Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[SemiOT] Sicurezza - Linux & Utenti Aziendali
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page 1, 2  Next  
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian)
View previous topic :: View next topic  
Author Message
cagnaluia
l33t
l33t


Joined: 01 Sep 2004
Posts: 998
Location: Treviso

PostPosted: Mon Apr 11, 2005 9:45 am    Post subject: [SemiOT] Sicurezza - Linux & Utenti Aziendali Reply with quote

Salve..

Ora che so smanettare decentemente con Gentoo Linux..

Vorrei iniziare un installazione capillare della distribuzione Gentoo sui pc dell'azienda per cui lavoro.


Quello che vorrei fare è installare un Gentoo NON a prova di bomba... bensì a prova di UTENTE.. che è ben più disastroso.
Un utente d'ufficio poco importa con quali strumenti lavora. Poco importa se girando per le risorse del computer o sfogliando le cartelle cancella qualcosa.. Poco importa se in un momento veda la necesità di un bel reset...
Infine.. un utente aziendale è un "animale" ben diverso da quello domestico che si preoccupa della propria macchina.. tanto, per il primo, il pc non è suo!


Perciò vorrei analizzare con Voi, quali sono le variabili in gioco e i metodi più consoni per proteggere il pc da ogni inconveniente!

Cosa fareste Voi, per ovviare ogni attività poco "ortodossa"?:wink:
Back to top
View user's profile Send private message
randomaze
Bodhisattva
Bodhisattva


Joined: 21 Oct 2003
Posts: 9985

PostPosted: Mon Apr 11, 2005 9:51 am    Post subject: Re: [SemiOT] Sicurezza - Linux & Utenti Aziendali Reply with quote

cagnaluia wrote:
Cosa fareste Voi, per ovviare ogni attività poco "ortodossa"?:wink:



Non rivelerei la password di root neanche sotto tortura (al limite sudo ben configurato può bastare)

Utilizzerei comunque alcune procedure "di sicurezza" (/usr in read-only, /tmp in no-exec, ...)

Farei il backup giornaliero delle home degli utenti...
_________________
Ciao da me!
Back to top
View user's profile Send private message
Benve
l33t
l33t


Joined: 13 Mar 2003
Posts: 897
Location: Italy Romagna

PostPosted: Mon Apr 11, 2005 10:03 am    Post subject: Reply with quote

Io toglierei il tasto reset dalla macchina (dico proprio di staccare i fili)
e si può anche pensare di attaccare il filo della corrente col Super Attack alla macchina e con 2 viti alla presa a muro, che non si sa mai :)

A parte gli scherzi sono molto interessato alla cosa...
So che per esempio lxnay ha creato un kiosco con gentoo, penso che abbia pensato a questo genere di soluzioni.
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Mon Apr 11, 2005 10:25 am    Post subject: Reply with quote

Benve wrote:
Io toglierei il tasto reset dalla macchina (dico proprio di staccare i fili)
e si può anche pensare di attaccare il filo della corrente col Super Attack alla macchina e con 2 viti alla presa a muro, che non si sa mai :)

perché non attaccare direttamente la corrente (220v) al tasto reset? :wink: :lol:

A parte gli scherzi... dipende quello che devono fare gli utenti... al limite puoi implementare delle restrizioni direttamente da interfaccia grafica (blocchi le console e/o concedi l'accesso in console solo da root, password in grub) impedendo l'accesso alle configurazioni del WM (permessi root:users 7:5:5 sui file di configurazione di kde o gnome o quellocheè nelle home degli utenti, con dei wm leggeri viene più semplice)
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
Merlink
Tux's lil' helper
Tux's lil' helper


Joined: 01 Sep 2004
Posts: 104
Location: Agrigento, Italy

PostPosted: Mon Apr 11, 2005 10:31 am    Post subject: Reply with quote

Io toglierei lettore CD, Floppy e simili dopo l'installazione, disabiliterei (come gia detto) reset, power, CTRL+ALT+CANC. Permessi minimi per tutti, /home, /tmp, /var in noexec,nodev, le altre dir in una partizione ro. Niente Dbus/hal, in modo che le "robette" usb possano essere montate solo con il tuo consenso, sempre in "nodev,noexec", LIDS (se sei paranoico) per limitare fortemente l'utente, in special modo, disabiliti l'esecuzione di tutto al di fuori dell'orario di lavoro. Firewall che permetta lo stretto indispensabile in entrata e uscita, proxy con blocco su tutto + white list per i siti richiesti dall'azienda. Thunderbird, Firefox. Niente tools particolari, ambiente minimale (Fluxbox + idesk) con le sole icone indispensabili sul desktop e blocco delle combinazioni "pericolose" (quelle per eseguire console, per esempio). Firefox e tbird (Come gli altri programmi) dovrebbero essere chroottati, in un fs di loop, con permessi solo sui bookmarks, cache disabilitata. Password da bios per evitare boot da chissa' quale diavoleria, password a grub per evitare il passaggio di parametri al kernel. Bootsplash non disabilitabile per evitare che si sappiano i servizi che partono...Tu, con una lupara, dietro ogni utente... perche' tu sei furbo, ma gli utenti lo sono sempre di piu' :(

