4.5. Servizi di rete disponibili

Mentre l'accesso dell'utente ai controlli amministrativi, è una questione importante per gli amministratori del sistema all'interno di una organizzazione, mantenere le tabelle sulle quali i servizi di rete sono attivi, è di fondamentale importanza per qualsiasi utente che installa e opera un sistema Linux.

Molti servizi, sotto Red Hat Enterprise Linux, si comportano come server di rete. Se un servizio di rete è in esecuzione su di una macchina, un'applicazione del server chiamata daemon è in ascolto per dei collegamenti, su una o più porte. In questo caso,o gni server dovrebbe essere trattato come un probabile mezzo tramite il quale si effettua un attacco.

4.5.1. I rischi dei servizi

I servizi del sistema, possono rappresentare molti rischi per i sistemi Linux. Di seguito viene riportata una lista di alcune problematiche:

Per limitare l'esposizione agli attacchi attraverso la rete, tutti i servizi che non vengono usati, devono essere inattivi (turned off).

4.5.2. Identificazione e configurazione dei servizi

Per aumentare la sicurezza, molti servizi di rete installati con Red Hat Enterprise Linux sono, per default, selezionati su off. Tuttavia ci sono comunque delle eccezioni:

Quando decidete se lasciare o meno questi servizi in esecuzione, è consigliabile usare un pò di buon senso e seguire una implementazione sicura. Per esempio, se non è disponibile una stampante, non lasciate in esecuzione cupsd. La stessa cosa vale per portmap. Se non montate i volumi NFS o usate NIS (il servizio ypbind), allora disabilitate portmap.

Red Hat Enterprise Linux presenta tre programmi usati per selezionare o deselezionare (on-off) i servizi. Essi sono Strumento di configurazione dei servizi (redhat-config-services), ntsysv, e chkconfig. Per informazioni sull'uso di questi strumenti, controllare il capitolo Controllo dell'accesso al servizio in Red Hat Enterprise Linux System Administration Guide.

Figura 4-3. Strumento di configurazione dei servizi

Se non siete sicuri a quale scopo potete usare un servizio, Strumento di configurazione dei servizi possiede un campo di descrizione illustrato in Figura 4-3, il quale potrebbe aiutarvi.

Non è sufficiente controllare quali sono i servizi di rete disponibili ad iniziare al momento dell'avvio. I buoni amministratori di sistema dovrebbero controllare quali sono le porte aperte e in ascolto. Controllare la Sezione 5.8 per maggiori informazioni.

4.5.3. Servizi non sicuri

Potenzialmente, ogni servizio di rete non è sicuro. Ecco perchè è sempre una buona regolaposizionare i servizi che non vengono usati su off. Ogni giorno vengono rilevati gli exploit dei servizi, causandone così una emissione di patch. È importante quindi, mantenere aggiornati i pacchetti associati con qualsiasi servizio della rete. Controllare Capitolo 3 per maggiori informazioni.

Alcuni protocolli della rete sono meno sicuri di altri. Questo include tutti i servizi che effettuano quanto segue:

I seguenti esempi, includono servizi non sicuri:

Tutti i programmi della shell ed i log in remoti (rlogin, rsh, e telnet) dovrebbero essere evitati in favore di SSH. (Consultare la Sezione 4.7 per maggiori informazioni su sshd).

Per la sicurezza del sistema, FTP non è così pericoloso come le shell remote, ma i server FTP devono essere configuratI con attenzione e controllati, in modo da evitare problemi. Consultare la Sezione 5.6 per maggiori informazioni su come rendere sicuri i server FTP.

I servizi che devono essere implementati con particolare attenzione e con l'uso di firewall sono:

Maggiori informazioni su come rendere sicuri i servizi di rete, sono disponibili su Capitolo 5.

La sezione successiva indica gli strumenti disponibili per impostare un firewall semplice.