<appendix id="harden-step"><heading>Il processo di blindatura passo-passo


<!--
# I took the liberty to change this from "checklist" to
# "process step by step" because this doesn't really have the
# form of a checklist, and I had added a different sort of
# checklist. The renaming is more to avoid confusion than
# anything else. // era
--></heading>

<p>
Di seguito  riportata una procedure passo-passo, post-installazione,
per blindare un sistema Debian GNU/linux 2.2. Questo  un possibile
approccio a tale procedura ed  orientato a blindare i servizi di rete.
&Egrave; incluso al fine di mostrare l'intero processo che potrebbe essere
usato durante la configurazione. Vedete in <ref id="checklist">.

<list>

<item>
<p>Installate il sistema, tenendo in considerazione le informazioni
che riguardano il partizionamento incluse precedentemente in questo
documento. Dopo l'installazione di base, andate alla configurazione
personalizzata. Non selezionate i pacchetti dei servizi.
Selezionate le password shadow.</p></item>
<item>
<p>Utilizzando <prgn>dselect</prgn>, rimuovete tutti i pacchetti selezionati
ma non necessari prima di effettuare l'installazione con il comando
[I]nstall. Mantenete il minimo numero di pacchetti per il sistema.</p></item>
<item>
<p>Aggiornate tutti i programmi dal pi recente pacchetto disponibile
da security.debian.org come spiegato precedentemente in
<ref id="security-update">.</p></item>
<item>
<p>Applicate i suggerimenti presentati in questo manuale al riguardo
delle quote utente, definizioni di login e <prgn>lilo</prgn>.</p></item>
<item><p>Compilate una lista di servizi attivi al momento sul sistema.
Eseguite:

<example>
  $ ps -aux
  $ netstat -pn -l -A inet 
  # /usr/sbin/lsof -i | grep LISTEN
</example></p>

<p>
In questo caso  necessario installare <package>lsof-2.2</package> 
per avere a disposizione il comando (che lavorer da root).
Dovreste fare attenzione che <prgn>lsof</prgn> potrebbe tradurre
il termine LISTEN secondo le vostre impostazioni locali.</p></item>

<item>
<p>Per rimuovere i servizi non necessari, determinate inizialmente
quale pacchetto fornisca il servizio e come si avvii. Questo pu
essere ottenuto controllando quali programmi ascoltano
su di un socket. Il seguente script di shell, che utilizza i 
programmi <prgn>lsof</prgn> e <prgn>dpkg</prgn>, fa proprio questo:

<example>
  #!/bin/sh
  # FIXME: this is quick and dirty; replace with a more robust script snippet
  for i in `sudo lsof -i | grep LISTEN | cut -d " " -f 1 |sort -u` ; do
	  pack=`dpkg -S $i |grep bin |cut -f 1 -d : | uniq`
	  echo "Service $i is installed by $pack";
	  init=`dpkg -L $pack |grep init.d/ `
	  if [ ! -z "$init" ]; then
		   echo "and is run by $init"
	  fi
  done
</example></p></item>

<item>
<p>Una volta avete individuato un qualsiasi servizio che non volete fornire,
rimuovete il pacchetto che lo genera (con <prgn>dpkg --purge</prgn>), o 
disabilitate la partenza automatica del servizio all'avvio del
sistema utilizzando <prgn>update-rc.d</prgn> 
(vedete in <ref id="disableserv">).</p></item>
<item>
<p>Per i servizi avviati da inetd (lanciati tramite il superdemone), 
verificate che i servizi siano abilitati in 
<file>/etc/inetd.conf</file>, utilizzando:

<example>
  $ grep -v "^#" /etc/inetd.conf | sort -u
</example>

Per disabilitare quei servizi che non desiderate,  necessario
commentare le linee che li avviano in <file>/etc/inetd.conf</file>, 
altrimenti, rimuovere il pacchetto che fornisce il servizio, o 
utilizzare <prgn>update-inetd</prgn>.</p></item>

<item>
<p>Se avete servizi wrapped (quelli che usano
<prgn>/usr/sbin/tcpd</prgn>), verificate che i file 
<file>/etc/hosts.allow</file> e <file>/etc/hosts.deny</file> siano 
configurati in accordo con la vostra politica di sicurezza.</p></item>
<item>
<p>Se il server usa pi di una interfaccia con l'esterno, in funzione
del servizio, potreste voler limitare il servizio all'ascolto su
una specifica interfaccia. Per esempio, se si volesse un accesso FTP
esclusivamente dall'interno, fate in modo che il demone FTP
sia in ascolto solo sull'interfaccia di gestione e non su tutte le
interfacce (p.e. 0.0.0.0:21).</p></item>
<item>
<p>Riavviate la macchina, o commutate sulla modalit monoutente e
quindi tornate a quella multiutente, utilizzando i comandi:

<example>
  $ init 1
  (....)
  $ init 2
</example></p></item>

<item>
<p>Controllate i servizi adesso disponibili e se necessario, ripetete
i passi appena esposti.</p></item>
<item>
<p>Ora installate i servizi che ritenete necessari, se non avete gi 
agito cos e configurateli appropriatamente.</p></item>
<item>
<p>Usate il seguente comando da shell, per determinare con quale 
identit ogni servizio disponibile sta girando:

<example>
  $ for i in `/usr/sbin/lsof -i |grep LISTEN |cut -d " " -f 1 |sort -u`; \
  > do user=`ps -ef |grep $i |grep -v grep |cut -f 1 -d " "` ; \
  > echo "Service $i is running as user $user"; done
</example></p>

<p>
Valutate l'opportunit di modificare questi servizi associandoli a specifici
utenti/gruppi mediante gabbie <prgn>chroot</prgn> per avere maggior sicurezza.
Potete farlo modificando lo script <file>/etc/init.d</file> che avvia il 
servizio. La maggior parte dei servizi in Debian usano 
<prgn>start-stop-daemon</prgn> che ha l'opzione 
(<tt>--change-uid</tt> e <tt>--chroot</tt>) per apportare le modifiche 
di cui sopra. Alcuni avvertimenti al riguardo dei servizi in 
<prgn>chroot</prgn>: potrebbe essere necessario mettere tutti i file
installati dal pacchetto (usando dpkg -L) che fornisce il servizio, cos come
tutti i pacchetti da cui esso dipende, in un ambiente di tipo 
<prgn>chroot</prgn>.
Le informazioni per configurare un ambiente <prgn>chroot</prgn> per 
il programma <prgn>ssh</prgn> possono essere trovate in 
<ref id="chroot-ssh-env">.</p></item>
<item>
<p>Ripetete i passi summenzionati al fine di verificare che girino
i soli servizi desiderati e che essi stiano girando con la desiderata
combinazione utente/gruppo.</p></item>
<item>
<p>Verificate i servizi installati per controllare che funzionino come 
avete previsto.</p></item>
<item>
<p>Controllate il sistema con un rilevatore di vulnerabilit
(come <package>nessus</package>), al fine di determinare le 
vulnerabilit nel sistema (p.e. errate configurazioni, servizi
vecchi o non necessari).</p></item>
<item>
<p>Installate rilevatori di intrusioni su macchine e su reti come
<package>snort</package> e <package>logsentry</package>.</p></item>
<item>
<p>Ripetete la sequenza dell'esame della rete e verificate che i
sistemi di rilevamento delle intrusioni stiano funzionando
correttamente.</p></item>

</list></p>

<p>Le persone realmente paranoiche dovrebbero valutare anche quanto segue:

<list>

<item>
<p>Aggiungete funzionalit di "firewall" al sistema, accettando connessioni
in ingresso solo per servizi offerti e limitando le connessioni uscenti
alle sole autorizzate.</p></item>
<item>
<p>Ricontrollare l'installazione con una nuova verifica di vulnerabilit
usando uno "scanner" di rete.</p></item>
<item>
<p>Usando un rilevatore di rete, controllate le connessioni uscenti
dal sistema verso una macchina esterna e verificate che nessuna
connessione trovi il modo di uscire.</p></item>

</list></p>

<p>
FIXME: questa procedura si occupa della blindatura dei servizi, non
della blindatura di sistemi a livello utente, includendo le informazioni
per controllare i permessi utente, i file SETUID e il congelamento dei
cambiamenti del sistema utilizzando il filesystem ext2.</p></appendix>


<appendix id="checklist"><heading>Verifica della configurazione</heading>

<p>
Quest'appendice riporta brevemente estratti dalle altre sezioni
di questo manuale, condensati in un elenco (in seguito "checklist" N.d.T. ). 
La funzione di questa  checklist  di fornire un rapido sommario per 
chi ha gi letto il manuale. Ci sono altre buone checklist 
disponibili, incluso il Kurt Seifried's <url id="http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.html" name="Securing Linux Step by Step"> e il
<url id="http://www.cert.org/tech_tips/usc20_full.html" name="CERT's Unix Security Checklist">.

<!-- Order is slightly different from body text. Consider changing text? -->
<!-- (FIXME) --></p>


<p>FIXME: Questa checklist  basata sulla versione 1.4 del manuale e 
potrebbe aver bisogno di essere aggiornata.