Saluti
Back to top
View user's profile Send private message
SilverXXX
l33t
l33t


Joined: 18 Sep 2004
Posts: 885

PostPosted: Mon Apr 11, 2005 10:43 am    Post subject: Reply with quote

Merlink wrote:
...cut... .Tu, con una lupara, dietro ogni utente... perche' tu sei furbo, ma gli utenti lo sono sempre di piu' :(

Saluti


8O Esagerato.. La lupara te la tieni solo per usarla contro gli scassa@@ :twisted:
Cmq anche se più ristretto è meglio è, mi sembra un pò esagerato, forse. Dopo non diventa anche abbastanza complessa l'installazione?
_________________
about:mozilla
Back to top
View user's profile Send private message
Merlink
Tux's lil' helper
Tux's lil' helper


Joined: 01 Sep 2004
Posts: 104
Location: Agrigento, Italy

PostPosted: Mon Apr 11, 2005 10:45 am    Post subject: Reply with quote

e' piu' difficile reinstallare il sistema ogni mese perche' l'utente ha trovato una falla ;)
Back to top
View user's profile Send private message
Ic3M4n
Advocate
Advocate


Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.

PostPosted: Mon Apr 11, 2005 10:47 am    Post subject: Reply with quote

Code:
perche' tu sei furbo, ma gli utenti lo sono sempre di piu'

tutti abbiamo iniziato dall'altra parte della barricata :(
ed è sempre bello quando vedi il firewall dell'azienda in cui lavori cadere sotto le tue manine :)
oppure il chiosk :D

il problema è che il tutto è troppo facile con winzozz :( :( :(
adesso non ho più divertimento.

cmq un mio piccolo consiglio, se possibile prendi una macchina e se hai una qualche persona in grado di fare qualsiasi cosa non possa essere fatta senza il tuo permesso prova a farglielo fare.
Quote:
uh uh uh! non ho capito cosa ho detto nemmeno io che l'ho scritto. provo a cambiare l'ordine delle parole:
fai testare la tua macchina bloccata ad una persona che sappia dove mettere le mani. così saprai dove sono i punti deboli e puoi metterli a posto
Back to top
View user's profile Send private message
SilverXXX
l33t
l33t


Joined: 18 Sep 2004
Posts: 885

PostPosted: Mon Apr 11, 2005 10:47 am    Post subject: Reply with quote

Che ne dite inziando a dare dei commodore 64 o delle amiga (mitiche!!!)?? voglio vedere cosai ci fanno di sbagliato. Poi si limita il computer solo a chi gli serve, magari agli altri si dà una macchina da scrivere :lol:
_________________
about:mozilla
Back to top
View user's profile Send private message
Ic3M4n
Advocate
Advocate


Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.

PostPosted: Mon Apr 11, 2005 10:54 am    Post subject: Reply with quote

beh... anche con un commodore64 si possono fare danni o no? :D :D :D
Back to top
View user's profile Send private message
SilverXXX
l33t
l33t


Joined: 18 Sep 2004
Posts: 885

PostPosted: Mon Apr 11, 2005 11:08 am    Post subject: Reply with quote

Purtroppo i danni si possono fare sempre, per esempio se qualcuno ci picchia sopra con la mazza da muratore, ma almeno con il c 64 è fatica :D
_________________
about:mozilla
Back to top
View user's profile Send private message
Ic3M4n
Advocate
Advocate


Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.

PostPosted: Mon Apr 11, 2005 12:15 pm    Post subject: Reply with quote

si, quello è vero. infatti non puoi impedire all'utente di premere il pulsante power, però sarebbe belo poterlo fare. il tutto alla fine dipende dal grado di paranoia che sei in grado di raggiungere. per fare un esempio, credo che questo post abbia una qualche attinenza con questo che guardacaso era quello appena sotto rispetto a questo.
[url] [/url]non tanto per gli argomenti trattati, ma per il permettere ad un utente l'esecuzione o meno di una data azione e la capacità dell'utente di riuscire a saltare un certo controllo. onestamente se io dovessi mai diventare amministrazione di sistema attuerei il maggior numero di controlli possibile affinchè l'utente sia sotto il mio controllo e non possa sfuggire a delle semplici regole generali ma molto restrittive :D [/list]
Back to top
View user's profile Send private message
Ic3M4n
Advocate
Advocate


Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.

