vostri dati e 2) se il vostro sistema vi abbandona, i vostri dati saranno definitivamente perduti. Per risolvere questi problemi, potete posizionare la /home in una partizione differente del vostro hard disk. Ciò non è una cosa da fare per i deboli di cuore, ma è di certo un accorgimento da osservare se tenete ai vostri dati.

7.7 Usare un desktop non standard

Usare desktop alternativi non solo vi offre qualcosa di bello e diverso (Enlightenment, Blackbox, Fluxbox, etc.) per il vostro pc, ma offre anche un semplice grado di sicurezza in più, specialmente nei riguardi di coloro che sono abituati a usare lo stesso desktop e che possano quindi trovarsi spaesati. Usare Fluxbox ad esempio, determina qualche problema per tutti quelli che sono abituati all'interfaccia che preveda il tasto Start. Questi non sapranno come accedere alla lista dei programmi od alle cartelle dei vostri documenti. Se avete intenzione di aprire un Internet Point, Fluxbox può essere un ottimo desktop per consentire l'unica cosa che volete che i vostri clienti facciano, collegarsi a internet.
Anche allestire una scrivania sgombra da qualsiasi icona che faccia riferimento ai vostri documenti, è un modo semplice di non offrire ad estranei l'accesso facile ai vostri contenuti.

7.8 Fermare i Servizi

Se la macchina che usate è un PC per uso desktop, i servizi tipici di un server non sono necessari. Avviare servizi come httpd, ftpd ed sshd è inutile e sciocco. Se non vi servono, non lasciate che questi servizi possano ledere la sicurezza del vostro sistema, disabilitateli. Controllate il file /etc/inetd.conf ed assicuratevi che i servizi che non vi servono siano disabilitati.

Torna in alto