Una volta installata la macchina base passiamo a fare un minimo di hardening del sistema a livello di kernel e di applicativi che ci possono essere d’aiuto.
\nPer prima cosa rimuoviamo i pacchetti non necessari, tipicamente tutti i -dev possibili anche se ad onor del vero ubuntu-server non installa molta roba inutile, giusto il necessario per girare l’installazione base e’ davvero base, una volta individuati e rimossi\u00a0 i pacchetti inutili conviene secondo me installare quei tools utili anche se non indispensabili per facilitarci la vita nell’amministrazione della macchina un esempio per tutti logchek e relative dipendenze.
\nRiconfiguriamo la shared memory, Per impostazione predefinita, \/dev\/shm \u00e8 montato in lettura \/ scrittura, con il permesso di eseguire programmi, negli ultimi anni, molte mailing list di sicurezza hanno notato molti exploit in cui si usa \/dev\/shm in un attacco contro un servizio in esecuzione, ad esempio httpd.
\nLa maggior parte di questi attacchi tuttavia si basano su applicazioni insicure piuttosto che una vulnerabilit\u00e0 di Apache o Ubuntu, in linea di massima salvo applicazioni particolari ad esempio un touchpad synaptics\u00a0 non serve montare \/dev\/shm su un server per\u00f2 giusto perch\u00e8 non ho idea precisa di come funzioni tutto il sistema riduco i permessi su \/dev\/shm aggiungendo a \/etc\/fstab la riga:<\/p>\n
tmpfs \/dev\/shm tmpfs defaults,noexec,nosuid 0 0\r\ne rendo operativo il cambiamento con un mount\u00a0-o\u00a0remount\u00a0\/dev\/shm<\/tt>\r\nSuccessivamente\u00a0 andiamo a modificare il file \/etc\/ssh\/sshd_config\r\n[orig]#Port 22\r\n[mod] Port 30922\r\n[orig] LoginGraceTime 120\r\n[mod]LoginGraceTime 20\r\n[orig] PermitRootLogin yes\r\n[mod] PermitRootLogin no\r\n[orig] #X11Forwarding yes\r\n[mod] X11Forwarding no\r\n[orig] Subsystem sftp \/usr\/lib\/openssh\/sftp-server\r\n[mod] #Subsystem sftp \/usr\/lib\/openssh\/sftp-server<\/pre>\nIn altre parole spostiamo la porta su cui il demone ascolta molto in alto per evitare che gli scan facciano infinite query, riduciamo il tempo in cui un utente pu\u00f2 autenticarsi riducendo cos\u00ec la possibilit\u00e0 di DoS,\u00a0 impediamo la login come root,disabilitiamo la possibilit\u00e0 di forwardare X via ssh (non \u00e8 installato ma va bene inibirlo lo stesso) e disabilitiamo sftp che almeno adesso come adesso non ci serve.<\/p>\n
Finita la modifica al demone di ssh passiamo a istruire il kernel tramite \/etc\/sysctl.conf poich\u00e9 le modifiche a questo file sono molte e importanti riporto interamente il file<\/p>\n
#
\n# \/etc\/sysctl.conf – Configuration file for setting system variables
\n# See \/etc\/sysctl.d\/ for additional system variables
\n# See sysctl.conf (5) for information.
\n#<\/p>\n#kernel.domainname = example.com<\/p>\n
# Uncomment the following to stop low-level messages on console
\nkernel.printk = 3 4 1 3
\n### attivato il 15\/10\/2012
\n##############################################################3
\n# Functions previously found in netbase
\n##disable ipv6
\nnet.ipv6.conf.all.disable_ipv6 = 1
\nnet.ipv6.conf.default.disable_ipv6 = 1
\nnet.ipv6.conf.lo.disable_ipv6 = 1<\/p>\n# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
\n# Turn on Source Address Verification in all interfaces to
\n# prevent some spoofing attacks
\n#net.ipv4.conf.default.rp_filter=1
\nnet.ipv4.conf.all.rp_filter=1
\n### abilitato in data 15\/10\/2012
\n# Uncomment the next line to enable TCP\/IP SYN cookies
\n# See http:\/\/lwn.net\/Articles\/277146\/
\n# Note: This may impact IPv6 TCP sessions too
\nnet.ipv4.tcp_syncookies=1
\nnet.ipv4.tcp_max_syn_backlog = 2048
\nnet.ipv4.tcp_synack_retries = 2
\n### attivato il 15\/10\/2012
\n# Uncomment the next line to enable packet forwarding for IPv4
\n#net.ipv4.ip_forward=1<\/p>\n# Uncomment the next line to enable packet forwarding for IPv6
\n#\u00a0 Enabling this option disables Stateless Address Autoconfiguration
\n#\u00a0 based on Router Advertisements for this host
\n#net.ipv6.conf.all.forwarding=1<\/p>\n###################################################################
\n# Additional settings – these settings can improve the network
\n# security of the host and prevent against some network attacks
\n# including spoofing attacks and man in the middle attacks through
\n# redirection. Some network environments, however, require that these
\n# settings are disabled so review and enable them as needed.
