Migliorare la sicurezza di CentOS 7

Su High on Coffe c’è un articolo con una serie di consigli per migliorare la sicurezza di CentOS 7.

Non si tratta della solita prolissa guida di RedHat, ma di una serie di controlli da effettuare su un’installazione se si vuole migliorare la sicurezza di una parte del sistema.

Un altro vantaggio di questa guida è che si basa su un’installazione minimale di CentOS 7.

Va da sé che non si devono applicare bovinamente tutte le indicazioni perché altrimenti si avrà sì un server molto sicuro, ma che rischia di essere di fatto inutilizzabile.

Alcune impostazioni segnalate della guida sono il default di CentOS 7, in questo caso la guida serve come checklist in caso di dubbi oppure quando si assume il controllo di un server preinstallato o gestito precedentemente da terzi.

Altre indicazioni, come la frammentazione dei file system, vanno implementate dopo attenta riflessione. La frammentazione dei file system è un retaggio antico di *NIX ed è molto utile in alcuni contesti, ma non in tutti. Nel caso della guida la frammentazione ha lo scopo di segregare le parti del file system che possono essere montate con opzioni quali nosuid, noexec e nodev per ridurre le probabilità di attacco esterno. Nel caso in cui si frammenti il file system bisogna tenere ben presente che si corre il rischio di aumentare la probabilità di blocco dei servizi offerti dal server e, quindi,la dipendenza delle funzionalità da un intervento umano.

È molto interessante scorrere la guida perché si possono scoprire funzioni ignote. In ogni caso è meglio applicare le policy di sicurezza su un server di test di cui si ha il pieno controllo prima implementarle in un sistema online che sta a mezzo pianeta di distanza.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

2 pensieri riguardo “Migliorare la sicurezza di CentOS 7”

  1. Molto interessante.
    Dubbio però (non ho avuto tempo di pensarci per bene)

    Se io proibisco di usare più di N (per esempio 3) caratteri consecutivi di una classe, in realtà sto buttando via un numero enorme di combinazioni valide.
    Se per esempio ho una pwd di min 6 caratteri (che è stupido ma semplifica l’esempio) e dico che più di 3 consecutivi non ci possono essere, è vero che impedisco ad un co%%%%ne di inserire “000000”, ma impedisco anche di inserire 773862, 3398@dF, eccetera.
    Quindi in caso di attacco in cui un dictionary non funziona ma è necessario fare una ricerca esaustiva, l’attaccante sa già che moltissime combinazioni non le deve nemmeno provare.

    Qualcuno ha fatto i conti?

    1. Immagino che si presuma l’ignoranza delle policy in uso da parte dell’attaccante.
      Diversamente, qualsiasi policy si applichi ad una password, a partire dalla lunghezza minima, limita il numero di tentativi in caso di bruteforcing.
      Di solito le policy servono a far perdere tempo a chi fa bruteforcing perche’ tenta combinazioni “impossibili”

Spazio per un commento