<list>
	  <item><p>Limitate le capacit di avvio e di accesso fisico


	      <list>
		<item><p>Abilitate la password del BIOS</p></item>
		<item><p>Disabilitate l'avvio da floppy/cdrom/ ...</p></item>
		<item>
		<p>Impostate una password per GRUB o LILO 
		(<file>/etc/lilo.conf</file> o 
		<file>/boot/grub/menu.lst</file>, rispettivamente); 
		verificate che i file di configurazione di LILO o GRUB 
		siano protetti da scrittura.</p></item>
		<item>
		<p>Disabilitate l'avvio del MBR da floppy, sovrascrivendo 
		l'MBR. (o forse no?)</p></item>

	      </list></p></item>
	      
	  <item><p>Partizionamento


	      <list>
		
		<item>
		<p>Separate i dati scrivibili dagli utenti, i dati non di 
		sistema e i dati run-time che cambiano velocemente, in 
		partizioni distinte.</p></item>
		<item>
		<p>Impostate le opzioni di mount 
		<tt>nosuid,noexec,nodev</tt> in <file>/etc/fstab</file>
                per le partizioni ext2 come <file>/tmp</file>.</p></item>

	      </list></p></item>
	      
	  <item><p>Accuratezza delle password e sicurezza in login
	      
	      <list>

		<item><p>Impostate una buona password di root</p></item>
		<item><p>Abilitate il password shadowing e l'MD5</p></item>
		<item><p>Installate ed utilizzare PAM
		    
		    <list>
		      
		      <item>
		     <p>Aggiungete il supporto per MD5 a PAM e assicuratevi
                     che (in generale) le voci nel file 
		     <file>/etc/pam.d/</file>, che garantiscono 
		     l'accesso alla macchina, abbiano 
		     il secondo campo nel file pam.d impostato a
		     <tt>requisite</tt> or
                          <tt>required</tt>.
			  <!-- or is it third? (FIXME: check) --></p></item>
		      <item>
		      <p>Modificate <file>/etc/pam.d/login</file>
		      in modo che permetta solamente login root locali.</p></item>
		      <item>
		      <p>Inoltre segnate le tty:s autorizzate nel file
		      <file>/etc/security/access.conf</file> e 
		      configurate in modo generale il file affinch 
		      le login da root siano limitate il pi possibile.</p></item>
		      <item>
		      <p>Aggiungete pam_limits.so se volete impostare un 
		      limite per ciascun utente</p></item>
		      <item>
		      <p>Modificate <file>/etc/pam.d/passwd</file>: aumentate 
		      la lunghezza minima delle passwords (6 
		      caratteri probabilmente) e abilitate l'MD5</p></item>
		      <item>
		      <p>Aggiungete il gruppo wheel a <file>/etc/group</file>
		      se lo desiderate; aggiungete la voce pam_wheel.so
		      group=wheel in <file>/etc/pam.d/su</file></p></item>
		      <item>
		      <p>Per personalizzare i controlli relativi a ciascun utente,
		      usate un'apposita voce pam_listfile.so dove appropriato</p></item>
		      <item>
		      <p>Create un file <file>/etc/pam.d/other</file> e 
		      configuratelo con un'alta sicurezza 
		      (N.d.r. tight security)</p></item>

		    </list></p></item>
		    
		<item>
		<p>Impostate i limiti <file>/etc/security/limits.conf</file> 
		(notate che <file>/etc/limits</file> non viene utilizzato 
		se si usa PAM)</p></item>
		<item>
		<p>Limitate i permessi al file <file>/etc/login.defs</file>; 
		inoltre, se avete abilitato MD5 e/o PAM, assicuratevi di 
		fare i cambiamenti corrispondenti</p></item>
		<item>
		<p>Disabilitate l'accesso root via ftp in 
		<file>/etc/ftpusers</file></p></item>
		<item>
		<p>Disabilitate l'accesso root alla rete; usate
		<manref name="su" section="1"> oppure 
		<manref name="sudo" section="1">. Considerate 
		l'opportunit di installare <package>sudo</package></p></item>
		<item><p>Usate PAM per rendere pi sicuri gli accessi con login?</p></item>

	      </list></p></item>

	  <item><p>Altri suggerimenti sulla sicurezza locale

	      <list>
		<item>
		<p>Adattamenti del kernel (vedete in <ref id="kernel-conf">)</p></item>
		<item>
		<p>Patch per il kernel (vedete in <ref id="kernel-patches">)</p></item>
		<item>
		<p>Rendete pi restrittivi i permessi ai file di log
		(<file>/var/log/{last,fail}log</file>, i log di Apache)</p></item>
		<item>
		<p>Verificate che il controllo SETUID sia abilitato in 
		<file>/etc/checksecurity.conf</file></p></item>
		<item>
		<p>Considerate la possibilit di rendere alcuni file di log
		append-only e alcuni file di configurazione immutabili con
		il comando chattr (solo per il file system ext2)</p></item>
		<item>
		<p>Configurate il controllo sull'integrit dei file 
		(vedete in <ref id="check-integ">).
		Installate <package>debsums</package></p></item>
		<item>
		<p>Considerate la possibilit di sostituire locate con slocate</p></item>
		<item><p>Loggare tutto su una stampante locale?</p></item>
		<item>
		<p>Scrivere su un CD avviabile la propria configurazione 
		e fare il boot da CD?</p></item>
		<item><p>Disabilitare i moduli del kernel?</p></item>

	      </list></p></item>
	      
	  <item><p>Limitate l'accesso alla rete

	      <list>

		<item>
		<p>Installate e configurate <prgn>ssh</prgn> (si suggerisce 
		di impostare a No le voci PermitRootLogin e 
		PermitEmptyPasswords nel file 
		<file>/etc/ssh/sshd_config</file>; 
		notate anche gli altri suggerimenti nel testo)</p></item> 
		<item>
		<p>Considerate la possibilit di disabilitare o rimuovere
		<prgn>in.telnetd</prgn></p></item>
		<item>
		<p>In linea di massima, disabilitate i servizi inutili in
		<file>/etc/inetd.conf</file> usando 
		<prgn>update-inetd --disable</prgn> (oppure disabilitate 
		<prgn>inetd</prgn> completamente, o ancora usate un 
		sostituto come ad esempio <prgn>xinetd</prgn> o 
		<prgn>rlinetd</prgn>)</p></item>
		<item>
		<p>Disabilitate altri servizi di rete inutili; mail, ftp, DNS, 
		WWW ecc. non dovrebbero essere eseguiti  se non sono 
		necessari e peraltro, tenuti regolarmente sotto controllo</p></item>
		<item>
		<p>Per i servizi di cui avete bisogno, non vi limitate ad usare
		i programmi pi comuni ma cercatene versioni pi sicure
		contenute all'interno di Debian (o di altre fonti).
		Qualsiasi cosa finiate per eseguire, assicuratevi di
		capirne i rischi</p></item>
		<item>
		<p>Impostate gabbie <prgn>chroot</prgn> per utenti 
		e demoni esterni</p></item>
		<item>
		<p>Configurate firewall e tcpwrappers
		(per esempio <manref name="hosts_access" section="5">); 
		notate il trucco per <file>/etc/hosts.deny</file> nel testo</p></item>
		<item>
		<p>Se eseguite ftp, impostate il server ftpd per essere eseguito
		sempre in <prgn>chroot</prgn> alla home directory dell'utente</p></item>
		<item>
		<p>Se usate X, disabilitate l'autenticazione xhost ed usate
		<prgn>ssh</prgn> come sostituto; ancora meglio, disabilitate,
		se possibile, la possibilit di loggarsi in X da remoto
		(aggiungete -nolisten tcp alla riga di comando di X
		e disabilitate XDMPC nel file 
		<file>/etc/X11/xdm/xdm-config</file> impostando a 0 
		la requestPort)</p></item>
		<item><p>Disabilitate l'accesso dall'esterno alle stampanti</p></item>
		<item>
		<p>Effettuate il tunneling di qualsiasi sezione POP o IMAP
		attraverso SSL o <prgn>ssh</prgn>; installate stunnel 
		se volete fornire questo servizio agli utenti remoti 
		del servizio e-mail</p></item>
		<item>
		<p>Impostate un log host e configurate tutti gli altri 
		host a mandare i log a questo host 
		(<file>/etc/syslog.conf</file>)</p></item>
		<item>
		<p>Rendete sicuri BIND, Sendmail e altri demoni complessi
		(eseguiteli in una gabbia <prgn>chroot</prgn>;
		eseguiteli come pseudo-utente non-root)</p></item>
		<item><p>Installate snort o un simile strumento di logging</p></item>
		<item>
		<p>Se possibile, fate a meno di NIS ed RPC (disabilitate portmap)</p></item>
		    
	      </list></p></item>

	  <item><p>Documenti sulle politiche adottate

	      <list>
		
		    <item>
		    <p>Educate gli utenti a comprendere i perch ed i come delle
		    vostre politiche. Quando proibite qualcosa che 
		    regolarmente disponibile su altri sistemi, fornite
		    documentazione che spieghi come raggiungere i risultati
		    voluti utilizzando altri mezzi pi sicuri</p></item>
		<item>
		<p>Proibite l'uso di protocolli che usano password in chiaro
		(<prgn>telnet</prgn>, <prgn>rsh</prgn> e simili; ftp, imap, 
		http, ...)</p></item>
		<item><p>Proibite i programmi che usano SVGAlib</p></item>
		<item><p>Usate la gestione delle quote disco</p></item>

	      </list></p></item>
	      
	  <item><p>Tenetevi informati circa le notizie riguardanti la sicurezza

	      <list>
		
		<item><p>Iscrivetevi a mailing list di sicurezza</p></item>
		<item>
		<p>Configurate <package>apt</package> per gli aggiornamenti 
		di sicurezza; aggiungete al file 
		<file>/etc/apt/sources.list</file>
		una riga per http://security.debian.org/debian-security</p></item>
		<item>
		<p>Ricordatevi di eseguire periodicamente
		<prgn>apt-get update ; apt-get upgrade</prgn> (potreste 
		farlo eseguire a <prgn>cron</prgn>) come spiegato in
		<ref id="security-update"></p></item>

	      </list></p></item>

	</list></p></appendix>

<appendix id="snort-box"><heading>Configurazione ed installazione di un 
                         sistema autonomo IDS</heading>

