Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/ValoriPredefinitiNonSicuri"
Differenze tra le versioni 2 e 21 (in 19 versioni)
Versione 2 del 23/05/2007 09.20.40
Dimensione: 2036
Autore: LucaFerretti
Commento: Completata sezione "memora condivisa"
Versione 21 del 11/09/2024 16.19.46
Dimensione: 3137
Autore: ivantu
Commento: +24.04 +22.04 +20.04
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 2: Linea 2:
[[BR]]
||<tablestyle="float:right; font-size: 0.9em; width:40%; background:#F1F1ED; margin: 0 0 1em 1em;" style="padding:0.5em;">[[TableOfContents(1)]]||		 <<BR>>
<<Indice(depth=2)>>
<<Informazioni(forum="https://forum.ubuntu-it.org/viewtopic.php?f=46&t=656126"; rilasci="24.04 22.04 20.04")>>
Linea 7: Linea 8:
Sebbene Ubuntu sia fornito sicuro e pronto da usare, molte persone hanno la necessità di offrire servizi sui loro computer, come per esempio mettere in esecuzione un server FTP o Apache. Lo scopo di questa pagina è di rendere note agli utenti alcune impostazioni che dovrebbero essere modificate. Anche se '''Ubuntu''' è fornito come sistema sicuro e pronto all'uso, molte persone hanno la necessità di offrire servizi sui loro computer, come ad esempio l'esecuzione di un [[Server/Ftp|server FTP]] o [[Server/Apache|Apache]]. Lo scopo di questa pagina è illustrare agli utenti alcune modifiche da apportare alle impostazioni per consentire l'esecuzione di tali servizi.
Linea 11: Linea 12:
In modo predefinito, {{{/dev/shm}}} è montato in lettura/scrittura. Recentemente è emerso in diverse mailing list che trattano di sicurezza che {{{/dev/shm}}} potrebbe essere usato in un attacco rivolto contro un servizio in esecuzione come {{{httpd}}}. Inoltre non vi è alcun motivo per montarlo in lettura/scrittura. Per cambiare questa impostazione, modificare il file '''{{{/etc/fstab}}}''' in modo da includere la riga seguente:

{{{
tmpfs /dev/shm tmpfs defaults,ro 0 0		 Per impostazione predefinita, `/dev/shm` è montato in lettura/scrittura. Recenti discussioni su mailing list dedicate alla sicurezza hanno evidenziato la possibilità che `/dev/shm` possa essere sfruttato per attacchi contro servizi in esecuzione, come ad esempio '''httpd'''. Inoltre non vi è alcuna necessità di montarlo in lettura/scrittura. Per modificare questa impostazione, è necessario editare con i [[AmministrazioneSistema/PrivilegiDiAmministrazione|privilegi di amministrazione]] e con un [[Ufficio/EditorDiTesto|editor di testo]] il file `/etc/fstab` in modo da includere la riga seguente:{{{
# Permissions setting for /dev/shm
none /dev/shm tmpfs rw,nosuid,nodev,noexec 0 0
Linea 17: Linea 17:
Le modifiche avranno effetto al successivo riavvio, a meno che non si rimonti manualmente {{{/dev/shm}}}. Le modifiche avranno effetto al successivo riavvio, oppure è possibile rimontare manualmente `/dev/shm`.
Linea 21: Linea 21:
Questo non è un problema grave, visto che persino Open```BSD viene fornito permettendo il login come root (sebbene la documentazione suggerisca di rimuoverlo) e che Ubuntu non viene fornito con root abilitato in modo predefinito. ... Questo non è un problema grave, visto che persino '''OpenBSD''' viene fornito permettendo il login come ''root'' (sebbene la documentazione suggerisca di rimuoverlo) e che '''Ubuntu''' non viene fornito con ''root'' abilitato in modo predefinito. Inoltre in diversi ambienti è procedura standard creare un account ''root'', anche se mai usato. Qualora venga creato un account ''root'' e si sta usando ''sshd'', modificare il file con i [[AmministrazioneSistema/PrivilegiDiAmministrazione|privilegi di amministrazione]] e con un [[Ufficio/EditorDiTesto|editor di testo]] il file `/etc/ssh/sshd_config` e sostituire la seguente riga:{{{
PermitRootLogin yes
}}}
con:{{{
PermitRootLogin no
}}}
Linea 23: Linea 28:
= Programma su disponibile a utenti non-amministratore = Affinché la modifica abbia effetto è necessario riavviare il server ''OpenSSH'', operazione che può essere effettuata eseguendo da terminale:{{{
sudo systemctl restart ssh
}}}
Linea 25: Linea 32:
Questo non è un problema di per sé, ma se sono presenti nel sistema degli account con password deboli, allora utenti non-amministratore malevoli (o software malevole che questi possono usare) potrebbero usare {{{su}}} per guadagnare l'accesso a tali account. Per negare agli utenti non-amministratori l'accesso a {{{su}}}, digitare quanto segue in un terminale: {{{#!wiki note
Per maggiori dettagli e per impostare dei permessi più autorizzativi, consultare la pagina manuale, da terminale ''man sshd_config''
}}}
Linea 27: Linea 36:
{{{ = Programma «su» disponibile a utenti non-amministratori =

