Fedora 16 Guida alla Sicurezza Guida alla protezione di Fedora Linux Johnray Fuller John Ha David O'Brien Scott Radvan Eric Christensen Adam Ligas Guida alla Sicurezza Bozza Fedora 16 Guida alla Sicurezza Guida alla protezione di Fedora Linux Edizione 16.3 Autore Johnray Fuller [email protected] Autore John Ha [email protected] Autore David O'Brien [email protected] Autore Scott Radvan [email protected] Autore Eric Christensen [email protected] Autore Adam Ligas [email protected] Copyright © 2010 Fedora Project Contributors. The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. The original authors of this document, and Red Hat, designate the Fedora Project as the "Attribution Party" for purposes of CC-BY-SA. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version. Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law. Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, MetaMatrix, Fedora, the Infinity Logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries. For guidelines on the permitted uses of the Fedora trademarks, refer to https://fedoraproject.org/wiki/ Legal:Trademark_guidelines. Linux® is the registered trademark of Linus Torvalds in the United States and other countries. Java® is a registered trademark of Oracle and/or its affiliates. XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries. MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries. All other trademarks are the property of their respective owners. La Guida alla Sicurezza intende assistere gli utenti Fedora ad apprendere i processi e le pratiche di messa in sicurezza di workstation e server da attività sospette, attacchi ed intrusioni, sia locali che remoti. La Guida, dedicata a sistemi Fedora, affronta concetti e tecniche valide su tutti i sistemi Linux, mostrando piani e gli strumenti necessari per creare un ambiente sicuro in postazioni domestiche, negli uffici e in centri di elaborazione dati. Con una gestione e un controllo adeguato, i sistemi Linux possono essere sia pienamente funzionali sia sicuri dai più comuni metodi di attacco e di intrusione. Bozza Bozza Prefazione vii 1. Convenzioni del documento ........................................................................................... vii 1.1. Convenzioni tipografiche ..................................................................................... vii 1.2. Convenzioni del documento ................................................................................ viii 1.3. Note ed avvertimenti ............................................................................................ ix 2. We Need Feedback! ....................................................................................................... x 1. Panoramica sulla Sicurezza 1 1.1. Introduzione alla Sicurezza ........................................................................................... 1 1.1.1. Cosa s'intende per Sicurezza Informatica? .......................................................... 1 1.1.2. SELinux ............................................................................................................ 3 1.1.3. Controlli di Sicurezza ......................................................................................... 3 1.1.4. Conclusione ...................................................................................................... 4 1.2. Analisi della vulnerabilità .............................................................................................. 5 1.2.1. Pensare come il nemico .................................................................................... 5 1.2.2. Analisi e Test .................................................................................................... 6 1.2.3. Valutazione degli strumenti ................................................................................ 7 1.3. Attaccanti e Vulnerabilità ............................................................................................ 10 1.3.1. Una breve storia degli Hacker .......................................................................... 10 1.3.2. Minacce alla sicurezza di rete .......................................................................... 11 1.3.3. Minacce alla sicurezza server ........................................................................... 11 1.3.4. Minacce alla sicurezza di workstation e PC di casa ............................................ 13 1.4. Rischi e Attacchi comuni ............................................................................................ 14 1.5. Aggiornamenti di sicurezza ......................................................................................... 16 1.5.1. Aggiornare i pacchetti ...................................................................................... 17 1.5.2. Verificare la firma dei pachetti .......................................................................... 17 1.5.3. Installare pacchetti firmati ................................................................................. 18 1.5.4. Applicare i cambiamenti ................................................................................... 18 2. Proteggere la rete locale 21 2.1. Workstation Security ................................................................................................... 21 2.1.1. Analizzare la sicurezza di una workstation ........................................................ 21 2.1.2. Protezione del BIOS e del Boot Loader ............................................................. 21 2.1.3. Protezione delle password ............................................................................... 23 2.1.4. Controlli amministrativi ..................................................................................... 29 2.1.5. Servizi di rete disponibili .................................................................................. 35 2.1.6. Firewall personali ............................................................................................. 