<p>
Potete installare facilmente un sistema dedicato Debian come un
autonomo sistema di rilevazione di intrusione (IDS) usando 
il pacchetto <package>snort</package>.</p>

<p>I punti fondamentali:

<list>

<item><p>Installare un sistema di base Debian senza selezionare pacchetti
aggiuntivi.</p></item>
<item>
<p>Scaricare (con dpkg) ed installare manualmente i pacchetti necessari (vedete
l'elenco dei pacchetti installati sotto).</p></item>
<item>
<p>Scaricare ed installare ACID  (Analysis Console for Intrusion
Databases).</p></item>

</list></p>

<p>
ACID  attualmente pacchettizzato per Debian come 
<package>acidlab</package>. &Egrave; provvisto di un'interfaccia grafica 
WWW per l'output di snort. Anche questo pacchetto pu essere scaricato 
da <url id="http://www.cert.org/kb/acid/">, 
<url id="http://acidlab.sourceforge.net"> oppure
<url id="http://www.andrew.cmu.edu/~rdanyliw/snort/">.
Potete anche leggere lo  
<url id="http://www.tldp.org/HOWTO/Snort-Statistics-HOWTO/index.html" name="Snort Statistics HOWTO">.</p>

<p>
Questo sistema dovrebbe essere installato con almeno 
due interfacce di rete: un'interfaccia collegata alla LAN di
amministrazione (per l'accesso ai  risultati e per la
manutenzione del sistema) ed un'interfaccia senza indirizzo
IP fissata al segmento della rete che deve essere  analizzato.</p>

<p>
Il file standard di Debian <file>/etc/network/interfaces</file> ,
usato solitamente per configurare le schede di rete non pu 
essere usato, dato che i programmi <prgn>ifup</prgn> e 
<prgn>ifdown</prgn>  si aspettano un'indirizzo IP. Quindi si
deve usare <tt>ifconfig eth0 up</tt>.</p>

<p>
Oltre all'installazione di base, <package>acidlab</package> dipende,
tra gli altri, anche dai pacchetti <package>php4</package> e 
<package>apache</package>. Scaricate  i seguenti
pacchetti (Nota: le versioni potrebbero variare secondo quale
distribuzione  Debian state usando, questa lista  riferita alla
versione Debian <em>woody</em> del settembre 2001):



<example>
ACID-0.9.5b9.tar.gz
adduser_3.39_all.deb
apache-common_1.3.20-1_i386.deb
apache_1.3.20-1_i386.deb
debconf_0.9.77_all.deb
dialog_0.9a-20010527-1_i386.deb
fileutils_4.1-2_i386.deb
klogd_1.4.1-2_i386.deb
libbz2-1.0_1.0.1-10_i386.deb
libc6_2.2.3-6_i386.deb
libdb2_2.7.7-8_i386.deb
libdbd-mysql-perl_1.2216-2_i386.deb
libdbi-perl_1.18-1_i386.deb
libexpat1_1.95.1-5_i386.deb
libgdbmg1_1.7.3-27_i386.deb
libmm11_1.1.3-4_i386.deb
libmysqlclient10_3.23.39-3_i386.deb
libncurses5_5.2.20010318-2_i386.deb
libpcap0_0.6.2-1_i386.deb
libpcre3_3.4-1_i386.deb
libreadline4_4.2-3_i386.deb 
libstdc++2.10-glibc2.2_2.95.4-0.010703_i386.deb
logrotate_3.5.4-2_i386.deb
mime-support_3.11-1_all.deb
mysql-client_3.23.39-3_i386.deb
mysql-common_3.23.39-3.1_all.deb
mysql-server_3.23.39-3_i386.deb
perl-base_5.6.1-5_i386.deb
perl-modules_5.6.1-5_all.deb
perl_5.6.1-5_i386.deb
php4-mysql_4.0.6-4_i386.deb
php4_4.0.6-1_i386.deb
php4_4.0.6-4_i386.deb
snort_1.7-9_i386.deb
sysklogd_1.4.1-2_i386.deb
zlib1g_1.1.3-15_i386.deb
</example></p>

<p>Pacchetti installati (dpkg -l):

<example>
ii  adduser        3.39
ii  ae             962-26
ii  apache         1.3.20-1
ii  apache-common  1.3.20-1
ii  apt            0.3.19
ii  base-config    0.33.2
ii  base-files     2.2.0
ii  base-passwd    3.1.10
ii  bash           2.03-6
ii  bsdutils       2.10f-5.1
ii  console-data   1999.08.29-11.
ii  console-tools  0.2.3-10.3
ii  console-tools- 0.2.3-10.3
ii  cron           3.0pl1-57.2
ii  debconf        0.9.77
ii  debianutils    1.13.3
ii  dialog         0.9a-20010527-
ii  diff           2.7-21
ii  dpkg           1.6.15
ii  e2fsprogs      1.18-3.0
ii  elvis-tiny     1.4-11
ii  fbset          2.1-6
ii  fdflush        1.0.1-5
ii  fdutils        5.3-3   
ii  fileutils      4.1-2   
ii  findutils      4.1-40
ii  ftp            0.10-3.1
ii  gettext-base   0.10.35-13
ii  grep           2.4.2-1
ii  gzip           1.2.4-33
ii  hostname       2.07
ii  isapnptools    1.21-2
ii  joe            2.8-15.2  
ii  klogd          1.4.1-2   
ii  ldso           1.9.11-9   
ii  libbz2-1.0     1.0.1-10
ii  libc6          2.2.3-6
ii  libdb2         2.7.7-8
ii  libdbd-mysql-p 1.2216-2
ii  libdbi-perl    1.18-1
ii  libexpat1      1.95.1-5
ii  libgdbmg1      1.7.3-27
ii  libmm11        1.1.3-4
ii  libmysqlclient 3.23.39-3
ii  libncurses5    5.2.20010318-2
ii  libnewt0       0.50-7  
ii  libpam-modules 0.72-9
ii  libpam-runtime 0.72-9  
ii  libpam0g       0.72-9
ii  libpcap0       0.6.2-1
ii  libpcre3       3.4-1   
ii  libpopt0       1.4-1.1
ii  libreadline4   4.2-3 
ii  libssl09       0.9.4-5   
ii  libstdc++2.10  2.95.2-13 
ii  libstdc++2.10- 2.95.4-0.01070
ii  libwrap0       7.6-4   
ii  lilo           21.4.3-2
ii  locales        2.1.3-18
ii  login          19990827-20
ii  makedev        2.3.1-46.2
ii  mawk           1.3.3-5
ii  mbr            1.1.2-1 
ii  mime-support   3.11-1 
ii  modutils       2.3.11-13.1
ii  mount          2.10f-5.1
ii  mysql-client   3.23.39-3
ii  mysql-common   3.23.39-3.1
ii  mysql-server   3.23.39-3
ii  ncurses-base   5.0-6.0potato1
ii  ncurses-bin    5.0-6.0potato1
ii  netbase        3.18-4  
ii  passwd         19990827-20
ii  pciutils       2.1.2-2
ii  perl           5.6.1-5   
ii  perl-base      5.6.1-5   
ii  perl-modules   5.6.1-5
ii  php4           4.0.6-4   
ii  php4-mysql     4.0.6-4 
ii  ppp            2.3.11-1.4
ii  pppconfig      2.0.5
ii  procps         2.0.6-5   
ii  psmisc         19-2   
ii  pump           0.7.3-2 
ii  sed            3.02-5 
ii  setserial      2.17-16
ii  shellutils     2.0-7
ii  slang1         1.3.9-1  
ii  snort          1.7-9
ii  ssh            1.2.3-9.3
ii  sysklogd       1.4.1-2
ii  syslinux       1.48-2
ii  sysvinit       2.78-4  
ii  tar            1.13.17-2  
ii  tasksel        1.0-10 
ii  tcpd           7.6-4     
ii  telnet         0.16-4potato.1
ii  textutils      2.0-2  
ii  update         2.11-1    
ii  util-linux     2.10f-5.1
ii  zlib1g         1.1.3-15  
</example></p></appendix>




<appendix id="bridge-fw"><heading>Impostare un bridge firewall</heading>

<p>
Queste informazioni sono il contributo di Francois Bayart 
per aiutare gli utenti ad impostare un bridge/firewall Linux con il 
kernel 2.4.x ed <package>iptables</package>.
L'unico requisito necessario  la patch per il bridge firewall 
disponibile presso la <url id="http://bridge.sourceforge.net/download.html" name="pagine web di Sourceforge">.</p>

<p>
Ad esempio, se state usando il kernel 2.4.18, per prima cosa 
installate il pacchetto sorgente del kernel, quindi scaricate la 
<url id="http://bridge.sourceforge.net/devel/bridge-nf/bridge-nf-0.0.6-against-2.4.18.diff" name="patch"> e applicatela, come mostrato nell'esempio:

<example>
Zipowz:/usr/src# apt-get install kernel-source-2.4.18
Zipowz:/usr/src# cd kernel-source-2.4.18
Zipowz:/usr/src/kernel-source-2.4.18# patch -p1 < ../bridge-nf-0.0.6-against-2.4.18.diff 
patching file include/linux/netfilter.h
patching file include/linux/netfilter_ipv4.h
patching file include/linux/skbuff.h
patching file net/bridge/br.c
patching file net/bridge/br_forward.c
patching file net/bridge/br_input.c
patching file net/bridge/br_netfilter.c
patching file net/bridge/br_private.h
patching file net/bridge/Makefile
patching file net/Config.in
patching file net/core/netfilter.c
patching file net/core/skbuff.c
patching file net/ipv4/ip_output.c
patching file net/ipv4/netfilter/ip_tables.c
patching file net/ipv4/netfilter/ipt_LOG.c
</example></p>

<p>
Ora configurate il kernel (cio: <tt>make menuconfig</tt>, 
<tt>make xconfig</tt>). Nella sezione <em>Networking options</em>, 
abilitate le seguenti opzioni:

<example>
[*] Network packet filtering (replaces ipchains)
[ ]   Network packet filtering debugging (NEW)
<*> 802.1d Ethernet Bridging
[*]   netfilter (firewalling) support (NEW)
</example></p>

<p>
Attenzione: dovete disabilitare questa opzione se 
volete applicare delle regole di firewall altrimenti 
<prgn>iptables</prgn> non funzioner.