PostPosted: Mon Apr 11, 2005 12:17 pm    Post subject: Reply with quote

scusate, non mi ha messo l'URL.
[url]https://forums.gentoo.org/viewtopic-t-320397.html [/url]
Back to top
View user's profile Send private message
Tiro
l33t
l33t


Joined: 14 Feb 2003
Posts: 752
Location: italy

PostPosted: Mon Apr 11, 2005 12:27 pm    Post subject: Reply with quote

io adibirei un file server raid dove gli utenti salvano in automatico i file, ovvero le home montarle tutte in remoto su tale server in modo da gestire un solo (eventuale) backup su una macchina anzichè su N macchine e non dover litigare con nessuno...
Back to top
View user's profile Send private message
.:deadhead:.
Advocate
Advocate


Joined: 25 Nov 2003
Posts: 2963
Location: Milano, Italy

PostPosted: Mon Apr 11, 2005 2:47 pm    Post subject: Reply with quote

carine molte idee paranoiche /scrib scrib scollegare fili power, lupara :-)

Cmq credo che il tutto dipenda dal tipo di utenti che si ha... I miei conoscono a malapena windows, figuriamoci che danni potrebbero fare con linux ;-) Home lontane dai client direi che è si un'ottima cosa...ma per il resto...se non sono root...che volete che facciano? E poi rimeto, davvero avete degli utenti che sanno cos'è linux, come si installa del sw a manina [make, config, install (che tanto fallisce perchè non son root) ] e altro... Io al più bloccherei bios, per evitare installazioni di windows o liveCD maliziosi...

Sembra che vogliamo organizzare un PC a mo di chiosco [andatevi a rivedere il 3d di federico che tempo fa aveva chiesto come realizzare una linuxbox blindata].
_________________
Proudly member of the Gentoo Documentation Project: the Italian Conspiracy ! ;)
Back to top
View user's profile Send private message
randomaze
Bodhisattva
Bodhisattva


Joined: 21 Oct 2003
Posts: 9985

PostPosted: Mon Apr 11, 2005 3:54 pm    Post subject: Reply with quote

.:deadhead:. wrote:
Cmq credo che il tutto dipenda dal tipo di utenti che si ha... I miei conoscono a malapena windows, figuriamoci che danni potrebbero fare con linux ;-) .


Si i miei suggerimenti erano infatti volti ad "evitare uso stupido" piuttosto che "evitare uso improprio"... molte cose che ho letto nel 3d mi sembrano più volte a bloccare il più possibile qualche smaettone piuttosto che "segretaria-oriented"
_________________
Ciao da me!
Back to top
View user's profile Send private message
Sparker
l33t
l33t


Joined: 28 Aug 2003
Posts: 992

PostPosted: Mon Apr 11, 2005 4:42 pm    Post subject: Reply with quote

.:deadhead:. wrote:
[make, config, install (che tanto fallisce perchè non son root) ]

./configure --prefix=~/ProgrammaMalvagio && make && make install :twisted:

non dare i permessi di esecuzione sul gcc :)
Back to top
View user's profile Send private message
Ic3M4n
Advocate
Advocate


Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.

PostPosted: Mon Apr 11, 2005 4:47 pm    Post subject: Reply with quote

[puttanata]e se la segretaria deve usare gcc? [/puttanata]
Back to top
View user's profile Send private message
btbbass
Apprentice
Apprentice


Joined: 15 Feb 2005
Posts: 287
Location: Asti o Torino

PostPosted: Mon Apr 11, 2005 4:48 pm    Post subject: Reply with quote

Ic3M4n wrote:
[puttanata]e se la segretaria deve usare gcc? [/puttanata]


Chiama il sistemista, che lo fa da root
_________________
Chi dice che è impossibile non interrompa chi lo sta facendo

-Proverbio Cinese -
___________________________________
Back to top
View user's profile Send private message
cagnaluia
l33t
l33t


Joined: 01 Sep 2004
Posts: 998
Location: Treviso

PostPosted: Mon Apr 11, 2005 6:37 pm    Post subject: Reply with quote

a patto di disporre di una buona e veloce rete LAN, e suppondendo che il sistema di contenere tutti i dati utente su un server centrale ben protetto e ben backupato sia la scelta migliore, come si possono creare delle regole di protezione, che vengano applicate automaticamente sui nuovi pc nei quali installo linux? (1.)

