Commenti a: Hardening Linux 2 http://www.valent-blog.eu/2009/11/16/hardening-linux-2/ Emulazione virtuale Sat, 04 Feb 2012 13:31:25 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Di: valent http://www.valent-blog.eu/2009/11/16/hardening-linux-2/comment-page-1/#comment-15704 valent Wed, 18 Nov 2009 15:41:58 +0000 http://www.valent-blog.eu/?p=557#comment-15704 Grazie per le osservazioni. Allora: Security through obscurity è un concetto di sicurezza molto blando nel senso che cambiando porta a ssh si evitano alcuni tipi di attacchi (script kiddie) ma non quelli più avanzati. Non permettere nessuno di fare login come root è una buona cosa perchè quando ti connetti al server se conosci già il nome utente se già a metà dell'opera cioè devi solo indovinare la password di root e poi hai il completo accesso, mentre se ti logghi con credenziali minori devi poi indovinare anche la password di root. Restringere l'accesso ad un IP è potenzialmente pericoloso in quanto chi ti garantisce di avere lo stesso indirizzo IP? Metti che il tuo provider lo cambi o che stai in fastweb (il quale IP address è condiviso da non so quanti altri utenti) Concordo che usare le chiavi sia molto meglio questo è certo, forse un po' più complicato per chi usa Putty :) Grazie per le osservazioni. Allora:
Security through obscurity è un concetto di sicurezza molto blando nel senso che cambiando porta a ssh si evitano alcuni tipi di attacchi (script kiddie) ma non quelli più avanzati.
Non permettere nessuno di fare login come root è una buona cosa perchè quando ti connetti al server se conosci già il nome utente se già a metà dell’opera cioè devi solo indovinare la password di root e poi hai il completo accesso, mentre se ti logghi con credenziali minori devi poi indovinare anche la password di root.
Restringere l’accesso ad un IP è potenzialmente pericoloso in quanto chi ti garantisce di avere lo stesso indirizzo IP? Metti che il tuo provider lo cambi o che stai in fastweb (il quale IP address è condiviso da non so quanti altri utenti)

Concordo che usare le chiavi sia molto meglio questo è certo, forse un po’ più complicato per chi usa Putty :)

]]> Di: HexDEF6 http://www.valent-blog.eu/2009/11/16/hardening-linux-2/comment-page-1/#comment-15701 HexDEF6 Mon, 16 Nov 2009 23:11:36 +0000 http://www.valent-blog.eu/?p=557#comment-15701 Ciao, non sono d'accordo con il fatto che root vada disabilitato per l'accesso remoto... e nemmeno con il fatto di cambiare porta (parlo come discorso generico, non di ogni singolo caso)... questo perche': -aggiungere utenti e' sempre un problema di sicurezza, meglio avere 1 utente con una password (o meglio ancora leggi dopo) decente che 20 utenti e chissa' che pass usano -root dovrebbe essere l'unico che puo' accedere, ma solo usando chiavi (al posto di: PermitRootLogin no si deve mettere: PermitRootLogin without-password in modo che ssh non accetti la password ma solo una chiave) -restringere gli ip di accesso dell'utente root (o via iptables o nella configurazione di sshd usando qualcosa del tipo: AllowUsers root@20.30.40.50) (e ovviamente anche questo non vale in un discorso generale, ma va ponderato caso per caso) -cambiare porta vuol dire rendere il servizio difficilmente raggiungibile da certe connessioni (e' molto piu' facile trovare aperta la porta 22 in uscita che una 31337) questi sono i miei consigli, e ovviamente non hanno carattere generale ma andrebbero valutati caso per caso Ciao e buon lavoro Ciao,
non sono d’accordo con il fatto che root vada disabilitato per l’accesso remoto…
e nemmeno con il fatto di cambiare porta (parlo come discorso generico, non di ogni singolo caso)… questo perche’:
-aggiungere utenti e’ sempre un problema di sicurezza, meglio avere 1 utente con una password (o meglio ancora leggi dopo) decente che 20 utenti e chissa’ che pass usano
-root dovrebbe essere l’unico che puo’ accedere, ma solo usando chiavi (al posto di: PermitRootLogin no si deve mettere: PermitRootLogin without-password in modo che ssh non accetti la password ma solo una chiave)
-restringere gli ip di accesso dell’utente root (o via iptables o nella configurazione di sshd usando qualcosa del tipo: AllowUsers root@20.30.40.50) (e ovviamente anche questo non vale in un discorso generale, ma va ponderato caso per caso)
-cambiare porta vuol dire rendere il servizio difficilmente raggiungibile da certe connessioni (e’ molto piu’ facile trovare aperta la porta 22 in uscita che una 31337)

questi sono i miei consigli, e ovviamente non hanno carattere generale ma andrebbero valutati caso per caso

Ciao e buon lavoro

]]>