[FoLUG] Sicurezza di un sistema (era: Instabilita' di Linux)

[Cristian Versari]

Flavio ha scritto:
> da quello che dici sembra che tu abbia controllato l'md5 dell'intero 
> sistema, è una cosa fattibile?
> mi dai qualche dritta o link per capire i passi per preparare un sistema 
> al "controllo totale"?

A dire il vero affrontare questo problema non e' subito semplice.
Innanzitutto si', controllare l'md5 di tutti i file e' facile:
una volta che hai a disposizione il programma che ti genera e
controlla gli hash (md5 o quel che vuoi) di un file, si puo' fare uno 
script che fa quella operazione ricorsivamente per tutti i file
che ti interessano, magari utilizzando il comando find.
Se sei pigro (come me) ci sono pacchetti come cfv
che compiono tutte queste operazioni automaticamente.
Se usi debian, anche debsums e' utile in questo senso.
Ma comunque procedi, ci sono considerazioni da fare:
- ogni volta che fai l'aggiornamento del sistema,
   devi fare anche l'aggiornamento degli hash;
- fare il check degli hash direttamente non ti
   assicura la "bonta'" dei file: in altre parole
   un rootkit ben costruito e' difficile da scovare
   a "caldo".
Per ovviare al primo inconveniente si puo' giocare di script;
per ovviare al secondo si puo' procedere in diversi modi,
nessuno "comodo": vale il principio che maggiore
sicurezza equivale a minore flessibilita'.
Ad esempio si puo' fare un check automatico dei file al
reboot della macchina, ma se vuoi fare questo check in un
ambiente "pulito" non puoi certo farlo utilizzando
kernel e binari del sistema che vuoi controllare, quindi
devi appoggiarti a un supporto esterno... Oppure
puoi usare programmi come bootcd per esser sicuro che
i tuoi file non siano corruttibili, ecc ecc...

Sarebbe interessante una discussione del genere
in una delle serate a tema che si stanno organizzando.
Che ne dite?


Cristian