28
contributi
Nessun oggetto della modifica |
Nessun oggetto della modifica |
||
Riga 10: | Riga 10: | ||
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"> | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"> | ||
aptitude install htop iotop jnettop git p7zip lynis colordiff tmux wipe netcat-openbsd tcpdump iperf w3m pv nmap zerofree iputils-tracepath parted mosh rsync mtr-tiny curl command-not-found checksecurity debsums rkhunter clamav build-essential checkinstall cmake dpkg-dev diffutils monkeysphere iptables-persistent vim fdupes ssmtp console-data debian-goodies ntp | |||
</pre> | </pre> | ||
==software per log e sicurezza== | ==software per log e sicurezza== | ||
Possono essere configurati per mandare mail, per ora scrivono in /var/log/ e in /var/mail/eigen | Possono essere configurati per mandare mail, per ora scrivono in /var/log/ e in /var/mail/eigen | ||
* checksecurity: fa una serie di controlli su problemi di sicurezza comuni | * checksecurity: fa una serie di controlli su problemi di sicurezza comuni | ||
* tiger: controlla la configurazione del sistema alla ricerca di problemi | * tiger: controlla la configurazione del sistema alla ricerca di problemi | ||
Riga 22: | Riga 21: | ||
* debsums: controlla gli hash di tutti i pacchetti installati (binari e file di configurazione) | * debsums: controlla gli hash di tutti i pacchetti installati (binari e file di configurazione) | ||
* clamav: antivirus | * clamav: antivirus | ||
Alcuni sono pesanti ed è inutile farli girare sempre<br /> | Alcuni sono pesanti ed è inutile farli girare sempre<br /> | ||
Riga 28: | Riga 26: | ||
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"> | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"> | ||
chmod -x /etc/cron.daily/tripwire | chmod -x /etc/cron.daily/tripwire | ||
</pre> | </pre> | ||
Riga 42: | Riga 39: | ||
</pre> | </pre> | ||
= Dopo aver clonato = | |||
'''bisogna modificare questi file''' | |||
* /etc/network/interfaces ''(cambiare ip)'' | |||
* /etc/hostname ''(aggiornare hostname)'' | |||
* /etc/hosts | |||
e per evitare che tutte le chiavi del server ssh siano uguali | |||
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"> | |||
rm /etc/ssh/ssh_host_* && dpkg-reconfigure openssh-server | |||
</pre> | |||
==installare monkeysphere== | |||
Inserire, uno per riga, gli id delle chiavi [[PGP]] da autorizzare (es. ''Tizio <tizio@eigenlab.org>''). | |||
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"> | |||
mkdir .monkeysphere | |||
nano .monkeysphere/authorized_user_ids | |||
</pre> | |||
Impostare il certificatore, ovvero la chiave che deve firmare tutte le chiavi in ''authorized_user_ids'' affinchè queste possano accedere. È necessario inserire la fingerprint completa (senza spazi) e non l'ID composto da 8 cifre. | |||
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"> | |||
monkeysphere-authentication c+ chiave | |||
</pre> | |||
Aggiornare la lista delle chiavi autorizzate in modo che gli utenti inseriti possano accedere al server | |||
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"> | |||
monkeysphere-authentication update-users | |||
</pre> | |||
= Modifiche ai file di configurazione | = Modifiche ai file di configurazione nelle VM = | ||
====/etc/rkhunter.conf==== | ====/etc/rkhunter.conf==== | ||
Riga 106: | Riga 127: | ||
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"> | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"> | ||
0 * * * * root /usr/sbin/monkeysphere-authentication update-users &> /dev/null | 0 * * * * root /usr/sbin/monkeysphere-authentication update-users &> /dev/null | ||
</pre> | </pre> | ||
====/etc/iptables/rules.v4==== | ====/etc/iptables/rules.v4==== | ||
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"> | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"> | ||
*filter | *filter | ||
:INPUT DROP [0:0] | :INPUT DROP [0:0] | ||
:FORWARD DROP [0:0] | :FORWARD DROP [0:0] | ||
:OUTPUT ACCEPT [ | :OUTPUT ACCEPT [1:176] | ||
-A INPUT -i lo -j ACCEPT | -A INPUT -i lo -j ACCEPT | ||
-A INPUT - | |||
-A INPUT - | -A INPUT -m conntrack --ctstate INVALID -j DROP | ||
-A INPUT -p icmp -j ACCEPT | -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT | ||
-A INPUT -j | |||
-A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT | |||
-A INPUT -p icmp --icmp-type source-quench -j ACCEPT | |||
-A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT | |||
-A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT | |||
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT | |||
-A INPUT -p tcp --dport 22 -j ACCEPT | |||
COMMIT | COMMIT | ||
</pre> | </pre> | ||
====/etc/iptables/rules.v6==== | ====/etc/iptables/rules.v6==== | ||
*filter | *filter | ||
:INPUT DROP [ | :INPUT DROP [0:0] | ||
:FORWARD DROP [0:0] | :FORWARD DROP [0:0] | ||
:OUTPUT ACCEPT [ | :OUTPUT ACCEPT [0:0] | ||
-A INPUT -i lo -j ACCEPT | -A INPUT -i lo -j ACCEPT | ||
-A INPUT -p | |||
-A INPUT -m | -A INPUT -m rt --rt-type 0 -j DROP | ||
-A INPUT -p | |||
-A INPUT -j | -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT | ||
-A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT | |||
-A INPUT -s fe80::/10 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT | |||
-A INPUT -m conntrack --ctstate INVALID -j DROP | |||
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT | |||
-A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT | |||
-A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT | |||
-A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT | |||
-A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT | |||
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT | |||
-A INPUT -p tcp --dport 22 -j ACCEPT | |||
COMMIT | COMMIT | ||
</pre> | </pre> | ||
Riga 168: | Riga 201: | ||
address 10.175.1.33 | address 10.175.1.33 | ||
netmask 255.254.0.0 | netmask 255.254.0.0 | ||
gateway 10.175. | gateway 10.175.0.1 | ||
iface eth0 inet6 static | iface eth0 inet6 static | ||
address 2a00:1508:1:f010::1:33 | address 2a00:1508:1:f010::1:33 | ||
netmask 64 | netmask 64 | ||
gateway 2a00:1508:1:f010:: | gateway 2a00:1508:1:f010::1 | ||
</pre> | </pre> | ||
Riga 213: | Riga 246: | ||
</pre> | </pre> | ||
<br /> | <br /> | ||
contributi