Il Linux Day visto da me.

[Fabio Ceinar]

----- Original Message ----- 
From: "Alessandro" <mailthrottle-glug@yahoo.it>
Subject: Il Linux Day visto da me.

[cut cut]
> 3) Sicurezza nella rete aziendale.
>
> Ad un certo punto si è fatto riferimento alla notizia
> di qualche tempo fa della compromissione di un server
> utilizzato dalla distribuzione Debian (credo ci si
> riferisse a questo
> http://www.debian.org/News/2006/20060713) asserendo da
> questo una maggiore sicurezza dell'installazione dei
> programmi ricompilati da sorgente rispetto quelli
> precompilati scaricati dai repository delle
> distribuzioni. Questa volta l'obiezione è arrivata da
> più parti e l'affermazione é stata più o meno
> rettificata e, visto che non era un dibattito, è
> finita li'.

Non ricordo di aver rettificato nulla.
Un precompilato, in quando tale, è CERTAMENTE meno sicuro di un sorgente.

[cut cut]
> - MD5 o altro checksum non garantisce che il pacchetto
> sia buono ma serve solo per verificare che il download
> sia avenuto correttamente. Per avere certezza
> dell'origine occorre la firma digitale e non so quanti
> sorgenti siano distribuiti con firma.

Affermazione inesatta.
Un buon sysadmin non prende l'md5 SOLO da un server, ma fa un controllo
incrociato con altri mirror.
La firma digitale è ottima cosa, ma non tutti la usano.

> Ho apprezzato molto le critiche sulla pericolosità
> potenziale dei kernel modulari, rimane il fatto che in
> caso di compromissione l'intruso potrebbe anche
> sostituire direttamente il kernel (certo, occorrerebbe
> un vistoso riavvio ma, se il server non è così
> critico, potrebbe anche passare inosservato).

Mi ricordo (a meno che non sia stato steso dalla birra a pranzo, ma era solo
una Beck's) di NON aver detto che il kernel modulare è pericoloso.
Bensì ho detto che il rootkit/backdoor + pericoloso è di tipo LKM (Loadable
Kernel Module).
E di aver aggiunto che un server (verosimilmente) è una macchina che non
cambierà mai (un cambio di hd o un'aggiunta di memoria non implica una
ricompilazione del kernel).
Quindi, correre un rischio per una cosa che di fatto non mi serve..è
inutile.
Se il messaggio arrivato è stato diverso, me ne scuso e cercherò di essere +
chiaro la prossima volta.

> Parlando di sicurezza in rete mi aspettavo che si
> parlasse di IDS (argomento che ignoro quasi
> completamente).

Lo avrei fatto + che volentieri, ma la mezz'ora a disposizione è davvero
"tiranna".

> sono state fatte su un PC con Windows XP (oppure un
> clone veramente ben fatto :-).

La mia (nel pomeriggio) era sul pc di sc...che se tanto mi dà tanto... è
debian o al max ubuntu :-)
La sola cosa da ricordare (per noi organizzatori) è magari l'evitare di
attaccare pc con schermo 16:9 al proiettore...ovviamente viene tutto
tagliato :-)
Saluti e benvenuto tra noi
Fabio