[SemiOT] Sicurezza - Linux & Utenti Aziendali

[cagnaluia]

Salve..

Ora che so smanettare decentemente con Gentoo Linux..

Vorrei iniziare un installazione capillare della distribuzione Gentoo sui pc dell'azienda per cui lavoro.


Quello che vorrei fare è installare un Gentoo NON a prova di bomba... bensì a prova di UTENTE.. che è ben più disastroso.
Un utente d'ufficio poco importa con quali strumenti lavora. Poco importa se girando per le risorse del computer o sfogliando le cartelle cancella qualcosa.. Poco importa se in un momento veda la necesità di un bel reset...
Infine.. un utente aziendale è un "animale" ben diverso da quello domestico che si preoccupa della propria macchina.. tanto, per il primo, il pc non è suo!


Perciò vorrei analizzare con Voi, quali sono le variabili in gioco e i metodi più consoni per proteggere il pc da ogni inconveniente!

Cosa fareste Voi, per ovviare ogni attività poco "ortodossa"?

[randomaze]

[Benve]

Io toglierei il tasto reset dalla macchina (dico proprio di staccare i fili)
e si può anche pensare di attaccare il filo della corrente col Super Attack alla macchina e con 2 viti alla presa a muro, che non si sa mai

A parte gli scherzi sono molto interessato alla cosa...
So che per esempio lxnay ha creato un kiosco con gentoo, penso che abbia pensato a questo genere di soluzioni.

[Cazzantonio]

[Merlink]

Io toglierei lettore CD, Floppy e simili dopo l'installazione, disabiliterei (come gia detto) reset, power, CTRL+ALT+CANC. Permessi minimi per tutti, /home, /tmp, /var in noexec,nodev, le altre dir in una partizione ro. Niente Dbus/hal, in modo che le "robette" usb possano essere montate solo con il tuo consenso, sempre in "nodev,noexec", LIDS (se sei paranoico) per limitare fortemente l'utente, in special modo, disabiliti l'esecuzione di tutto al di fuori dell'orario di lavoro. Firewall che permetta lo stretto indispensabile in entrata e uscita, proxy con blocco su tutto + white list per i siti richiesti dall'azienda. Thunderbird, Firefox. Niente tools particolari, ambiente minimale (Fluxbox + idesk) con le sole icone indispensabili sul desktop e blocco delle combinazioni "pericolose" (quelle per eseguire console, per esempio). Firefox e tbird (Come gli altri programmi) dovrebbero essere chroottati, in un fs di loop, con permessi solo sui bookmarks, cache disabilitata. Password da bios per evitare boot da chissa' quale diavoleria, password a grub per evitare il passaggio di parametri al kernel. Bootsplash non disabilitabile per evitare che si sappiano i servizi che partono...Tu, con una lupara, dietro ogni utente... perche' tu sei furbo, ma gli utenti lo sono sempre di piu'

Saluti

[SilverXXX]

[Merlink]

e' piu' difficile reinstallare il sistema ogni mese perche' l'utente ha trovato una falla

[Ic3M4n]

[SilverXXX]

Che ne dite inziando a dare dei commodore 64 o delle amiga (mitiche!!!)?? voglio vedere cosai ci fanno di sbagliato. Poi si limita il computer solo a chi gli serve, magari agli altri si dà una macchina da scrivere
_________________
about:mozilla

[Ic3M4n]

beh... anche con un commodore64 si possono fare danni o no?

[SilverXXX]

Purtroppo i danni si possono fare sempre, per esempio se qualcuno ci picchia sopra con la mazza da muratore, ma almeno con il c 64 è fatica
_________________
about:mozilla

[Ic3M4n]

si, quello è vero. infatti non puoi impedire all'utente di premere il pulsante power, però sarebbe belo poterlo fare. il tutto alla fine dipende dal grado di paranoia che sei in grado di raggiungere. per fare un esempio, credo che questo post abbia una qualche attinenza con questo che guardacaso era quello appena sotto rispetto a questo.
[url] [/url]non tanto per gli argomenti trattati, ma per il permettere ad un utente l'esecuzione o meno di una data azione e la capacità dell'utente di riuscire a saltare un certo controllo. onestamente se io dovessi mai diventare amministrazione di sistema attuerei il maggior numero di controlli possibile affinchè l'utente sia sotto il mio controllo e non possa sfuggire a delle semplici regole generali ma molto restrittive [/list]

[Ic3M4n]

scusate, non mi ha messo l'URL.
[url]https://forums.gentoo.org/viewtopic-t-320397.html [/url]

[Tiro]

io adibirei un file server raid dove gli utenti salvano in automatico i file, ovvero le home montarle tutte in remoto su tale server in modo da gestire un solo (eventuale) backup su una macchina anzichè su N macchine e non dover litigare con nessuno...

[.:deadhead:.]

carine molte idee paranoiche /scrib scrib scollegare fili power, lupara

Cmq credo che il tutto dipenda dal tipo di utenti che si ha... I miei conoscono a malapena windows, figuriamoci che danni potrebbero fare con linux Home lontane dai client direi che è si un'ottima cosa...ma per il resto...se non sono root...che volete che facciano? E poi rimeto, davvero avete degli utenti che sanno cos'è linux, come si installa del sw a manina [make, config, install (che tanto fallisce perchè non son root) ] e altro... Io al più bloccherei bios, per evitare installazioni di windows o liveCD maliziosi...

Sembra che vogliamo organizzare un PC a mo di chiosco [andatevi a rivedere il 3d di federico che tempo fa aveva chiesto come realizzare una linuxbox blindata].
_________________
Proudly member of the Gentoo Documentation Project: the Italian Conspiracy !

[randomaze]

[Sparker]

[Ic3M4n]

[puttanata]e se la segretaria deve usare gcc? [/puttanata]

[btbbass]

[cagnaluia]

a patto di disporre di una buona e veloce rete LAN, e suppondendo che il sistema di contenere tutti i dati utente su un server centrale ben protetto e ben backupato sia la scelta migliore, come si possono creare delle regole di protezione, che vengano applicate automaticamente sui nuovi pc nei quali installo linux? (1.)

Altro:
2. Allora per scongiurare ogni "danno" potrei creare un cdrom contenente linux e programmi, live!

3. Compilare gentoo su un centinaio di pc.. potrebbe essere un pò noioso... credo!

[Benve]

[cagnaluia]

[Sparker]

[quote="cagnaluia"]

[FonderiaDigitale]

[Little Cash]

Sono daccordo per configurare adeguatamente sudo e per non dare a nessuno la password di superutente. Poi disabilita in inittab il reset associato alla combinazione control alt canc, e se sei un maniaco della sicurezza configura magari un sistema di autenticazione PAM o LDAP.

Saluti,
Michele
_________________
D: Perche' usi linux?
R: Perche' mi piace dover riavviare solo per un kernel upgrade

- badguy@IRCNet -