<example>
[ ]   Network packet filtering debugging (NEW)
</example></p>

<p>
Dopodich, aggiungete le opzioni corrette nella sezione 
<em>IP: Netfilter Configuration</em>. Quindi, compilate ed installate 
il kernel. Se volete farlo alla <em>maniera Debian</em>, installate 
<package>kernel-package</package> e lanciate <prgn>make-kpkg</prgn> 
per creare un pacchetto del kernel Debian personalizzato 
installabile sul server utilizzando dpkg. Una volta che il nuovo 
kernel  compilato ed installato, installate il pacchetto 
<package>bridge-utils</package>.</p>

<p>
Una volta completati questi passaggi, potete completare la 
configurazione del vostro bridge. La sezione successiva mostra 
due diverse possibili configurazioni per il bridge, ognuna con 
un ipotetica mappa di rete e i comandi necessari.</p>


<sect><heading>Un bridge con funzionalit NAT e firewall</heading>

<p>
La prima configurazione utilizza il bridge come un firewall con
traduzione degli indirizzi di rete (NAT) che protegge un server 
ed i clients della LAN interna. Un diagramma della configurazione 
di rete  mostrato qui sotto:



<example>
Internet ---- router ( 62.3.3.25 ) ---- bridge (62.3.3.26 gw 62.3.3.25 / 192.168.0.1)
                                          |
                                          |
                                          |---- WWW Server (62.3.3.27 gw 62.3.3.25)
                                          |
                                          |
                                         LAN --- Zipowz (192.168.0.2 gw 192.168.0.1)
</example></p>

<p>I seguenti comandi mostrano come il bridge pu essere configurato:

<example>
# Crea l'interfaccia br0
/usr/sbin/brctl addbr br0

# Aggiunge l'interfaccia Ethernet da utilizzare con il bridge
/usr/sbin/brctl addif br0 eth0
/usr/sbin/brctl addif br0 eth1

# Lancia l'interfaccia Ethernet
/sbin/ifconfig eth0 0.0.0.0
/sbin/ifconfig eth1 0.0.0.0

# Configurare il bridge ethernet.
# Il bridge sar corretto ed invisibile (firewall trasparente).
# Non figura in un traceroute e conserva il vero gateway sugli altri 
# computer. Ora se volete potete configurare un gateway sul bridge e 
# sceglierlo come nuovo gateway per altri computer.



/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.32

# Ho aggiunto questo IP interno per creare il nostro NAT 
ip addr add 192.168.0.1/24 dev br0
/sbin/route add default gw 62.3.3.25
</example></p></sect>




<sect><heading>Bridge con funzionalit di firewall</heading>

<p>
Una seconda configurazione possibile  un sistema configurato
come un firewall trasparente per una LAN con spazio di 
indirizzi IP pubblici.

<example>
Internet ---- router (62.3.3.25) ---- bridge (62.3.3.26)
                                        |
                                        |
                                        |---- WWW Server (62.3.3.28 gw 62.3.3.25)
                                        |
                                        |
                                        |---- Mail Server (62.3.3.27 gw 62.3.3.25)
</example></p>

<p>Le seguenti istruzioni mostrano come sia possibile configurare
questo bridge.

<example>
# Crea l'interfaccia br0
/usr/sbin/brctl addbr br0

# Aggiunge l'interfaccia Ethernet da utilizzare con il bridge
/usr/sbin/brctl addif br0 eth0
/usr/sbin/brctl addif br0 eth1

# Inizializza l'interfaccia Ethernet
/sbin/ifconfig eth0 0.0.0.0
/sbin/ifconfig eth1 0.0.0.0

# Configurazione del bridge Ethernet.
# Il bridge sar invisibile e impostato correttamente (firewall trasparente).
# Non figura in un traceroute e mantiene il vostro vero gateway sugli altri 
# computer. Ora, se vorrete, potrete configurare un gateway sul vostro bridge 
# a sceglierlo come il nuovo gateway per gli altri computer.



/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.32
</example></p>

<p>
Se eseguite un traceroute verso il Linux Mail Server, non vedrete
il bridge. Se volete accedere al bridge con <prgn>ssh</prgn>, dovete 
avere un gateway, altrimenti dovreste prima connettervi a un altro 
server, come il "Mail Server" e in seguito connettervi al bridge 
tramite la scheda di rete interna.</p></sect>



<sect><heading>Regole base di IPtables</heading>

<p>Questo  un esempio delle regole base che si potrebbero usare per queste 
due configurazioni indistintamente.

<example>
  iptables -F FORWARD
  iptables -P FORWARD DROP
  iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -m state --state INVALID -j DROP
  iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

  # Alcune regole interessanti ma non presenti in una configurazione
  # classica di Iptables...
  # Limit ICMP
  # iptables -A FORWARD -p icmp -m limit --limit 4/s -j ACCEPT
  # Confronta la stringa, un buon metodo, semplice, per bloccare molto 
  # velocemente alcuni VIRUS
  # iptables -I FORWARD -j DROP -p tcp -s 0.0.0.0/0 -m string --string "cmd.exe"

  # Blocca tutte le connessioni di MySQL tanto per essere sicuri
  iptables -A FORWARD -p tcp -s 0/0 -d 62.3.3.0/24 --dport 3306 -j DROP

  # Regole per Linux Mail Server

  # Autorizza FTP-DATA ( 20 ) , FTP ( 21 ) , SSH ( 22 ) 
  iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 62.3.3.27/32 --dport 20:22 -j ACCEPT

  # Autorizza il Mail Server a connettersi con l'esterno
  # Da notare: ci *non*  necessario per le connessioni precedenti
  # (ricorda: stateful filtering) e quindi pu essere rimosso.
  iptables -A FORWARD -p tcp -s 62.3.3.27/32 -d 0/0 -j ACCEPT

  # WWW Server Rules

  # Autorizza connessioni HTTP ( 80 ) con il server WWW
  iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 62.3.3.28/32 --dport 80 -j ACCEPT

  # Autorizza connessioni HTTPS ( 443 ) con il server WWW
  iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 62.3.3.28/32 --dport 443 -j ACCEPT

  # Autorizza il server WWW a connettersi con l'esterno
  # Da notare: ci *non*  necessario per le connessioni precedenti
  # (ricorda: stateful filtering) e quindi pu essere rimosso.
  iptables -A FORWARD -p tcp -s 62.3.3.28/32 -d 0/0 -j ACCEPT
</example></p></sect></appendix>

<appendix id="bind-chuser"><heading>Script di esempio per modificare 
                           l'installazione predefinita di Bind.</heading>

<p>
Questo script automatizza la procedura per la modifica dell'installazione
predefinita del server dei nomi <prgn>bind</prgn> in modo che <em>non</em> 
giri come super utente. 
Creer l'utente e i gruppi usati per il server dei nomi. Da utilizzare con
cautela poich non  stato testato approfonditamente.

<example>
  #!/bin/sh
  # Change the default Debian bind configuration to have it run
  # with a non-root user and group.
  #
  # WARN: This script has not been tested thoroughly, please
  # verify the changes made to the INITD script

  # (c) 2002 Javier Fernndez-Sanguino Pea
  #
  #    This program is free software; you can redistribute it and/or modify
  #    it under the terms of the GNU General Public License as published by
  #    the Free Software Foundation; either version 1, or (at your option)
  #    any later version.
  #
  #    This program is distributed in the hope that it will be useful,
  #    but WITHOUT ANY WARRANTY; without even the implied warranty of
  #    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
  #    GNU General Public License for more details.
  #
  #     Please see the file `COPYING' for the complete copyright notice.
  #

  restore() {
  # Just in case, restore the system if the changes fail
	  echo "WARN: Restoring to the previous setup since I'm unable to properly change it."
	  echo "WARN: Please check the $INITDERR script."
	  mv $INITD $INITDERR
	  cp $INITDBAK $INITD
  }


  USER=named
  GROUP=named
  INITD=/etc/init.d/bind
  INITDBAK=$INITD.preuserchange
  INITDERR=$INITD.changeerror
  START="start-stop-daemon --start --quiet --exec /usr/sbin/named -- -g $GROUP -u $USER"
  AWKS="awk ' /start-stop-daemon --start/ { print \"$START\"; noprint = 1; }; /\/usr\/sbin\/ndc reload/ { print \"stop; sleep 2; start;\"; noprint = 1; } /\\\\$/ { if ( noprint != 0 ) { noprint = noprint + 1;} } /^.*$/ { if ( noprint != 0 ) { noprint = noprint - 1; } else { print \$0; } } '"

  [ `id -u` -ne 0 ] && {
	  echo "This program must be run by the root user"
	  exit 1
  }

  RUNUSER=`ps -eo user,fname |grep named |cut -f 1 -d " "`

  if [ "$RUNUSER" = "$USER" ] 
  then
	  echo "WARN: The name server running daemon is already running as $USER"
	  echo "ERR:  This script will not many any changes to your setup."
	  exit 1
  fi
  if [ ! -f $INITD ]
  then
	  echo "ERR:  This system does not have $INITD (which this script tries to change)"
	  RUNNING=`ps -eo fname |grep named`
	   [ -z "$RUNNING" ] && \
	      echo "ERR:  In fact the name server daemon is not even running (is it installed?)"
	   echo "ERR:  No changes will be made to your system"
	  exit 1
  fi

  # Check if named group exists
  if [ -z "`grep $GROUP /etc/group`" ] 
  then
	  echo "Creating group $GROUP:"
	  addgroup $GROUP
  else
	  echo "WARN: Group $GROUP already exists. Will not create it"
  fi
  # Same for the user
  if [ -z "`grep $USER /etc/passwd`" ] 
  then
	  echo "Creating user $USER:"
	  adduser --system --home /home/$USER \
	  --no-create-home --ingroup $GROUP \
	  --disabled-password --disabled-login $USER
  else
	  echo "WARN: The user $USER already exists. Will not create it"
  fi

  # Change the init.d script

  # First make a backup (check that there is not already
  # one there first)
  if [ ! -f $INITDBAK ] 
  then
	  cp $INITD $INITDBAK
  fi

  # Then use it to change it
  cat $INITDBAK |
  eval $AWKS > $INITD

  echo "WARN: The script $INITD has been changed, trying to test the changes."
  echo "Restarting the named daemon (check for errors here)."

