Unix Security Checklist1 Security Patches –[] Installare sempre tutte le security patches per il SO in uso per mantenere il sistema collegato in rete up.

Presentazione sul tema: "Unix Security Checklist1 Security Patches –[] Installare sempre tutte le security patches per il SO in uso per mantenere il sistema collegato in rete up."— Transcript della presentazione:

1 Unix Security Checklist1 Security Patches –[] Installare sempre tutte le security patches per il SO in uso per mantenere il sistema collegato in rete up to date.

2 Unix Security Checklist2 Network Security –[] Filtrare i servizi Router, Firewall –[] Disabilitare i comandi r rlogin, rsh, rcp –[] /etc/hosts.equiv -.rhosts sono usati per indicare gli host e/o gli utenti che sono autorizzati ad accedere al sistema permettono laccesso al sistema ignorando il meccanismo di autenticazione della password.

3 Unix Security Checklist3 Esempio: –Se un utente tenta un login da un sistema elencato in hosts.equiv, e lutente ha un account sul sistema locale con lo stesso login name, laccesso e permesso senza richiedere password Regole per la compilazione –poche entry –uso dei netgroups –host fidati –host completamente specificati –non usare # o ! Per commentare linee –proprieta: root –permission: 600 (rw per il proprietario)

4 Unix Security Checklist4 Esempi di entry: –hostname username –+ –+ username –hostname + –+ @netgroupx –- username –- hostname –- @netgroupx –[] $HOME/.rhost se non necessario: assicurarsi che sia vuoto se necessario: seguire le regole precedenti

5 Unix Security Checklist5 –[] /etc/netgroups per definire gruppi validi sulla rete Esempio –grpX (host1, usr1, dominio) –[] NFS se usato, la gestione della sicurezza e lintegrita dei files e demandata al NFS server –filtrare il traffico NFSper prevenire accessi al di fuori della rete locale »TCP/UDP on port 111 »TCP/UDP on port 2049 –applicare tutte le patches –Disabilitare NFS se non necessario –esportare solo i file system necessari

6 Unix Security Checklist6 –non esportare aree di sistema (/etc/exports o /etc/dfstab) –specificare completamente gli host verso cui si esportano i file system –specificare la lista degli host abilitati »-access=drum.sitex.com –controllare laccesso dellutente root »-root=kappa.sitex.com:luna –esportare in modalita read-only, se possibile »/home -access=host1, ro oppure »share -F nfs -o ro=host1 /home –i file /etc/exports o /etc/dfstab devono avere permission 644 –i file /etc/exports o /etc/dfstab devono essere di root –verificare cosa e come il sistema esporta »showmount -e

7 Unix Security Checklist7 –[] /etc/inetd.conf contiene la lista dei server che vengono attivati da inetd quando richiesti –disabilitare i servizi non necessari –permission 600 –owner root –[] /etc/services contiene la lista dei servizi, il canale su cui comunicare e il protocollo utilizzato per la comunicazione –[] fingerd disabilitare: puo fornire preziose informazioni ad un potenziale intrusore

8 Unix Security Checklist8 –[] rexd disabilitare o utilizzare in secure mode. Puo essere usato per eseguire comandi da remoto –[] httpd Usare la versione piu recente. Il proprietario del processo non deve essere root. Configurare adeguatamente. Non usare CGI scripts Usare CGI binari e linkati staticamente. Evitare uso di perl, awk, shell..

9 Unix Security Checklist9 –[] NIS/NIS+ Non usare NIS o NIS+ se non necessario In caso di necessita e preferibile usare NIS+ Limitare luso di YPCAT e NISCAT a root

10 Unix Security Checklist10 Unix Security Checklist Account Security –[] ROOT account la password devono possederla solo persone fidate Disabilitare rlogin a root –scommentare nel file /etc/default/login la entry CONSOLE=/dev/CONSOLE Evitare di fare: Login: root Fare login come utente comune e … poi diventare SuperUser Controllare che nei file.cshrc,.login o.profile di root non sia contenuta la directory corrente nel path di esecuzione. Rimuovere il la entry.

11 Unix Security Checklist11 Unix Security Checklist Controllare che i comandi esguiti dal cron siano di proprieta di root e che non siano scrivibili da altri che non root. –[] PASSWORD Controllare /etc/passwd: non deve contenere altri utenti che root con uid=0 e guid=1 –[] Account speciali Disabilitare lutente guest Disabilitare / Abilitare con attenzione gli account suggeriti dai fornitori di SW applicativi

12 Unix Security Checklist12 Unix Security Checklist Disabilitare utenti con nessuna password: impostare il campo password –* in /etc/passwd oppure –NP in /etc/sahdow Controllare gli utenti che hanno dei file di cron Assegnare Shell non attive agli utenti di sistema –[] Amministrazione degli utenti Assicurarsi del continuo uso dellaccount –disabilitare dopo X mesi di inattivita Assicurarsi che tutti gli utenti abbiano una password Monitorare luso di SU

13 Unix Security Checklist13 Unix Security Checklist Monitorare gli accessi al sistema Considerare lassegnazione di quote –quotaon/off –edquota –repquota Assegnare account giustificati –[] File System e permission /var/adm/utmp /var/adm/wtmp - 644 /etc/*tab - 644 /etc/syslog.pid - 644 Togliere i diritti di lettura a i file che non devono essere acceduti da utenti /etc /usr/etc /bin /sbin /usr/bin devono essere di proprieta di root

14 Unix Security Checklist14 Unix Security Checklist Controllare permission su file con regolarita –find -type f \(-perm 2 \) -exec ls -lg {}\; Fare una copia delle aree di sistema dopo linstallazione: si potranno confrontare i file correnti con gli originali