[gentoo-docs-it] Tradotto security/shb-kernel.xml

[gentoo-docs-it] Tradotto security/shb-kernel.xml

[Cristiano Chiucchiolo]

[-- Attachment #1: Type: text/plain, Size: 2 bytes --]



[-- Warning: decoded text below may be mangled, UTF-8 assumed --]
[-- Attachment #2: shb-kernel.xml --]
[-- Type: text/xml; name="shb-kernel.xml", Size: 7981 bytes --]

<?xml version='1.0' encoding='UTF-8'?>
<!-- $Header: /var/www/www.gentoo.org/raw_cvs/gentoo/xml/htdocs/doc/en/security/shb-kernel.xml,v 1.1 2005/06/01 15:43:47 neysx Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">

<!-- The content of this document is licensed under the CC-BY-SA license -->
<!-- See http://creativecommons.org/licenses/by-sa/1.0 -->

<sections>

<version>1.0</version>
<date>2005-05-31</date>

<section>
<title>Rimuovere funzionalità</title>
<body>

<p>
La regola base, quando si configura il kernel, è quella di rimuovere tutto ciò
di cui non si ha bisogno. Questo non solo per rendere il kernel leggero, ma
anche per rimuovere le vulnerabilità che potrebbero insinuarsi all'interno dei
driver e delle altre funzionalità.
</p>

<p>
Considerate anche di disattivare il "loadable modules support". Sebbene sia
possibile installare rootkits anche senza questa funzionalità, diventa
sicuramente più difficile per un aggressore di capacità medie installare
rootkits attraverso i moduli del kernel.
</p>

</body>
</section>
<section>
<title>Il filesystem proc</title>
<body>

<p>
Molti parametri del kernel possono essere alterati attraverso il filesystem
<path>/proc</path>, oppure usando <c>sysctl</c>.
</p>

<p>
Per modificare al volo parametri del kernel e variabili, è necessario che
<c>CONFIG_SYSCTL</c> sia definito nel kernel. Lo è di default in un kernel 2.4
standard.
</p>

<pre caption="Disattivare l'IP forwarding">
# <i>/bin/echo "0" &gt; /proc/sys/net/ipv4/ip_forward</i>
</pre>

<p>
Assicuratevi che l'IP forwarding sia disattivato. Questa funzione serve solo per
un host multi-homed. Si raccomanda di attivare o disattivare questa flag prima
di tutte le altre, in quanto essa attiva/disattiva altre flag.
</p>

<pre caption="Ignorare i pacchetti ping">
# <i>/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all</i>
</pre>

<p>
Questo farà sì che il kernel ignori semplicemente tutti i messaggi di ping
(conosciuti anche come messaggi ICMP di tipo 0). Il motivo è che un pacchetto IP
che trasporta un messaggio ICMP può contenere informazioni diverse da quelle che
vi aspettereste. Gli amministratori usano ping come tool diagnostico e spesso si
lamentano se esso è disattivato, ma non c'è ragione per mettere un estraneo
nella possibilità di pingare. Tuttavia, poiché a volte può essere comodo per gli
addetti avere la possibilità di pingare, potete disattivare i messaggi ICMP di
tipo 0 nel firewall (permettendo agli amministratori locali di continuare a
usare questo strumento).
</p>

<pre caption="Ignorare broadcast pings">
# <i>/bin/echo "1" &gt; /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts</i>
</pre>

<p>
Questo disattiva la risposta ai broadcast ICMP, prevenendo gli attacchi Smurf.
L'attacco Smurf consiste nell'invio di un messaggio ICMP di tipo 0 (ping)
all'indirizzo broadcast di una rete. Di solito l'aggressore utilizza un
indirizzo sorgente contraffatto. Tutti i computer della rete risponderanno al
messaggio ping, intasando l'host all'indirizzo sorgente contraffatto.
</p>

<pre caption="Disattivare i pacchetti da fonte instradata">
# <i>/bin/echo "0" &gt; /proc/sys/net/ipv4/conf/all/accept_source_route</i>
</pre>

<p>
Non accettate pacchetti da fonte instradata. Gli aggressori possono usare
l'instradamento delle fonti per generare traffico che sembra avere origine
dall'interno della vostra rete, ma che in realtà viene instradato all'indietro
lungo il percorso da cui è venuto, cosicché gli aggressori possono compromettere
la vostra rete. L'instradamento delle fonti è usato raramente per scopi
positivi, quindi è meglio disattivarlo.
</p>

<pre caption="Disattivaree l'accettazione rediretta">
# <i>/bin/echo "0" &gt; /proc/sys/net/ipv4/conf/all/accept_redirects</i>
# <i>/bin/echo "0" &gt; /proc/sys/net/ipv4/conf/all/secure_redirects</i>
</pre>

<p>
Non accettate pacchetti ICMP rediretti. Le redirezioni ICMP possono essere usate
per alterare le vostre tabelle di instradamento, con conseguenze potenzialmente
negative.
</p>