38 2.1.7. Strumenti di comunicazione che aumentano la sicurezza ................................... 39 2.2. Server Security .......................................................................................................... 40 2.2.1. Proteggere i servizi con TCP Wrapper e xinetd ................................................. 40 2.2.2. Proteggere Portmap ......................................................................................... 43 2.2.3. Proteggere NIS ................................................................................................ 44 2.2.4. Proteggere NFS .............................................................................................. 46 2.2.5. Proteggere HTTP Apache ................................................................................ 47 2.2.6. Proteggere FTP ............................................................................................... 48 2.2.7. Proteggere Sendmail ....................................................................................... 51 2.2.8. Controllare le porte in ascolto ........................................................................... 52 2.3. Single Sign-on (SSO) ................................................................................................. 53 2.3.1. Introduzione .................................................................................................... 53 2.3.2. Primo utilizzo di una nuova Smart Card ............................................................ 54 2.3.3. Come funziona la registrazione di una Smart Card ............................................ 56 2.3.4. Come funziona l'accesso via Smart Card .......................................................... 57 2.3.5. Configurare Firefox ad usare Kerberos con SSO ............................................... 58 2.4. Pluggable Authentication Modules (PAM) ..................................................................... 60 2.4.1. Vantaggi di PAM ............................................................................................. 61 iii Guida alla Sicurezza Bozza 2.4.2. File di configurazione di PAM ........................................................................... 61 2.4.3. Formato del file di configurazione di PAM ......................................................... 61 2.4.4. Un esempio di file di configurazione di PAM ...................................................... 64 2.4.5. Creare moduli PAM ......................................................................................... 65 2.4.6. Caching delle credenziali PAM ed Amministrative .............................................. 65 2.4.7. Proprietario di PAM e di Dispositivo .................................................................. 67 2.4.8. Ulteriori risorse ................................................................................................ 68 2.5. TCP Wrapper e xinetd ................................................................................................ 69 2.5.1. TCP Wrapper .................................................................................................. 70 2.5.2. File di configurazione di TCP Wrapper .............................................................. 71 2.5.3. xinetd .............................................................................................................. 78 2.5.4. File di configuratione di xinetd .......................................................................... 78 2.5.5. Ulteriori risorse ................................................................................................ 84 2.6. Kerberos .................................................................................................................... 85 2.6.1. Cos'è Kerberos? .............................................................................................. 85 2.6.2. Terminologia Kerberos ..................................................................................... 86 2.6.3. Come funziona Kerberos .................................................................................. 88 2.6.4. Kerberos e PAM .............................................................................................. 89 2.6.5. Configurare un server Kerberos 5 ..................................................................... 89 2.6.6. Configurare un client Kerberos 5 ...................................................................... 91 2.6.7. Associazione tra Dominio e Realm ................................................................... 93 2.6.8. Impostare KDC secondari ................................................................................ 93 2.6.9. Impostare autenticazioni cross realm ................................................................ 95 2.6.10. Ulteriori risorse .............................................................................................. 98 2.7. Firewall ...................................................................................................................... 99 2.7.1. Netfilter e IPTables ........................................................................................ 101 2.7.2. Configurazione di un firewall di base ............................................................... 101 2.7.3. Usare IPTables .............................................................................................. 104 2.7.4. Filtraggi IPTables comuni ............................................................................... 106 2.7.5. Regole di FORWARD e NAT ............................................................................. 107 2.7.6. Software maliziosi e indirizzi IP spoofed .......................................................... 109 2.7.7. IPTables e Connection Tracking ..................................................................... 110 2.7.8. IPv6 .............................................................................................................. 