  $INITD restart
  if [ $? -ne 0 ] 
  then
	  echo "ERR:  Failed to restart the daemon."
	  restore
	  exit 1
  fi

  RUNNING=`ps -eo fname |grep named`
  if [ -z "$RUNNING" ] 
  then
	  echo "ERR:  Named is not running, probably due to a problem with the changes."
	  restore
	  exit 1
  fi

  # Check if it's running as expected
  RUNUSER=`ps -eo user,fname |grep named |cut -f 1 -d " "`

  if [ "$RUNUSER" = "$USER" ] 
  then
	  echo "All has gone well, named seems to be running now as $USER."
  else
	  echo "ERR:  The script failed to automatically change the system."
	  echo "ERR:  Named is currently running as $RUNUSER."
	  restore
	  exit 1
  fi

  exit 0
</example></p>

<p>
Lo script precedente gira su Woody (Debian 3.0), personalizza
<prgn>bind</prgn>, che userete con il seguente file initd
dopo aver creato l'utente ed il gruppo "named":

<example>
  #!/bin/sh

  PATH=/sbin:/bin:/usr/sbin:/usr/bin

  test -x /usr/sbin/named || exit 0

  start () {
	  echo -n "Starting domain name service: named"
	  start-stop-daemon --start --quiet \
	      --pidfile /var/run/named.pid --exec /usr/sbin/named 
	  echo "."	
  }

  stop () {
	  echo -n "Stopping domain name service: named"
	  # --exec doesn't catch daemons running deleted instances of named,
	  # as in an upgrade. Fortunately, --pidfile is only going to hit
	  # things from the pidfile.
	  start-stop-daemon --stop --quiet  \
	      --pidfile /var/run/named.pid --name named
	  echo "."	
  }

  case "$1" in
      start)
	  start
      ;;

      stop)
	  stop
      ;;

      restart|force-reload)
	  stop
	  sleep 2
	  start
      ;;

      reload)
	  /usr/sbin/ndc reload
      ;;

      *)
	  echo "Usage: /etc/init.d/bind {start|stop|reload|restart|force-reload}" >&2
	  exit 1
      ;;
  esac

  exit 0
</example></p></appendix>




<appendix id="fw-security-update"><heading>Aggiornamenti di sicurezza protetti 
                                  da un firewall</heading>

<p>
Dopo un'installazione standard, la sicurezza di un sistema potrebbe
avere ancora delle vulnerabilit. A meno che voi non scarichiate
gli aggiornamenti da un altro sistema (o abbiate fatto il mirror di
security.debian.org per un uso locale), il sistema dovr essere
collegato a Internet per i download.</p>

<p>
Non appena vi collegate a Internet, per, esponete il sistema
a dei rischi. Se uno dei vostri servizi locali ha una vulnerabilit,
potreste essere compromessi ancor prima che l'aggiornamento termini!
Pu sembrare paranoico ma di fatto, analisi 
dell'<url id="http://www.honeynet.org" name="Honeynet Project">, 
hanno mostrato che i sistemi possono essere compromessi in meno di tre 
giorni, anche se non sono noti pubblicamente (cio non siano 
riportati nei registri DNS).</p>

<p>
Quando si esegue un aggiornamento, su di un sistema non protetto da
un altro sistema esterno, come un firewall,  possibile configurare 
adeguatamente il vostro firewall locale per limitare le connessioni 
alle sole riguardanti gli aggiornamenti di sicurezza.
L'esempio qui di seguito, mostra come configurare un tale firewall,
per autorizzare solo le connessioni da security.debian.org, e 
registrare tutte le altre.</p>

<p>FIXME: aggiungere l'indirizzo IP di security.debian.org (altrimenti 
dovreste avere il servizio DNS avviato per funzionare).</p>

<p>FIXME: provare questa configurazione per verificare che funzioni
correttamente.</p>

<p>FIXME: ci funzioner solo con le URL HTTP poich ftp potrebbe
richiedere il modulo ip_conntrack_ftp module, oppure utilizzare
la modalit passiva.

<!-- FIXME: this is probably not needed, after all it is a packet inspection 
     fw: -->
<!-- # iptables -A INPUT -s security.debian.org -p 80 -j ACCEPT -->

<example>
  # iptables -F
  # iptables -L
  Chain INPUT (policy ACCEPT)
  target     prot opt source               destination

  Chain FORWARD (policy ACCEPT)
  target     prot opt source               destination

  Chain OUTPUT (policy ACCEPT)
  target     prot opt source               destination
  # iptables -P INPUT DROP
  # iptables -P FORWARD DROP
  # iptables -P OUTPUT DROP
  # iptables -A OUTPUT -d security.debian.org -p 80 -j ACCEPT
  # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  # iptables -A INPUT -p icmp -j ACCEPT
  # iptables -A INPUT -j LOG
  # iptables -A OUTPUT -j LOG
  # iptables -L
  Chain INPUT (policy DROP)
  target     prot opt source               destination
  ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
  ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
  LOG        all  --  anywhere             anywhere           LOG level warning

  Chain FORWARD (policy DROP)
  target     prot opt source               destination

  Chain OUTPUT (policy DROP)
  target     prot opt source               destination
  ACCEPT     80   --  anywhere             security.debian.org
  LOG        all  --  anywhere             anywhere           LOG level warning
</example></p></appendix>




<appendix id="chroot-ssh-env"><heading>Ambiente <prgn>Chroot</prgn> per <prgn>SSH</prgn></heading>

<p>
Creare un ambiente con restrizioni per `SSH'  un lavoro duro, a causa
delle sue dipendenze e per il fatto che, a differenza degli altri
server, <prgn>SSH</prgn> fornisce una shell remota agli utenti. Perci, 
dovrete anche tenere conto di quali applicazioni saranno "permesse" agli
utenti. Se, per esempio, create questa struttura di file in
<file>/var/chroot/ssh</file>, potete avviare il server <prgn>ssh</prgn> 
in ambiente <prgn>chroot</prgn> con questo comando:

<example>
  # chroot /var/chroot/ssh /sbin/sshd -f /etc/sshd_config
</example></p>



<sect><heading>Realizzare automaticamente l'ambiente (modo semplice)</heading>

<p>
Potete facilmente creare un ambiente con restrizioni con il pacchetto
<package>makejail</package>. Infatti esso si prende automaticamente cura 
di tracciare il demone del server (con <prgn>strace</prgn>) e lo fa 
girare all'interno dell'ambiente riservato.</p>

<p>
Il vantaggio dei programmi che generano automaticamente ambienti
<prgn>chroot</prgn>, consiste nella loro capacit di copiare qualunque 
pacchetto nell'ambiente <prgn>chroot</prgn> (perfino tenendo conto delle 
dipendenze del pacchetto e assicurandosi che esso sia completo). 
Pertanto, fornire applicazioni per l'utente  pi semplice.</p>

<p>
Per realizzare quest'ambiente utilizzando <prgn>makejail</prgn> con gli 
esempi forniti, utilizzate il comando:

<example>
  # makejail /usr/share/doc/makejail/examples/sshd.py
</example></p>

<p>
Per vedere quali altri cambiamenti  necessario apportare 
all'ambiente, leggete il file di esempio. Alcuni di questi cambiamenti,
come, ad esempio, copiare le directory home degli utenti, non 
possono essere effettuati automaticamente. Inoltre, limitate 
l'esposizione di informazioni sensibili copiando solamente i dati da un
certo numero di utenti, dai file <file>/etc/shadow</file> o 
<file>/etc/group</file>.</p>

<p>
Il seguente ambiente d'esempio e' stato (superficialmente) testato,
ed  stato costruito con il file di configurazione fornito nel 
pacchetto; esso include i seguenti pacchetti <package>fileutils</package>:

<example>
.
|-- bin
|   |-- ash
|   |-- bash
|   |-- chgrp
|   |-- chmod
|   |-- chown
|   |-- cp
|   |-- csh -> /etc/alternatives/csh
|   |-- dd
|   |-- df
|   |-- dir
|   |-- fdflush
|   |-- ksh
|   |-- ln
|   |-- ls
|   |-- mkdir
|   |-- mknod
|   |-- mv
|   |-- rbash -> bash
|   |-- rm
|   |-- rmdir
|   |-- sh -> bash
|   |-- sync
|   |-- tcsh
|   |-- touch
|   |-- vdir
|   |-- zsh -> /etc/alternatives/zsh
|   `-- zsh4
|-- dev
|   |-- null
|   |-- ptmx
|   |-- pts
|   |-- ptya0
(...)
|   |-- tty
|   |-- tty0
(...)
|   `-- urandom
|-- etc
|   |-- alternatives
|   |   |-- csh -> /bin/tcsh
|   |   `-- zsh -> /bin/zsh4
|   |-- environment
|   |-- hosts
|   |-- hosts.allow
|   |-- hosts.deny
|   |-- ld.so.conf
|   |-- localtime -> /usr/share/zoneinfo/Europe/Madrid
|   |-- motd
|   |-- nsswitch.conf
|   |-- pam.conf
|   |-- pam.d
|   |   |-- other
|   |   `-- ssh
|   |-- passwd
|   |-- resolv.conf
|   |-- security
|   |   |-- access.conf
|   |   |-- chroot.conf
|   |   |-- group.conf
|   |   |-- limits.conf
|   |   |-- pam_env.conf
|   |   `-- time.conf
|   |-- shadow
|   |-- shells
|   `-- ssh
|       |-- moduli
|       |-- ssh_host_dsa_key
|       |-- ssh_host_dsa_key.pub
|       |-- ssh_host_rsa_key
|       |-- ssh_host_rsa_key.pub
|       `-- sshd_config
|-- home
|   `-- userX
|-- lib
|   |-- ld-2.2.5.so
|   |-- ld-linux.so.2 -> ld-2.2.5.so
|   |-- libc-2.2.5.so
|   |-- libc.so.6 -> libc-2.2.5.so
|   |-- libcap.so.1 -> libcap.so.1.10
|   |-- libcap.so.1.10
|   |-- libcrypt-2.2.5.so
|   |-- libcrypt.so.1 -> libcrypt-2.2.5.so
|   |-- libdl-2.2.5.so
|   |-- libdl.so.2 -> libdl-2.2.5.so
|   |-- libm-2.2.5.so
|   |-- libm.so.6 -> libm-2.2.5.so
|   |-- libncurses.so.5 -> libncurses.so.5.2
|   |-- libncurses.so.5.2
|   |-- libnsl-2.2.5.so
|   |-- libnsl.so.1 -> libnsl-2.2.5.so
|   |-- libnss_compat-2.2.5.so
|   |-- libnss_compat.so.2 -> libnss_compat-2.2.5.so
|   |-- libnss_db-2.2.so
|   |-- libnss_db.so.2 -> libnss_db-2.2.so
|   |-- libnss_dns-2.2.5.so
|   |-- libnss_dns.so.2 -> libnss_dns-2.2.5.so
|   |-- libnss_files-2.2.5.so
|   |-- libnss_files.so.2 -> libnss_files-2.2.5.so
|   |-- libnss_hesiod-2.2.5.so
|   |-- libnss_hesiod.so.2 -> libnss_hesiod-2.2.5.so
|   |-- libnss_nis-2.2.5.so
|   |-- libnss_nis.so.2 -> libnss_nis-2.2.5.so
|   |-- libnss_nisplus-2.2.5.so
|   |-- libnss_nisplus.so.2 -> libnss_nisplus-2.2.5.so
|   |-- libpam.so.0 -> libpam.so.0.72
|   |-- libpam.so.0.72
|   |-- libpthread-0.9.so
|   |-- libpthread.so.0 -> libpthread-0.9.so
|   |-- libresolv-2.2.5.so
|   |-- libresolv.so.2 -> libresolv-2.2.5.so
|   |-- librt-2.2.5.so
|   |-- librt.so.1 -> librt-2.2.5.so
|   |-- libutil-2.2.5.so
|   |-- libutil.so.1 -> libutil-2.2.5.so
|   |-- libwrap.so.0 -> libwrap.so.0.7.6
|   |-- libwrap.so.0.7.6
|   `-- security
|       |-- pam_access.so
|       |-- pam_chroot.so
|       |-- pam_deny.so
|       |-- pam_env.so
|       |-- pam_filter.so
|       |-- pam_ftp.so
|       |-- pam_group.so
|       |-- pam_issue.so
|       |-- pam_lastlog.so
|       |-- pam_limits.so
|       |-- pam_listfile.so
|       |-- pam_mail.so
|       |-- pam_mkhomedir.so
|       |-- pam_motd.so
|       |-- pam_nologin.so
|       |-- pam_permit.so
|       |-- pam_rhosts_auth.so
|       |-- pam_rootok.so
|       |-- pam_securetty.so
|       |-- pam_shells.so
|       |-- pam_stress.so
|       |-- pam_tally.so
|       |-- pam_time.so
|       |-- pam_unix.so
|       |-- pam_unix_acct.so -> pam_unix.so
|       |-- pam_unix_auth.so -> pam_unix.so
|       |-- pam_unix_passwd.so -> pam_unix.so
|       |-- pam_unix_session.so -> pam_unix.so
|       |-- pam_userdb.so
|       |-- pam_warn.so
|       `-- pam_wheel.so
|-- sbin
|   `-- start-stop-daemon
|-- usr
|   |-- bin
|   |   |-- dircolors
|   |   |-- du
|   |   |-- install
|   |   |-- link
|   |   |-- mkfifo
|   |   |-- shred
|   |   |-- touch -> /bin/touch
|   |   `-- unlink
|   |-- lib
|   |   |-- libcrypto.so.0.9.6
|   |   |-- libdb3.so.3 -> libdb3.so.3.0.2
|   |   |-- libdb3.so.3.0.2
|   |   |-- libz.so.1 -> libz.so.1.1.4
|   |   `-- libz.so.1.1.4
|   |-- sbin
|   |   `-- sshd
|   `-- share
|       |-- locale
|       |   `-- es
|       |       |-- LC_MESSAGES
|       |       |   |-- fileutils.mo
|       |       |   |-- libc.mo
|       |       |   `-- sh-utils.mo
|       |       `-- LC_TIME -> LC_MESSAGES
|       `-- zoneinfo
|           `-- Europe
|               `-- Madrid
`-- var
    `-- run
        |-- sshd
        `-- sshd.pid

27 directories, 733 files
</example></p></sect>

<sect><heading>Applicare una patch ad <prgn>SSH</prgn> per abilitare funzionalit in 
<prgn>chroot</prgn></heading>

<p>
Il pacchetto <prgn>sshd</prgn> disponibile in Debian non permette di
restringere i movimenti di un utente che accede al server,
perch non dispone della funzione <prgn>chroot</prgn> che  invece 
inclusa nel programma commerciale <prgn>sshd2</prgn> 
(mediante "ChrootGroups" o "ChrootUsers", vedete 
<manref name="sshd2_config" section="5">). Tuttavia  disponibile una
patch per aggiungere questa funzionalit dal 
<url id="http://bugs.debian.org/139047" name="Bug report 139047">
oppure <url id="http://www.cag.lcs.mit.edu/~raoul/">.
La patch potrebbe essere inclusa nelle prossime versioni del 
pacchetto OpenSSH. Emmanuel Lacour dispone di pacchetti deb di 
<prgn>ssh</prgn> con questa funzione: 
<url id="http://debian.home-dn.net/woody/ssh/">.
Tuttavia  consigliabile compilare il programma.</p> 

<p>
All'indirizzo <url id="http://mail.incredimail.com/howto/openssh/"> 
sono descritti di tutti i passi necessari per avere la funzionalit
chroot (nonostante sia dedicata agli utenti di RedHat 7.2, quasi
tutto  applicabile anche a Debian). Dopo aver applicato la patch
occorre modificare <file>/etc/passwd</file> cambiando la home 
path degli utenti (con la speciale sequenza <tt>/./</tt>):

<example>
  joeuser:x:1099:1099:Joe Random User:/home/joe/./:/bin/bash
</example></p>

<p>
In questo modo viene limitato sia <em>l'accesso</em> remoto alla shell 
che la copia remota attraverso il canale <prgn>ssh</prgn>.</p>

<p>
Bisogna accertarsi di avere tutti i binari e le librerie necessarie
nel path soggetto a <prgn>chroot</prgn> per gli utenti. 
Questi file dovrebbero essere di propriet di root per evitare che 
gli utenti li manomettano (in modo da evitare la gabbia chroot). 
Un esempio potrebbe comprendere:

<example>
./bin:
total 660
drwxr-xr-x    2 root     root         4096 Mar 18 13:36 .
drwxr-xr-x    8 guest    guest        4096 Mar 15 16:53 ..
-r-xr-xr-x    1 root     root       531160 Feb  6 22:36 bash
-r-xr-xr-x    1 root     root        43916 Nov 29 13:19 ls
-r-xr-xr-x    1 root     root        16684 Nov 29 13:19 mkdir
-rwxr-xr-x    1 root     root        23960 Mar 18 13:36 more
-r-xr-xr-x    1 root     root         9916 Jul 26  2001 pwd
-r-xr-xr-x    1 root     root        24780 Nov 29 13:19 rm
lrwxrwxrwx    1 root     root            4 Mar 30 16:29 sh -> bash

./etc:
total 24
drwxr-xr-x    2 root     root         4096 Mar 15 16:13 .
drwxr-xr-x    8 guest    guest        4096 Mar 15 16:53 ..
-rw-r--r--    1 root     root           54 Mar 15 13:23 group
-rw-r--r--    1 root     root          428 Mar 15 15:56 hosts
-rw-r--r--    1 root     root           44 Mar 15 15:53 passwd
-rw-r--r--    1 root     root           52 Mar 15 13:23 shells

./lib:
total 1848
drwxr-xr-x    2 root     root         4096 Mar 18 13:37 .
drwxr-xr-x    8 guest    guest        4096 Mar 15 16:53 ..
-rwxr-xr-x    1 root     root        92511 Mar 15 12:49 ld-linux.so.2
-rwxr-xr-x    1 root     root      1170812 Mar 15 12:49 libc.so.6
-rw-r--r--    1 root     root        20900 Mar 15 13:01 libcrypt.so.1
-rw-r--r--    1 root     root         9436 Mar 15 12:49 libdl.so.2
-rw-r--r--    1 root     root       248132 Mar 15 12:48 libncurses.so.5
-rw-r--r--    1 root     root        71332 Mar 15 13:00 libnsl.so.1
-rw-r--r--    1 root     root        34144 Mar 15 16:10 libnss_files.so.2
-rw-r--r--    1 root     root        29420 Mar 15 12:57 libpam.so.0
-rw-r--r--    1 root     root       105498 Mar 15 12:51 libpthread.so.0
-rw-r--r--    1 root     root        25596 Mar 15 12:51 librt.so.1
-rw-r--r--    1 root     root         7760 Mar 15 12:59 libutil.so.1
-rw-r--r--    1 root     root        24328 Mar 15 12:57 libwrap.so.0

./usr:
total 16
drwxr-xr-x    4 root     root         4096 Mar 15 13:00 .
drwxr-xr-x    8 guest    guest        4096 Mar 15 16:53 ..
drwxr-xr-x    2 root     root         4096 Mar 15 15:55 bin
drwxr-xr-x    2 root     root         4096 Mar 15 15:37 lib

./usr/bin:
total 340
drwxr-xr-x    2 root     root         4096 Mar 15 15:55 .
drwxr-xr-x    4 root     root         4096 Mar 15 13:00 ..
-rwxr-xr-x    1 root     root        10332 Mar 15 15:55 env
-rwxr-xr-x    1 root     root        13052 Mar 15 13:13 id
-r-xr-xr-x    1 root     root        25432 Mar 15 12:40 scp
-rwxr-xr-x    1 root     root        43768 Mar 15 15:15 sftp
-r-sr-xr-x    1 root     root       218456 Mar 15 12:40 ssh
-rwxr-xr-x    1 root     root         9692 Mar 15 13:17 tty

./usr/lib:
total 852
drwxr-xr-x    2 root     root         4096 Mar 15 15:37 .
drwxr-xr-x    4 root     root         4096 Mar 15 13:00 ..
-rw-r--r--    1 root     root       771088 Mar 15 13:01
libcrypto.so.0.9.6
-rw-r--r--    1 root     root        54548 Mar 15 13:00 libz.so.1
-rwxr-xr-x    1 root     root        23096 Mar 15 15:37 sftp-server
</example></p></sect>


<sect><heading>Ambiente fatto a mano (nella modo pi brutale)</heading>

<p>
&Egrave; possibile creare un ambiente usando un metodo per tentativo ed
errori, monitorando i tracciati e i file di log del server <prgn>sshd</prgn>
in modo da determinare i file necessari. L'ambiente seguente, fornito da 
Jos Luis Ledesma,  una lista di file di esempio in un ambiente 
<prgn>chroot</prgn> per <prgn>ssh</prgn>:


<footnote>
<p>Notate che non ci sono file SETUID. Questo rende pi difficile
uscire dall'ambiente <prgn>chroot</prgn> agli utenti remoti. Tuttavia
impedisce anche agli utenti di cambiare le loro password visto che
il programma <prgn>passwd</prgn> non pu modificare i file 
<file>/etc/passwd</file> o <file>/etc/shadow</file>.</p>
</footnote>