<pre caption="Proteggersi dai falsi messaggi di errore">
# <i>/bin/echo "1" &gt; /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses</i>
</pre>

<p>
Attiva la protezione contro le risposte a falsi messaggi di errore.
</p>

<pre caption="Attivare il reverse filtering del percorso">
# <i>for i in /proc/sys/net/ipv4/conf/*; do
        /bin/echo "1" &gt; $i/rp_filter
done</i>
</pre>

<p>
Attivate il reverse filtering del percorso. Questo aiuta ad essere sicuri che i
pacchetti utilizzino indirizzi sorgente regolari, rifiutando automaticamente i
pacchetti in arrivo se la voce nella tabella di instradamento che indica il loro
indirizzo sorgente non corrisponde all'interfaccia di rete su cui stanno essi
arrivando. Questo è vantaggioso per la sicurezza in quanto impedisce l'IP
spoofing. Dobbiamo attivarlo per ogni <path>net/ipv4/conf/*</path>, altrimenti
l'autenticazione delle fonti non sarà pienamente funzionante.
</p>

<warn>
Tuttavia attivare il reverse filtering del percorso può essere un problema se
utilizzate un instradamento asimmetrico (i pacchetti che vanno da voi all'host
fanno un percorso diverso dai pacchetti che vanno da quell'host a voi) oppure se
operate su un host senza instradamento, che ha diversi indirizzi IP su diverse
interfacce.
</warn>

<pre caption="Log pacchetti spoofati, sorgenti instradate e pacchetti rediretti">
# <i>/bin/echo "1" &gt; /proc/sys/net/ipv4/conf/all/log_martians</i>
</pre>

<p>
Fa il log dei pacchetti spoofati, dei pacchett da fonte instradata e dei
pacchetti rediretti.
</p>

<p>
Tutte queste impostazioni saranno resettate al riavvio della macchina.
Suggerisco di aggiungerle a <path>/etc/sysctl.conf</path>, che viene
sorgentizzato automaticamente dall'init script
<path>/etc/init.d/bootmisc</path>.
</p>

<p>
La sintassi di <path>/etc/sysctl.conf</path> è abbastanza semplice. Togliete
<path>/proc/sys/</path> dai percorsi sopra menzionati e sostituite
<path>/</path> con <path>.</path>:
</p>

<pre caption="Tradurre per sysctl.conf">
<comment>(Manualmente usando echo):</comment>
/bin/echo "0" &gt; /proc/sys/net/ipv4/ip_forward

<comment>(Automaticamente in sysctl.conf:)</comment>
net.ipv4.ip_forward = 0
</pre>

</body>
</section>
<section>
<title>Grsecurity</title>
<body>

<p>
La patch di <uri link="http://grsecurity.net">Grsecurity</uri> è presente nei
sorgenti del kernel Gentoo, ma è disattivata di default. Configurate il kernel
normalmente, e poi configurate le opzioni Grsecurity. Una spiegazione nei
dettagli delle opzioni Grsecurity disponibili (versione 1.9) è disponibile nella
pagina del progetto
<uri link="/proj/en/hardened/index.xml">Gentoo Hardened</uri>.
</p>

<p>
Le versioni recenti di <c>grsec-sources</c> forniscono la versione 2.* di
Grsecurity. Per maggiori informazioni su questo set di patch Grsecurity
migliorate, consultate da documentazione disponibile sulla
<uri link="http://www.grsecurity.net/">home page Grsecurity</uri>.
</p>

</body>
</section>
<section>
<title>Kerneli</title>
<body>

<p>
<uri link="http://www.Kerneli.org">Kerneli</uri> è una patch che aggiunge la
criptazione al vostro attuale kernel. Patchando il vostro kernel avrete nuove
opzioni, come "cryptographic ciphers", "digest algorithms" e "cryptographic loop filters".
</p>

<warn>
La patch kerneli attualmente non è ancora ad una versione stabile per l'ultimo
kernel, quindi fate attenzione quando la utilizzate.
</warn>

</body>
</section>
<section>
<title>Altre patch per il kernel</title>
<body>

<ul>
<li><uri link="http://www.openwall.com">The OpenWall Project</uri></li>
<li><uri link="http://www.lids.org">Linux Intrusion Detection System</uri></li>
<li><uri link="http://www.rsbac.org">Rule Set Based Access Control</uri></li>
<li>
  <uri link="http://www.nsa.gov/selinux">NSA's security enhanced kernel</uri>
</li>
<li><uri link="http://sourceforge.net/projects/wolk/">Wolk</uri></li>
</ul>

<p>
E probabilmente ce ne sono molte altre.
</p>

</body>
</section>
</sections>

Re: [gentoo-docs-it] Tradotto security/shb-kernel.xml

[Stefano Rossi]

[-- Attachment #1: Type: text/plain, Size: 72 bytes --]

online

-- 
Gentoo Documentation Project
Italian Follow-Up Translator 


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 256 bytes --]