Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati


Guida verificata con Ubuntu: 20.04 22.04 24.04

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

Anche se Ubuntu è fornito come sistema sicuro e pronto all'uso, molte persone hanno la necessità di offrire servizi sui loro computer, come ad esempio l'esecuzione di un server FTP o Apache. Lo scopo di questa pagina è illustrare agli utenti alcune modifiche da apportare alle impostazioni per consentire l'esecuzione di tali servizi.

Memoria condivisa

Per impostazione predefinita, /dev/shm è montato in lettura/scrittura. Recenti discussioni su mailing list dedicate alla sicurezza hanno evidenziato la possibilità che /dev/shm possa essere sfruttato per attacchi contro servizi in esecuzione, come ad esempio httpd. Inoltre non vi è alcuna necessità di montarlo in lettura/scrittura. Per modificare questa impostazione, è necessario editare con i privilegi di amministrazione e con un editor di testo il file /etc/fstab in modo da includere la riga seguente:

# Permissions setting for /dev/shm
none    /dev/shm       tmpfs      rw,nosuid,nodev,noexec      0        0

Le modifiche avranno effetto al successivo riavvio, oppure è possibile rimontare manualmente /dev/shm.

Login SSH come root

Questo non è un problema grave, visto che persino OpenBSD viene fornito permettendo il login come root (sebbene la documentazione suggerisca di rimuoverlo) e che Ubuntu non viene fornito con root abilitato in modo predefinito. Inoltre in diversi ambienti è procedura standard creare un account root, anche se mai usato. Qualora venga creato un account root e si sta usando sshd, modificare il file con i privilegi di amministrazione e con un editor di testo il file /etc/ssh/sshd_config e sostituire la seguente riga:

PermitRootLogin yes

con:

PermitRootLogin no

Affinché la modifica abbia effetto è necessario riavviare il server OpenSSH, operazione che può essere effettuata eseguendo da terminale:

sudo systemctl restart ssh

Per maggiori dettagli e per impostare dei permessi più autorizzativi, consultare la pagina manuale, da terminale man sshd_config

Programma «su» disponibile a utenti non-amministratori

Questo non è un problema di per sé, ma potrebbe essere un rischio qualora siano presenti nel sistema degli account con password deboli. Infatti l'accesso tramite su potrebbe essere guadagnato da utenti malintenzionati e/o software malevoli. Per negare agli utenti non-amministratori l'accesso a su, digitare quanto segue in un terminale:

sudo chown root:admin /bin/su
sudo chmod 04750 /bin/su

Ulteriori risorse


CategorySicurezza