\n#
\n# Do not accept ICMP redirects (prevent MITM attacks)
\nnet.ipv4.conf.all.accept_redirects = 0
\nnet.ipv6.conf.all.accept_redirects = 0
\n### abilitati in data 15\/10\/2012
\n# _or_
\n# Accept ICMP redirects only for gateways listed in our default
\n# gateway list (enabled by default)
\n# net.ipv4.conf.all.secure_redirects = 1
\n#
\n# Do not send ICMP redirects (we are not a router)
\n#net.ipv4.conf.all.send_redirects = 0
\n#
\n# Do not accept IP source route packets (we are not a router)
\nnet.ipv4.conf.all.accept_source_route = 0
\nnet.ipv6.conf.all.accept_source_route = 0
\n# Log Martian Packets
\nnet.ipv4.conf.all.log_martians = 1
\n### attivato in data 15\/10\/2012
\n#
\n### aggiunti in data 15\/10\/2012
\nnet.ipv4.icmp_echo_ignore_broadcasts = 1
\nnet.ipv4.icmp_ignore_bogus_error_responses = 1
\n### aggiunti in data 17\/10\/2012
\n# Controls the System Request debugging functionality of the kernel
\nkernel.sysrq = 0
\n# Controls whether core dumps will append the PID to the core filename.
\n# Useful for debugging multi-threaded applications.
\nkernel.core_uses_pid = 1<\/p>\n# Modify system limits for Ensim WEBppliance
\nfs.file-max = 65000<\/p>\n# Decrease the time default value for tcp_fin_timeout connection
\nnet.ipv4.tcp_fin_timeout = 15<\/p>\n# Decrease the time default value for tcp_keepalive_time connection
\nnet.ipv4.tcp_keepalive_time = 1800<\/p>\n# Turn off the tcp_window_scaling
\nnet.ipv4.tcp_window_scaling = 0<\/p>\n# Turn off the tcp_sack ( Need to turn on for traffic to internet)
\n#net.ipv4.tcp_sack = 0<\/p>\n# Turn off the tcp_timestamps
\nnet.ipv4.tcp_timestamps = 0<\/p>\n# Set maximum amount of memory allocated to shm to 256MB
\nkernel.shmmax = 268435456<\/p>\n# Increase the maximum total TCP buffer-space allocatable
\nnet.ipv4.tcp_mem = 57344 57344 65536<\/p>\n# Increase the maximum TCP write-buffer-space allocatable
\nnet.ipv4.tcp_wmem = 32768 65536 524288<\/p>\n# Increase the maximum TCP read-buffer space allocatable
\nnet.ipv4.tcp_rmem = 98304 196608 1572864<\/p>\n# Increase the maximum and default receive socket buffer size
\nnet.core.rmem_max = 524280
\nnet.core.rmem_default = 524280<\/p>\n# Increase the maximum and default send socket buffer size
\nnet.core.wmem_max = 524280
\nnet.core.wmem_default = 524280<\/p>\n# Increase the tcp-time-wait buckets pool size
\nnet.ipv4.tcp_max_tw_buckets = 1440000<\/p>\n# Allowed local port range
\nnet.ipv4.ip_local_port_range = 16384 65536<\/p>\n# Increase the maximum memory used to reassemble IP fragments<\/p>\n
net.ipv4.ipfrag_high_thresh = 512000
\nnet.ipv4.ipfrag_low_thresh = 446464<\/p>\n# Increase the maximum amount of option memory buffers
\nnet.core.optmem_max = 57344<\/p>\n