Re: [ml] RootKitHunter

[Thu Nov 17 2005, 20:52:08 CET] Marco d'Itri wrote:
> On Nov 17, Marco Pennelli <heart@xxxxxxxxxxx> wrote:
> 
> > Per l'accesso diretto come root, e' consigliabile non attivarlo, meglio
> > da utente e poi con "su". :-)
> Questa è una affermazione che mi sa tanto di "cargo cult security".

Se su e' cult, figuriamoci sudo, poveri utenti ubuntu. :-)

> Non mi pare che quanto affermi sia così ovvio, quindi forse dovresti
> motivare un po' meglio quanto scrivi.

Potevi aggiungere qualcosa invece di restare sulla critica.
Comunque, visto che ho un po' piu' di tempo rispetto a ieri, aggiungo
che nei sistemi UNIX c'e' un approccio alla sicurezza orientato
generalmente ai permessi di sistema e ai login separati. Questo
significa che le fasi di amministrazione vengono assegnate ad un login
amministrativo (detto "root"). Autenticarsi al sistema direttamente come
root non e' molto consigliabile visto che si ha il totale controllo e
gli incidenti potrebbero non mancare (cancellazione di file, etc).
Alcune distribuzioni Linux come SuSE al login grafico, entrando
direttamente come root, visualizzano un desktop minaccioso, con tante
bombe alla Dynablaster. :-)
Inoltre l'accesso da root diretto, magari da X, permette l'esecuzione di
processi con i superpoteri di root andando ad incrementare la debolezza
del sistema in caso di determinati attacchi.
Per quanto riguarda SSH, visto che il topic e' su questo, disabilitare
l'accesso remoto diretto da root, permette di evitare attacchi brute
force mirati a beccare la pass di root e da li' l'accesso in piena
liberta' al sistema.
Concludendo, il buon comportamento e' autenticarsi come utente e poi per
l'attivita' amministrativa usare "su" o "sudo".

Dimentico qualcosa?

Un saluto a tutti (oggi e' venerdi!)

-- 
|-- Marco Pennelli - TechnoSec (http://www.technosec.net)
|-- E-mail: marco.pennelli@xxxxxxxxxxxxx (pub 1024D/8004F6C1)
`-- Mobile: +39 328 6271140