111 2.7.9. Ulteriori risorse .............................................................................................. 111 2.8. IPTables .................................................................................................................. 112 2.8.1. Filtraggio pacchetti ......................................................................................... 112 2.8.2. Opzioni di comando di IPTables ..................................................................... 113 2.8.3. Salvataggio delle regole IPTables ................................................................... 122 2.8.4. Script di controllo IPTables ............................................................................. 122 2.8.5. IPTables ed IPv6 ........................................................................................... 125 2.8.6. Ulteriori risorse .............................................................................................. 125 3. Cifratura 127 3.1. Dati a Riposo ........................................................................................................... 127 3.1.1. Completa cifratura del disco ........................................................................... 127 3.1.2. Cifratura basata su file ................................................................................... 127 3.2. Dati in Movimento .................................................................................................... 127 3.2.1. Virtual Private Networks (VPN) ....................................................................... 128 3.2.2. Secure Shell .................................................................................................. 142 3.2.3. Cifratura disco con LUKS ............................................................................... 143 3.2.4. Archivi 7-Zip cifrati ......................................................................................... 145 3.2.5. Usare GNU Privacy Guard (GnuPG) ............................................................... 146 4. Principi generali di Sicurezza dell'Informazione 153 4.1. Consigli, guide e strumenti ........................................................................................ 153 iv Bozza 5. Installazione sicura 155 5.1. Partizioni del disco ................................................................................................... 155 5.2. Utilizzo di LUKS ....................................................................................................... 155 6. Manutenzione del software 157 6.1. Installare il software indispensabile ............................................................................ 157 6.2. Pianificare e configurare gli aggiornamenti di sicurezza ............................................... 157 6.3. Regolare gli aggiornamenti automatici ....................................................................... 157 6.4. Installare pacchetti firmati da repository fidati ............................................................. 157 7. Common Vulnerabilities and Exposures 159 7.1. Plugin YUM .............................................................................................................. 159 7.2. Usare yum-plugin-security ......................................................................................... 159 8. Riferimenti 161 A. Standard di crittografia 163 A.1. Crittografia sincrona ................................................................................................. 163 A.1.1. Advanced Encryption Standard - AES ............................................................. 163 A.1.2. Data Encryption Standard - DES .................................................................... 163 A.2. Cifratura a chiave pubblica ....................................................................................... 164 A.2.1. Diffie-Hellman ................................................................................................ 164 A.2.2. RSA .............................................................................................................. 165 A.2.3. DSA .............................................................................................................. 165 A.2.4. SSL/TLS ....................................................................................................... 165 A.2.5. Il sistema Cramer–Shoup ............................................................................... 166 A.2.6. Cifratura ElGamal .......................................................................................... 166 B. Cronologia Revisioni 167 v vi Bozza Bozza Prefazione 1. Convenzioni del documento Questo manuale utilizza numerose convenzioni per evidenziare parole e frasi, ponendo attenzione su informazioni specifiche. Nelle edizioni PDF e cartacea questo manuale utilizza caratteri presenti nel set Font Liberation1. Il set Font Liberation viene anche utilizzato nelle edizioni HTML se il set stesso è stato installato sul vostro sistema. In caso contrario, verranno mostrati caratteri alternativi ma equivalenti. Da notare: Red Hat Enterprise Linux 5 e versioni più recenti, includono per default il set Font Liberation. 