Altro:
2. Allora per scongiurare ogni "danno" potrei creare un cdrom contenente linux e programmi, live!

3. Compilare gentoo su un centinaio di pc.. potrebbe essere un pò noioso... credo!
Back to top
View user's profile Send private message
Benve
l33t
l33t


Joined: 13 Mar 2003
Posts: 897
Location: Italy Romagna

PostPosted: Mon Apr 11, 2005 7:19 pm    Post subject: Reply with quote

cagnaluia wrote:
a patto di disporre di una buona e veloce rete LAN, e suppondendo che il sistema di contenere tutti i dati utente su un server centrale ben protetto e ben backupato sia la scelta migliore, come si possono creare delle regole di protezione, che vengano applicate automaticamente sui nuovi pc nei quali installo linux? (1.)

Altro:
2. Allora per scongiurare ogni "danno" potrei creare un cdrom contenente linux e programmi, live!

3. Compilare gentoo su un centinaio di pc.. potrebbe essere un pò noioso... credo!


Ti conviene creare uno snapshot compilato in modo generico e usarlo su tutti i pc (se vuoi ne ho uno pronto con solo kde-base erelative dipendenze già fatto :) )
Poi per gli aggiornamenti usi i pacchetti binari
Back to top
View user's profile Send private message
cagnaluia
l33t
l33t


Joined: 01 Sep 2004
Posts: 998
Location: Treviso

PostPosted: Mon Apr 11, 2005 7:30 pm    Post subject: Reply with quote

Benve wrote:
Ti conviene creare uno snapshot compilato in modo generico e usarlo su tutti i pc (se vuoi ne ho uno pronto con solo kde-base erelative dipendenze già fatto :) )
Poi per gli aggiornamenti usi i pacchetti binari




come si fa?
1. a compilare uno snapshot generico.
2. usarlo.. (risp: come lo snapshot che gia conosco, di default..)
3. il kernel poi?
Back to top
View user's profile Send private message
Sparker
l33t
l33t


Joined: 28 Aug 2003
Posts: 992

PostPosted: Mon Apr 11, 2005 8:31 pm    Post subject: Reply with quote

[quote="cagnaluia"]
Benve wrote:

come si fa?
1. a compilare uno snapshot generico.
2. usarlo.. (risp: come lo snapshot che gia conosco, di default..)
3. il kernel poi?


Compili per i686 e configuri tutto, poi fai un bel tar.gz di tutto (preservando gli attributi dei files) e schiaffi tutto su un ftp o http
fai il boot con il livecd, wget del tar.gz, untar del file, installi il bootmanager con lilo/grub e sei a posto

Per l'aggiornamento
fai un server locale che esporta il portage in read-only via nfs. Stessa cosa per i pacchetti binari

Il problema principale sono gli aggiornamenti dei file di configurazione:
l'anno scorso ho seguito un seminario di lcars al webbit su come gestire installazioni multiple di gentoo
in pratica suggeriva di salvare sul server i file di configurazione modificati ed in caso di ulteriri modifiche li copiava sui client
Dovrebbe essere abbastanza semplice da gestire con script bash ed scp
Back to top
View user's profile Send private message
FonderiaDigitale
Veteran
Veteran


Joined: 06 Nov 2003
Posts: 1710
Location: Rome, Italy

PostPosted: Mon Apr 11, 2005 10:39 pm    Post subject: Reply with quote

Sparker wrote:

Il problema principale sono gli aggiornamenti dei file di configurazione:


subversion e' fatto esattamente per questo.

cmq sia, una cosa che farei io, avendo il budget necessario,e' rendere i client diskless con schede di rete che fatto il boot PXE, e concentrare tutto su un server: in questo modo hai piu controllo sulle installazioni, devi usare solo un'installazione base + mount -o bind di /etc/var ecc e riusi la maggior parte delle cose.
senza contare che non ti possono smontare l'hd dalle macchine x taroccarle! (che ti ridi, m'e' successo!!)
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica :)
Back to top
View user's profile Send private message
Little Cash
Tux's lil' helper
Tux's lil' helper


Joined: 04 Dec 2003
Posts: 131
Location: Cosenza, Italia

PostPosted: Tue Apr 12, 2005 12:51 am    Post subject: Reply with quote

Sono daccordo per configurare adeguatamente sudo e per non dare a nessuno la password di superutente. Poi disabilita in inittab il reset associato alla combinazione control alt canc, e se sei un maniaco della sicurezza configura magari un sistema di autenticazione PAM o LDAP.

Saluti,
Michele
_________________
D: Perche' usi linux?
R: Perche' mi piace dover riavviare solo per un kernel upgrade

- badguy@IRCNet -
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) All times are GMT
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum