Linux/ Un firewall per amico (IV)

In preparazione all'allestimento della nostra Linux box al compito di firewall, soffermiamoci ancora un poco sulle basilari politiche di sicurezza proprie di qualsiasi server Linux

Siamo arrivati alla quarta puntata dei nostri articoli su come realizzare, con una macchina Linux, un sistema che possa proteggere la nostra rete locale da attacchi provenienti da Internet. A tutt'oggi non abbiamo parlato di come, effettivamente, tradurre in realtà il firewall, non abbiamo tuttora trattato delle politiche di restrizione, ma abbiamo dato molta importanza su come rendere l'intero sistema sicuro. Spenderemo ancora un articolo su questo tema per poi passare, nel prossimo, a parlare di ipchains, il fulcro dell'intero firewall.


Normalmente molte distribuzioni Linux non permettono l'accesso all'utente root attraverso telnet o ssh. Questa scelta rappresenta un'ottima politica di sicurezza, vediamo in dettaglio cosa bisogna fare per attuarla. Editate il file /etc/securetty e commentate con una # tutte le righe che presentano una occorrenza del tipo ttypn, dove n è un numero. Ecco un esempio:

$>cat /etc/securetty
tty1
tty2
tty3
tty4
tty5
tty6
#ttyp0
#ttyp1
#ttyp2

Resta inteso che continuerà ad essere possibile diventare super user attraverso il comando su: vedere a tal proposito il man di tale comando.

Anche l'accesso ftp per l'utente root può rappresentare una falla per la sicurezza. Per evitare che il super utente possa accedere dobbiamo inserire nel file /etc/ftpusers la parola root, in altri termini in questo file sono elencati tutti gli utenti che non devono avere accesso al servizio di ftp.

#/etc/ftpusers
at
bin
daemon
games
gnats
lp
man
mdom
news
nobody
root
uucp
# End.