4.5. Servizi di rete disponibili

Mentre l'accesso dell'utente ai controlli amministrativi è una questione importante per gli amministratori del sistema all'interno di una organizzazione, mantenere le tabelle sulle quali i servizi di rete sono attivi, è di fondamentale importanza per qualsiasi utente che installa e opera un sistema Linux.

Molti servizi, con Red Hat Enterprise Linux, si comportano come server di rete. Se un servizio di rete è in esecuzione su di una macchina, un'applicazione del server chiamata daemon è in ascolto per collegamenti su una o più porte. In questo caso, ogni server dovrebbe essere trattato come un probabile mezzo tramite il quale si effettua un attacco.

4.5.1. Rischi causati dai servizi

I servizi a loro volta possono rappresentare molti rischi per i sistemi Linux. Di seguito viene riportata una lista di alcune problematiche:

NotaNota
 

La minaccia delle vulnerabilità dei buffer overflow viene mitigata in Red Hat Enterprise Linux grazie all'uso di ExecShield, una segmentazione della memoria eseguibile e della tecnologia di protezione supportata dai kernel di tipo uni- e multi-processori compatibili con x86. ExecShield riduce il rischio del buffer overflow, separando la memoria virtuale in segmenti eseguibili e non eseguibili. Qualsiasi codice che cerca di essere eseguito esternamente al segmento eseguibile (come ad esempio codici maliziosi infiltrati da un exploit del buffer overflow), attiva un errore nella segmentazione e quindi ne consegue una sua interruzione.

Execshield include altresì un supporto per la tecnologia No eXecute (NX) su piattaforme AMD64 e eXecute Disable (XD) su sistemi Itanium e Intel® EM64T. Le suddette tecnologie lavorano in unione con ExecShield, per prevenire l'esecuzione di codici maliziosi all'interno della porzione eseguibile della memoria virtuale, con una granularità di 4kb di codice, abbassando il rischio di un attacco da parte di exploit invisibili del buffer overflow.

Per maggiori informazioni su ExecShield e sulle tecnologie NX e XD, consultate il whitepaper intitolato Miglioramenti della sicurezza con Red Hat Enterprise Linux v.3, Update 3, disponibile su:

http://www.redhat.com/solutions/info/whitepapers/

Per limitare l'esposizione agli attacchi attraverso la rete, tutti i servizi che non vengono usati, devono essere disabilitati.

4.5.2. Identificazione e configurazione dei servizi

Per aumentare la sicurezza, molti servizi di rete installati con Red Hat Enterprise Linux sono, per default, selezionati su off. Tuttavia ci sono comunque delle eccezioni:

Quando decidete se lasciare o meno questi servizi in esecuzione, è consigliabile usare un pò di buon senso e seguire una implementazione sicura. Per esempio, se non è disponibile una stampante, non lasciate in esecuzione cupsd. La stessa cosa vale per portmap. Se non montate i volumi NFSv3 o usate NIS (il servizio ypbind), allora disabilitate portmap.

Red Hat Enterprise Linux presenta tre programmi usati per selezionare o deselezionare (on-off) i servizi. Essi sono Strumento di configurazione dei servizi (system-config-services), ntsysv, e chkconfig. Per informazioni sull'uso di questi strumenti, controllare il capitolo Controllo dell'accesso al servizio in Red Hat Enterprise Linux System Administration Guide.

Figura 4-3. Strumento di configurazione dei servizi

Se non siete sicuri a quale scopo potete usare un servizio, lo Strumento di configurazione dei servizi possiede un campo di descrizione illustrato in Figura 4-3, il quale potrebbe aiutarvi.

Non è sufficiente controllare quali sono i servizi di rete disponibili ad iniziare al momento dell'avvio. Gli amministratori di sistema più spigliati, dovrebbero controllare quali sono le porte aperte e in ascolto. Controllare la Sezione 5.8 per maggiori informazioni.

4.5.3. Servizi non sicuri

Potenzialmente, ogni servizio di rete non è sicuro. Ecco perchè è sempre una buona regola disabilitare i servizi che non vengono usati. Ogni giorno vengono rilevati degli exploit che a loro volta causano una emissione di patch. È importante quindi, mantenere aggiornati i pacchetti associati con qualsiasi servizio della rete. Controllare Capitolo 3 per maggiori informazioni.

Alcuni protocolli della rete sono meno sicuri di altri. Questo include tutti i servizi che effettuano quanto segue:

I seguenti esempi, includono servizi non sicuri:

Tutti i programmi della shell ed i login remoti (rlogin, rsh, e telnet) dovrebbero essere evitati in favore di SSH. (consultare la Sezione 4.7 per maggiori informazioni su sshd).

Per la sicurezza del sistema, FTP non è così pericoloso come le shell remote, ma i server FTP devono essere configuratI con attenzione e controllati, in modo da evitare problemi. Consultare la Sezione 5.6 per maggiori informazioni su come rendere sicuri i server FTP.

I servizi che devono essere implementati con particolare attenzione e con l'uso di firewall sono:

Maggiori informazioni su come rendere sicuri i servizi di rete, sono disponibili su Capitolo 5.

La sezione successiva indica gli strumenti disponibili per impostare un firewall semplice.