|
Dimensione: 1494
Commento:
|
Dimensione: 2436
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 3: | Linea 3: |
| ||<tablestyle="float:right; font-size: 0.9em; width:40%; background:#F1F1ED; margin: 0 0 1em 1em;" style="padding:0.5em;">[[TableOfContents(1)]]|| | [[Indice(depth=2)]] |
| Linea 7: | Linea 7: |
| Sebbene Ubuntu sia fornito sicuro e pronto da usare, molte persone hanno la necessità di offrire servizi sui loro computer, come per esempio mettere in esecuzione un server FTP o Apache. Lo scopo di questa pagina è di rendere note agli utenti alcune impostazioni che dovrebbero essere modificate. | Sebbene '''Ubuntu''' sia fornito sicuro e pronto da usare, molte persone hanno la necessità di offrire servizi sui loro computer, come per esempio mettere in esecuzione un server FTP o [:Server/Web:Apache]. Lo scopo di questa pagina è di rendere note agli utenti alcune impostazioni che dovrebbero essere modificate. |
| Linea 11: | Linea 11: |
| In modo predefinito, {{{/dev/shm}}} è montato in lettura/scrittura. | In modo predefinito, `/dev/shm` è montato in lettura/scrittura. Recentemente è emerso in diverse mailing list che trattano di sicurezza, che {{{/dev/shm}}} potrebbe essere usato in un attacco rivolto contro un servizio in esecuzione come ''httpd''. Inoltre non vi è alcun motivo per montarlo in lettura/scrittura. Per cambiare questa impostazione, modificare il file `/etc/fstab` in modo da includere la riga seguente: {{{ tmpfs /dev/shm tmpfs defaults,ro 0 0 }}} Le modifiche avranno effetto al successivo riavvio, a meno che non si rimonti manualmente `/dev/shm`. |
| Linea 15: | Linea 19: |
| Questo non è un problema grave, visto che persino Open```BSD viene fornito permettendo il login come root (sebbene la documentazione suggerisca di rimuoverlo) e che Ubuntu non viene fornito con root abilitato in modo predefinito. ... | Questo non è un problema grave, visto che persino '''Open``BSD''' viene fornito permettendo il login come ''root'' (sebbene la documentazione suggerisca di rimuoverlo) e che '''Ubuntu''' non viene fornito con ''root'' abilitato in modo predefinito. Comunque, in diversi ambienti è procedura standard creare un account ''root'', anche se mai usato. Se viene creato un account ''root'' e si sta usando ''sshd'', modificare il file `/etc/ssh/sshd_config` e sostituire la seguente riga: {{{ PermitRootLogin yes }}} |
| Linea 17: | Linea 23: |
| = Programma su disponibile a utenti non-amministratore = | con: {{{ PermitRootLogin no }}} |
| Linea 19: | Linea 27: |
| Questo non è un problema di per sé, ma se sono presenti nel sistema degli account con password deboli, allora utenti non-amministratore malevoli (o software malevole che questi possono usare) potrebbero usare {{{su}}} per guadagnare l'accesso a tali account. Per negare agli utenti non-amministratori l'accesso a {{{su}}}, digitare quanto segue in un terminale: | Affinché la modifica abbia effetto è necessario riavviare il server ''Open``SSH'', operazione che può essere effettuata eseguendo da terminale: {{{ sudo /etc/init.d/ssh restart }}} |
| Linea 21: | Linea 31: |
| {{{ | = Programma «su» disponibile a utenti non-amministratori = Questo non è un problema di per sé, ma se sono presenti nel sistema degli account con password deboli, allora utenti non-amministratore malevoli (o software malevoli che questi possono usare) potrebbero usare '''su''' per guadagnare l'accesso a tali account. Per negare agli utenti non-amministratori l'accesso a '''su''', digitare quanto segue in un terminale: {{{ |
| Linea 31: | Linea 43: |
| CategorySicurezza | CategorySicurezza CategoryDaRevisionare |
Introduzione
Sebbene Ubuntu sia fornito sicuro e pronto da usare, molte persone hanno la necessità di offrire servizi sui loro computer, come per esempio mettere in esecuzione un server FTP o [:Server/Web:Apache]. Lo scopo di questa pagina è di rendere note agli utenti alcune impostazioni che dovrebbero essere modificate.
Memoria condivisa
In modo predefinito, /dev/shm è montato in lettura/scrittura. Recentemente è emerso in diverse mailing list che trattano di sicurezza, che /dev/shm potrebbe essere usato in un attacco rivolto contro un servizio in esecuzione come httpd. Inoltre non vi è alcun motivo per montarlo in lettura/scrittura. Per cambiare questa impostazione, modificare il file /etc/fstab in modo da includere la riga seguente:
tmpfs /dev/shm tmpfs defaults,ro 0 0
Le modifiche avranno effetto al successivo riavvio, a meno che non si rimonti manualmente /dev/shm.
Login SSH come root
Questo non è un problema grave, visto che persino OpenBSD viene fornito permettendo il login come root (sebbene la documentazione suggerisca di rimuoverlo) e che Ubuntu non viene fornito con root abilitato in modo predefinito. Comunque, in diversi ambienti è procedura standard creare un account root, anche se mai usato. Se viene creato un account root e si sta usando sshd, modificare il file /etc/ssh/sshd_config e sostituire la seguente riga:
PermitRootLogin yes
con:
PermitRootLogin no
Affinché la modifica abbia effetto è necessario riavviare il server OpenSSH, operazione che può essere effettuata eseguendo da terminale:
sudo /etc/init.d/ssh restart
Programma «su» disponibile a utenti non-amministratori
Questo non è un problema di per sé, ma se sono presenti nel sistema degli account con password deboli, allora utenti non-amministratore malevoli (o software malevoli che questi possono usare) potrebbero usare su per guadagnare l'accesso a tali account. Per negare agli utenti non-amministratori l'accesso a su, digitare quanto segue in un terminale:
sudo chown root:admin /bin/su sudo chmod 04750 /bin/su
Ulteriori risorse
[https://help.ubuntu.com/community/UnsafeDefaults Documento originale su ubuntu.com]
