|
Dimensione: 2607
Commento: revisione intro
|
← Versione 21 del 11/09/2024 16.19.46 ⇥
Dimensione: 3137
Commento: +24.04 +22.04 +20.04
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 4: | Linea 4: |
| <<Informazioni(forum="https://forum.ubuntu-it.org/viewtopic.php?f=46&t=656126")>> | <<Informazioni(forum="https://forum.ubuntu-it.org/viewtopic.php?f=46&t=656126"; rilasci="24.04 22.04 20.04")>> |
| Linea 12: | Linea 12: |
| Per impostazione predefinita, `/dev/shm` è montato in lettura/scrittura. recenti discussioni su mailing list dedicate alla sicurezza hanno evidenziato, la possibilità che `/dev/shm` possa essere sfruttato per attacchi contro servizi in esecuzione, come ad esempio '''httpd'''. Inoltre, non vi è alcuna necessità di montarlo in lettura/scrittura. Per modificare questa impostazione, è necessario editare il file `/etc/fstab` in modo da includere la riga seguente:{{{ tmpfs /dev/shm tmpfs defaults,ro 0 0 |
Per impostazione predefinita, `/dev/shm` è montato in lettura/scrittura. Recenti discussioni su mailing list dedicate alla sicurezza hanno evidenziato la possibilità che `/dev/shm` possa essere sfruttato per attacchi contro servizi in esecuzione, come ad esempio '''httpd'''. Inoltre non vi è alcuna necessità di montarlo in lettura/scrittura. Per modificare questa impostazione, è necessario editare con i [[AmministrazioneSistema/PrivilegiDiAmministrazione|privilegi di amministrazione]] e con un [[Ufficio/EditorDiTesto|editor di testo]] il file `/etc/fstab` in modo da includere la riga seguente:{{{ # Permissions setting for /dev/shm none /dev/shm tmpfs rw,nosuid,nodev,noexec 0 0 |
| Linea 20: | Linea 21: |
| Questo non è un problema grave, visto che persino '''OpenBSD''' viene fornito permettendo il login come ''root'' (sebbene la documentazione suggerisca di rimuoverlo) e che '''Ubuntu''' non viene fornito con ''root'' abilitato in modo predefinito. Comunque, in diversi ambienti è procedura standard creare un account ''root'', anche se mai usato. Se viene creato un account ''root'' e si sta usando ''sshd'', modificare il file `/etc/ssh/sshd_config` e sostituire la seguente riga:{{{ | Questo non è un problema grave, visto che persino '''OpenBSD''' viene fornito permettendo il login come ''root'' (sebbene la documentazione suggerisca di rimuoverlo) e che '''Ubuntu''' non viene fornito con ''root'' abilitato in modo predefinito. Inoltre in diversi ambienti è procedura standard creare un account ''root'', anche se mai usato. Qualora venga creato un account ''root'' e si sta usando ''sshd'', modificare il file con i [[AmministrazioneSistema/PrivilegiDiAmministrazione|privilegi di amministrazione]] e con un [[Ufficio/EditorDiTesto|editor di testo]] il file `/etc/ssh/sshd_config` e sostituire la seguente riga:{{{ |
| Linea 23: | Linea 24: |
| Linea 29: | Linea 29: |
| sudo /etc/init.d/ssh restart | sudo systemctl restart ssh }}} {{{#!wiki note Per maggiori dettagli e per impostare dei permessi più autorizzativi, consultare la pagina manuale, da terminale ''man sshd_config'' |
| Linea 34: | Linea 38: |
| Questo non è un problema di per sé, ma se sono presenti nel sistema degli account con password deboli, allora utenti non-amministratore malevoli (o software malevoli che questi possono usare) potrebbero usare '''su''' per guadagnare l'accesso a tali account. Per negare agli utenti non-amministratori l'accesso a '''su''', digitare quanto segue in un terminale: {{{ | Questo non è un problema di per sé, ma potrebbe essere un rischio qualora siano presenti nel sistema degli account con password deboli. Infatti l'accesso tramite '''su''' potrebbe essere guadagnato da utenti malintenzionati e/o software malevoli. Per negare agli utenti non-amministratori l'accesso a '''su''', digitare quanto segue in un [[AmministrazioneSistema/Terminale|terminale]]:{{{ |
| Linea 44: | Linea 48: |
| CategorySicurezza CategoryDaRevisionare | CategorySicurezza |
Guida verificata con Ubuntu: 20.04 22.04 24.04
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Anche se Ubuntu è fornito come sistema sicuro e pronto all'uso, molte persone hanno la necessità di offrire servizi sui loro computer, come ad esempio l'esecuzione di un server FTP o Apache. Lo scopo di questa pagina è illustrare agli utenti alcune modifiche da apportare alle impostazioni per consentire l'esecuzione di tali servizi.
Memoria condivisa
Per impostazione predefinita, /dev/shm è montato in lettura/scrittura. Recenti discussioni su mailing list dedicate alla sicurezza hanno evidenziato la possibilità che /dev/shm possa essere sfruttato per attacchi contro servizi in esecuzione, come ad esempio httpd. Inoltre non vi è alcuna necessità di montarlo in lettura/scrittura. Per modificare questa impostazione, è necessario editare con i privilegi di amministrazione e con un editor di testo il file /etc/fstab in modo da includere la riga seguente:
# Permissions setting for /dev/shm none /dev/shm tmpfs rw,nosuid,nodev,noexec 0 0
Le modifiche avranno effetto al successivo riavvio, oppure è possibile rimontare manualmente /dev/shm.
Login SSH come root
Questo non è un problema grave, visto che persino OpenBSD viene fornito permettendo il login come root (sebbene la documentazione suggerisca di rimuoverlo) e che Ubuntu non viene fornito con root abilitato in modo predefinito. Inoltre in diversi ambienti è procedura standard creare un account root, anche se mai usato. Qualora venga creato un account root e si sta usando sshd, modificare il file con i privilegi di amministrazione e con un editor di testo il file /etc/ssh/sshd_config e sostituire la seguente riga:
PermitRootLogin yes
con:
PermitRootLogin no
Affinché la modifica abbia effetto è necessario riavviare il server OpenSSH, operazione che può essere effettuata eseguendo da terminale:
sudo systemctl restart ssh
Per maggiori dettagli e per impostare dei permessi più autorizzativi, consultare la pagina manuale, da terminale man sshd_config
Programma «su» disponibile a utenti non-amministratori
Questo non è un problema di per sé, ma potrebbe essere un rischio qualora siano presenti nel sistema degli account con password deboli. Infatti l'accesso tramite su potrebbe essere guadagnato da utenti malintenzionati e/o software malevoli. Per negare agli utenti non-amministratori l'accesso a su, digitare quanto segue in un terminale:
sudo chown root:admin /bin/su sudo chmod 04750 /bin/su
