[Folug]kernel

Davide Giunchi gdavide@mclink.it
Sat, 27 Jan 2001 18:45:19 +0100 

Yelo3 wrote:
> 
> quindi mi consigli di fare un modularizzato............ ma mi pare di aver
> sentito dire che è più rischioso per la sicurezza, ma magari sbaglio.

direi di no, perche' tanto anche se disabiliti l'uso dei moduli c'e' sempre
il modo (essendo root) di caricare codice nel kernel.
Se proprio vuoi fare in modo che il kernel una volta caricato non si possa
modificare allora devi fare il kernel monolitico, disabilitare l'uso dei
moduli e "bloccare" il kernel con le lids (probabilmente si puo' usare qualcos'altro
al posto del lids) ma per adesso te lo sconsiglio, anche perche' e' una cosa
un po' paranoica e per adesso che sei all'inizio non te lo consiglio.

> comunque ti chiedo anche se è rischioso installare l'x perchè nella guida
> che mi hai passato c'è scritto che vanno installati solo pochissimi
> conponenti tra cui non c'è l'x (dice security problems)
> quello che c'è scritto nella guida lo devo prendere per verità
> assoluta?????? o ci sono alcune eccezioni???????
> 

sicuramente la regola generale e' che meno programmi installi minore e' la
possibilita' che un attakker sfrutti bug/exploit su questi.
Il server X in particolare *potrebbe* essere insicuro:
1) lascia la porta 6000 aperta per eventuali esportazioni dell'X, se non ne
hai bisogno e' solo una porta in + che puo' essere sfruttata (ho visto dei dos
che la sfruttano)
2) spesso assieme all'X viene installata un sacco di roba che non serve e che usa
il bit di SETUID, molti giochi per funzionare lo usano

Io X nei server non l'installo mai perche' 1) non mi serve 2) sono distante
dal server e non voglio andare nella console.
Cio' non toglie che, per le prime installazioni, X possa avere molti programmi
grafici che ti aiutano nella configurazione di alcuni programmi, quindi se vuoi
usarlo abbi cura di 
1) installare solo il necessario ed evita giochini&c
2) fare un "xhost -" negando a tutti, tranne che alla console, l'accesso in X
3) firewalla la porta 6000.

Ciao
-- 
(o_  Davide Giunchi.
//\  Membro del FoLUG (Forlí Linux User Group) - http://folug.cjb.net
V_/_ GPG Key available on http://www.keyserver.net