1.1. Convenzioni tipografiche Vengono utilizzate quattro convenzioni tipografiche per richiamare l'attenzione su parole e frasi specifiche. Queste convenzioni, e le circostanze alle quali vengono applicate, sono le seguenti. Neretto monospazio Usato per evidenziare l'input del sistema, incluso i comandi della shell, i nomi dei file ed i percorsi. Utilizzato anche per evidenziare tasti e combinazione di tasti. Per esempio: Per visualizzare i contenuti del file my_next_bestselling_novel nella vostra directory di lavoro corrente, inserire il comando cat my_next_bestselling_novel al prompt della shell e premere Invio per eseguire il comando. Quanto sopra riportato include il nome del file, un comando della shell ed un tasto, il tutto riportato in neretto monospazio e distinguibile grazie al contesto. Le combinazioni di tasti possono essere distinte dai tasti tramite il trattino che collega ogni parte della combinazione. Per esempio: Premere Invio per eseguire il comando. Premere Ctrl+Alt+F2 per smistarsi sul primo virtual terminal. Premere Ctrl+Alt+F1 per ritornare alla sessione X-Windows. Il primo paragrafo evidenzia il tasto specifico singolo da premere. Il secondo riporta due combinazioni di tasti, (ognuno dei quali è un set di tre tasti premuti contemporaneamente). Se si discute del codice sorgente, i nomi della classe, i metodi, le funzioni i nomi della variabile ed i valori ritornati indicati all'interno di un paragrafo, essi verranno indicati come sopra, e cioè in neretto monospazio. Per esempio: Le classi relative ad un file includono filesystem per file system, file per file, e dir per directory. Ogni classe possiede il proprio set associato di permessi. Proportional Bold Ciò denota le parole e le frasi incontrate su di un sistema, incluso i nomi delle applicazioni; il testo delle caselle di dialogo; i pulsanti etichettati; le caselle e le etichette per pulsanti di selezione, titoli del menu e dei sottomenu. Per esempio: 1 https://fedorahosted.org/liberation-fonts/ vii Prefazione Bozza Selezionare Sistema￿￿￿ Preferenze￿￿￿ Mouse dalla barra del menu principale per lanciare Preferenze del Mouse. Nella scheda Pulsanti, fate clic sulla casella di dialogo mouse per mancini, e successivamente fate clic su Chiudi per cambiare il pulsante primario del mouse da sinistra a destra (rendendo così il mouse idoneo per un utilizzo con la mano sinistra). Per inserire un carattere speciale in un file gedit, selezionare Applicazioni￿￿ Accessori￿￿￿ Mappa carattere dalla barra menu principale. Successivamente, selezionare Cerca￿￿￿ Trova… dalla barra del menu Mappa carattere, inserire il nome del carattere nel campo Cerca e cliccare Successivo. Il carattere ricercato verrà evidenziato nella Tabella caratteri. Fare un doppio clic sul carattere evidenziato per posizionarlo nel campo Testo da copiare, e successivamente fare clic sul pulsante Copia. Ritornare ora al documento e selezionare Modifica￿￿￿ Incolla dalla barra del menu di gedit. Il testo sopra riportato include i nomi delle applicazioni; nomi ed oggetti del menu per l'intero sistema; nomi del menu specifici alle applicazioni; e pulsanti e testo trovati all'interno di una interfaccia GUI, tutti presentati in neretto proporzionale e distinguibili dal contesto. Corsivo neretto monospazio o Corsivo neretto proporzionale Sia se si tratta di neretto monospazio o neretto proporzionale, l'aggiunta del carattere corsivo indica un testo variabile o sostituibile . Il carattere corsivo denota un testo che non viene inserito letteralmente, o visualizzato che varia a seconda delle circostanze. Per esempio: Per collegarsi ad una macchina remota utilizzando ssh, digitare ssh [email protected] al prompt della shell. Se la macchina remota è example.com ed il nome utente sulla macchina interessata è john, digitare ssh [email protected]. Il comando mount -o remount file-system rimonta il file system indicato. Per esempio, per rimontare il file system /home, il comando è mount -o remount / home. Per visualizzare la versione di un pacchetto attualmente installato, utilizzare il comando rpm -q package. Esso ritornerà il seguente risultato: package- version-release. Da notare la parola in Corsivo neretto — nome utente, domain.name, file-system, pacchetto, versione e release. Ogni parola racchiude il testo da voi inserito durante l'emissione di un comando o per il testo mostrato dal sistema. Oltre all'utilizzo normale per la presentazione di un titolo, il carattere Corsivo denota il primo utilizzo di un termine nuovo ed importante. Per esempio: Publican è un sistema di pubblicazione per DocBook. 1.2. Convenzioni del documento Gli elenchi originati dal codice sorgente e l'output del terminale vengono evidenziati rispetto al testo circostante. L'output inviato ad un terminale è impostato su tondo monospazio e così presentato: books Desktop documentation drafts mss photos stuff svn books_tests Desktop1 downloads images notes scripts svgs viii Bozza Note ed avvertimenti Gli elenchi del codice sorgente sono impostati in tondo monospazio ma vengono presentati ed evidenziati nel modo seguente: package org.jboss.book.jca.ex1; import javax.naming.InitialContext; public class ExClient { public static void main(String args[]) throws Exception { InitialContext iniCtx = new InitialContext(); Object ref = iniCtx.lookup("EchoBean"); EchoHome home = (EchoHome) ref; Echo echo = home.create(); System.out.println("Created Echo"); System.out.println("Echo.echo('Hello') = " + echo.echo("Hello")); } } 1.3. Note ed avvertimenti E per finire, tre stili vengono usati per richiamare l'attenzione su informazioni che in caso contrario potrebbero essere ignorate. Nota Bene Una nota è un suggerimento o un approccio alternativo per il compito da svolgere. Non dovrebbe verificarsi alcuna conseguenza negativa se la nota viene ignorata, ma al tempo stesso potreste non usufruire di qualche trucco in grado di facilitarvi il compito. Importante Le caselle 'importante' riportano informazioni che potrebbero passare facilmente inosservate: modifiche alla configurazione applicabili solo alla sessione corrente, o servizi i quali necessitano di un riavvio prima di applicare un aggiornamento. Ignorare queste caselle non causa alcuna perdita di dati ma potrebbe causare irritazione e frustrazione da parte dell'utente. Avvertenza Un Avvertimento non dovrebbe essere ignorato. Se ignorato, potrebbe verificarsi una perdita di dati. ix Prefazione Bozza 2. We Need Feedback! More information about the Linux Security Guide project can be found at https://fedorahosted.org/ securityguide To provide feedback for the Security Guide, please file a bug in https://bugzilla.redhat.com2. Please select the proper component for this guide. 2 https://bugzilla.redhat.com/enter_bug.cgi?component=security-guide&product=Fedora%20Documentation x