Questo non è un problema di per sé, ma potrebbe essere un rischio qualora siano presenti nel sistema degli account con password deboli. Infatti l'accesso tramite '''su''' potrebbe essere guadagnato da utenti malintenzionati e/o software malevoli. Per negare agli utenti non-amministratori l'accesso a '''su''', digitare quanto segue in un [[AmministrazioneSistema/Terminale|terminale]]:{{{
Linea 34: Linea 45:
 * [https://help.ubuntu.com/community/UnsafeDefaults Documento originale su ubuntu.com]  * [[https://help.ubuntu.com/community/UnsafeDefaults|Documento originale]]


Guida verificata con Ubuntu: 20.04 22.04 24.04

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

Anche se Ubuntu è fornito come sistema sicuro e pronto all'uso, molte persone hanno la necessità di offrire servizi sui loro computer, come ad esempio l'esecuzione di un server FTP o Apache. Lo scopo di questa pagina è illustrare agli utenti alcune modifiche da apportare alle impostazioni per consentire l'esecuzione di tali servizi.

Memoria condivisa

Per impostazione predefinita, /dev/shm è montato in lettura/scrittura. Recenti discussioni su mailing list dedicate alla sicurezza hanno evidenziato la possibilità che /dev/shm possa essere sfruttato per attacchi contro servizi in esecuzione, come ad esempio httpd. Inoltre non vi è alcuna necessità di montarlo in lettura/scrittura. Per modificare questa impostazione, è necessario editare con i privilegi di amministrazione e con un editor di testo il file /etc/fstab in modo da includere la riga seguente:

# Permissions setting for /dev/shm
none    /dev/shm       tmpfs      rw,nosuid,nodev,noexec      0        0

Le modifiche avranno effetto al successivo riavvio, oppure è possibile rimontare manualmente /dev/shm.

Login SSH come root

Questo non è un problema grave, visto che persino OpenBSD viene fornito permettendo il login come root (sebbene la documentazione suggerisca di rimuoverlo) e che Ubuntu non viene fornito con root abilitato in modo predefinito. Inoltre in diversi ambienti è procedura standard creare un account root, anche se mai usato. Qualora venga creato un account root e si sta usando sshd, modificare il file con i privilegi di amministrazione e con un editor di testo il file /etc/ssh/sshd_config e sostituire la seguente riga:

PermitRootLogin yes

con:

PermitRootLogin no

Affinché la modifica abbia effetto è necessario riavviare il server OpenSSH, operazione che può essere effettuata eseguendo da terminale:

sudo systemctl restart ssh

Per maggiori dettagli e per impostare dei permessi più autorizzativi, consultare la pagina manuale, da terminale man sshd_config

Programma «su» disponibile a utenti non-amministratori

Questo non è un problema di per sé, ma potrebbe essere un rischio qualora siano presenti nel sistema degli account con password deboli. Infatti l'accesso tramite su potrebbe essere guadagnato da utenti malintenzionati e/o software malevoli. Per negare agli utenti non-amministratori l'accesso a su, digitare quanto segue in un terminale:

sudo chown root:admin /bin/su
sudo chmod 04750 /bin/su

Ulteriori risorse

CategorySicurezza