<example>
.:
total 36
drwxr-xr-x 9 root root 4096 Jun 5 10:05 ./
drwxr-xr-x 11 root root 4096 Jun 3 13:43 ../
drwxr-xr-x 2 root root 4096 Jun 4 12:13 bin/
drwxr-xr-x 2 root root 4096 Jun 4 12:16 dev/
drwxr-xr-x 4 root root 4096 Jun 4 12:35 etc/
drwxr-xr-x 3 root root 4096 Jun 4 12:13 lib/
drwxr-xr-x 2 root root 4096 Jun 4 12:35 sbin/
drwxr-xr-x 2 root root 4096 Jun 4 12:32 tmp/
drwxr-xr-x 2 root root 4096 Jun 4 12:16 usr/
./bin:
total 8368
drwxr-xr-x 2 root root 4096 Jun 4 12:13 ./
drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../
-rwxr-xr-x 1 root root 109855 Jun 3 13:45 a2p*
-rwxr-xr-x 1 root root 387764 Jun 3 13:45 bash*
-rwxr-xr-x 1 root root 36365 Jun 3 13:45 c2ph*
-rwxr-xr-x 1 root root 20629 Jun 3 13:45 dprofpp*
-rwxr-xr-x 1 root root 6956 Jun 3 13:46 env*
-rwxr-xr-x 1 root root 158116 Jun 3 13:45 fax2ps*
-rwxr-xr-x 1 root root 104008 Jun 3 13:45 faxalter*
-rwxr-xr-x 1 root root 89340 Jun 3 13:45 faxcover*
-rwxr-xr-x 1 root root 441584 Jun 3 13:45 faxmail*
-rwxr-xr-x 1 root root 96036 Jun 3 13:45 faxrm*
-rwxr-xr-x 1 root root 107000 Jun 3 13:45 faxstat*
-rwxr-xr-x 1 root root 77832 Jun 4 11:46 grep*
-rwxr-xr-x 1 root root 19597 Jun 3 13:45 h2ph*
-rwxr-xr-x 1 root root 46979 Jun 3 13:45 h2xs*
-rwxr-xr-x 1 root root 10420 Jun 3 13:46 id*
-rwxr-xr-x 1 root root 4528 Jun 3 13:46 ldd*
-rwxr-xr-x 1 root root 111386 Jun 4 11:46 less*
-r-xr-xr-x 1 root root 26168 Jun 3 13:45 login*
-rwxr-xr-x 1 root root 49164 Jun 3 13:45 ls*
-rwxr-xr-x 1 root root 11600 Jun 3 13:45 mkdir*
-rwxr-xr-x 1 root root 24780 Jun 3 13:45 more*
-rwxr-xr-x 1 root root 154980 Jun 3 13:45 pal2rgb*
-rwxr-xr-x 1 root root 27920 Jun 3 13:46 passwd*
-rwxr-xr-x 1 root root 4241 Jun 3 13:45 pl2pm*
-rwxr-xr-x 1 root root 2350 Jun 3 13:45 pod2html*
-rwxr-xr-x 1 root root 7875 Jun 3 13:45 pod2latex*
-rwxr-xr-x 1 root root 17587 Jun 3 13:45 pod2man*
-rwxr-xr-x 1 root root 6877 Jun 3 13:45 pod2text*
-rwxr-xr-x 1 root root 3300 Jun 3 13:45 pod2usage*
-rwxr-xr-x 1 root root 3341 Jun 3 13:45 podchecker*
-rwxr-xr-x 1 root root 2483 Jun 3 13:45 podselect*
-r-xr-xr-x 1 root root 82412 Jun 4 11:46 ps*
-rwxr-xr-x 1 root root 36365 Jun 3 13:45 pstruct*
-rwxr-xr-x 1 root root 7120 Jun 3 13:45 pwd*
-rwxr-xr-x 1 root root 179884 Jun 3 13:45 rgb2ycbcr*
-rwxr-xr-x 1 root root 20532 Jun 3 13:45 rm*
-rwxr-xr-x 1 root root 6720 Jun 4 10:15 rmdir*
-rwxr-xr-x 1 root root 14705 Jun 3 13:45 s2p*
-rwxr-xr-x 1 root root 28764 Jun 3 13:46 scp*
-rwxr-xr-x 1 root root 385000 Jun 3 13:45 sendfax*
-rwxr-xr-x 1 root root 67548 Jun 3 13:45 sendpage*
-rwxr-xr-x 1 root root 88632 Jun 3 13:46 sftp*
-rwxr-xr-x 1 root root 387764 Jun 3 13:45 sh*
-rws--x--x 1 root root 744500 Jun 3 13:46 slogin*
-rwxr-xr-x 1 root root 14523 Jun 3 13:46 splain*
-rws--x--x 1 root root 744500 Jun 3 13:46 ssh*
-rwxr-xr-x 1 root root 570960 Jun 3 13:46 ssh-add*
-rwxr-xr-x 1 root root 502952 Jun 3 13:46 ssh-agent*
-rwxr-xr-x 1 root root 575740 Jun 3 13:46 ssh-keygen*
-rwxr-xr-x 1 root root 383480 Jun 3 13:46 ssh-keyscan*
-rwxr-xr-x 1 root root 39 Jun 3 13:46 ssh_europa*
-rwxr-xr-x 1 root root 107252 Jun 4 10:14 strace*
-rwxr-xr-x 1 root root 8323 Jun 4 10:14 strace-graph*
-rwxr-xr-x 1 root root 158088 Jun 3 13:46 thumbnail*
-rwxr-xr-x 1 root root 6312 Jun 3 13:46 tty*
-rwxr-xr-x 1 root root 55904 Jun 4 11:46 useradd*
-rwxr-xr-x 1 root root 585656 Jun 4 11:47 vi*
-rwxr-xr-x 1 root root 6444 Jun 4 11:45 whoami*
./dev:
total 8
drwxr-xr-x 2 root root 4096 Jun 4 12:16 ./
drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../
crw-r--r-- 1 root root 1, 9 Jun 3 13:43 urandom
./etc:
total 208
drwxr-xr-x 4 root root 4096 Jun 4 12:35 ./
drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../
-rw------- 1 root root 0 Jun 4 11:46 .pwd.lock
-rw-r--r-- 1 root root 653 Jun 3 13:46 group
-rw-r--r-- 1 root root 242 Jun 4 11:33 host.conf
-rw-r--r-- 1 root root 857 Jun 4 12:04 hosts
-rw-r--r-- 1 root root 1050 Jun 4 11:29 ld.so.cache
-rw-r--r-- 1 root root 304 Jun 4 11:28 ld.so.conf
-rw-r--r-- 1 root root 235 Jun 4 11:27 ld.so.conf~
-rw-r--r-- 1 root root 88039 Jun 3 13:46 moduli
-rw-r--r-- 1 root root 1342 Jun 4 11:34 nsswitch.conf
drwxr-xr-x 2 root root 4096 Jun 4 12:02 pam.d/
-rw-r--r-- 1 root root 28 Jun 4 12:00 pam_smb.conf
-rw-r--r-- 1 root root 2520 Jun 4 11:57 passwd
-rw-r--r-- 1 root root 7228 Jun 3 13:48 profile
-rw-r--r-- 1 root root 1339 Jun 4 11:33 protocols
-rw-r--r-- 1 root root 274 Jun 4 11:44 resolv.conf
drwxr-xr-x 2 root root 4096 Jun 3 13:43 security/
-rw-r----- 1 root root 1178 Jun 4 11:51 shadow
-rw------- 1 root root 80 Jun 4 11:45 shadow-
-rw-r----- 1 root root 1178 Jun 4 11:48 shadow.old
-rw-r--r-- 1 root root 161 Jun 3 13:46 shells
-rw-r--r-- 1 root root 1144 Jun 3 13:46 ssh_config
-rw------- 1 root root 668 Jun 3 13:46 ssh_host_dsa_key
-rw-r--r-- 1 root root 602 Jun 3 13:46 ssh_host_dsa_key.pub
-rw------- 1 root root 527 Jun 3 13:46 ssh_host_key
-rw-r--r-- 1 root root 331 Jun 3 13:46 ssh_host_key.pub
-rw------- 1 root root 883 Jun 3 13:46 ssh_host_rsa_key
-rw-r--r-- 1 root root 222 Jun 3 13:46 ssh_host_rsa_key.pub
-rw-r--r-- 1 root root 2471 Jun 4 12:15 sshd_config
./etc/pam.d:
total 24
drwxr-xr-x 2 root root 4096 Jun 4 12:02 ./
drwxr-xr-x 4 root root 4096 Jun 4 12:35 ../
lrwxrwxrwx 1 root root 4 Jun 4 12:02 other -> sshd
-rw-r--r-- 1 root root 318 Jun 3 13:46 passwd
-rw-r--r-- 1 root root 546 Jun 4 11:36 ssh
-rw-r--r-- 1 root root 479 Jun 4 12:02 sshd
-rw-r--r-- 1 root root 370 Jun 3 13:46 su
./etc/security:
total 32
drwxr-xr-x 2 root root 4096 Jun 3 13:43 ./
drwxr-xr-x 4 root root 4096 Jun 4 12:35 ../
-rw-r--r-- 1 root root 1971 Jun 3 13:46 access.conf
-rw-r--r-- 1 root root 184 Jun 3 13:46 chroot.conf
-rw-r--r-- 1 root root 2145 Jun 3 13:46 group.conf
-rw-r--r-- 1 root root 1356 Jun 3 13:46 limits.conf
-rw-r--r-- 1 root root 2858 Jun 3 13:46 pam_env.conf
-rw-r--r-- 1 root root 2154 Jun 3 13:46 time.conf
./lib:
total 8316
drwxr-xr-x 3 root root 4096 Jun 4 12:13 ./
drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../
-rw-r--r-- 1 root root 1024 Jun 4 11:51 cracklib_dict.hwm
-rw-r--r-- 1 root root 214324 Jun 4 11:51 cracklib_dict.pwd
-rw-r--r-- 1 root root 11360 Jun 4 11:51 cracklib_dict.pwi
-rwxr-xr-x 1 root root 342427 Jun 3 13:46 ld-linux.so.2*
-rwxr-xr-x 1 root root 4061504 Jun 3 13:46 libc.so.6*
lrwxrwxrwx 1 root root 15 Jun 4 12:11 libcrack.so -> libcrack.so.2.7*
lrwxrwxrwx 1 root root 15 Jun 4 12:11 libcrack.so.2 -> libcrack.so.2.7*
-rwxr-xr-x 1 root root 33291 Jun 4 11:39 libcrack.so.2.7*
-rwxr-xr-x 1 root root 60988 Jun 3 13:46 libcrypt.so.1*
-rwxr-xr-x 1 root root 71846 Jun 3 13:46 libdl.so.2*
-rwxr-xr-x 1 root root 27762 Jun 3 13:46 libhistory.so.4.0*
lrwxrwxrwx 1 root root 17 Jun 4 12:12 libncurses.so.4 -> libncurses.so.4.2*
-rwxr-xr-x 1 root root 503903 Jun 3 13:46 libncurses.so.4.2*
lrwxrwxrwx 1 root root 17 Jun 4 12:12 libncurses.so.5 -> libncurses.so.5.0*
-rwxr-xr-x 1 root root 549429 Jun 3 13:46 libncurses.so.5.0*
-rwxr-xr-x 1 root root 369801 Jun 3 13:46 libnsl.so.1*
-rwxr-xr-x 1 root root 142563 Jun 4 11:49 libnss_compat.so.1*
-rwxr-xr-x 1 root root 215569 Jun 4 11:49 libnss_compat.so.2*
-rwxr-xr-x 1 root root 61648 Jun 4 11:34 libnss_dns.so.1*
-rwxr-xr-x 1 root root 63453 Jun 4 11:34 libnss_dns.so.2*
-rwxr-xr-x 1 root root 63782 Jun 4 11:34 libnss_dns6.so.2*
-rwxr-xr-x 1 root root 205715 Jun 3 13:46 libnss_files.so.1*
-rwxr-xr-x 1 root root 235932 Jun 3 13:49 libnss_files.so.2*
-rwxr-xr-x 1 root root 204383 Jun 4 11:33 libnss_nis.so.1*
-rwxr-xr-x 1 root root 254023 Jun 4 11:33 libnss_nis.so.2*
-rwxr-xr-x 1 root root 256465 Jun 4 11:33 libnss_nisplus.so.2*
lrwxrwxrwx 1 root root 14 Jun 4 12:12 libpam.so.0 -> libpam.so.0.72*
-rwxr-xr-x 1 root root 31449 Jun 3 13:46 libpam.so.0.72*
lrwxrwxrwx 1 root root 19 Jun 4 12:12 libpam_misc.so.0 ->
libpam_misc.so.0.72*
-rwxr-xr-x 1 root root 8125 Jun 3 13:46 libpam_misc.so.0.72*
lrwxrwxrwx 1 root root 15 Jun 4 12:12 libpamc.so.0 -> libpamc.so.0.72*
-rwxr-xr-x 1 root root 10499 Jun 3 13:46 libpamc.so.0.72*
-rwxr-xr-x 1 root root 176427 Jun 3 13:46 libreadline.so.4.0*
-rwxr-xr-x 1 root root 44729 Jun 3 13:46 libutil.so.1*
-rwxr-xr-x 1 root root 70254 Jun 3 13:46 libz.a*
lrwxrwxrwx 1 root root 13 Jun 4 12:13 libz.so -> libz.so.1.1.3*
lrwxrwxrwx 1 root root 13 Jun 4 12:13 libz.so.1 -> libz.so.1.1.3*
-rwxr-xr-x 1 root root 63312 Jun 3 13:46 libz.so.1.1.3*
drwxr-xr-x 2 root root 4096 Jun 4 12:00 security/
./lib/security:
total 668
drwxr-xr-x 2 root root 4096 Jun 4 12:00 ./
drwxr-xr-x 3 root root 4096 Jun 4 12:13 ../
-rwxr-xr-x 1 root root 10067 Jun 3 13:46 pam_access.so*
-rwxr-xr-x 1 root root 8300 Jun 3 13:46 pam_chroot.so*
-rwxr-xr-x 1 root root 14397 Jun 3 13:46 pam_cracklib.so*
-rwxr-xr-x 1 root root 5082 Jun 3 13:46 pam_deny.so*
-rwxr-xr-x 1 root root 13153 Jun 3 13:46 pam_env.so*
-rwxr-xr-x 1 root root 13371 Jun 3 13:46 pam_filter.so*
-rwxr-xr-x 1 root root 7957 Jun 3 13:46 pam_ftp.so*
-rwxr-xr-x 1 root root 12771 Jun 3 13:46 pam_group.so*
-rwxr-xr-x 1 root root 10174 Jun 3 13:46 pam_issue.so*
-rwxr-xr-x 1 root root 9774 Jun 3 13:46 pam_lastlog.so*
-rwxr-xr-x 1 root root 13591 Jun 3 13:46 pam_limits.so*
-rwxr-xr-x 1 root root 11268 Jun 3 13:46 pam_listfile.so*
-rwxr-xr-x 1 root root 11182 Jun 3 13:46 pam_mail.so*
-rwxr-xr-x 1 root root 5923 Jun 3 13:46 pam_nologin.so*
-rwxr-xr-x 1 root root 5460 Jun 3 13:46 pam_permit.so*
-rwxr-xr-x 1 root root 18226 Jun 3 13:46 pam_pwcheck.so*
-rwxr-xr-x 1 root root 12590 Jun 3 13:46 pam_rhosts_auth.so*
-rwxr-xr-x 1 root root 5551 Jun 3 13:46 pam_rootok.so*
-rwxr-xr-x 1 root root 7239 Jun 3 13:46 pam_securetty.so*
-rwxr-xr-x 1 root root 6551 Jun 3 13:46 pam_shells.so*
-rwxr-xr-x 1 root root 55925 Jun 4 12:00 pam_smb_auth.so*
-rwxr-xr-x 1 root root 12678 Jun 3 13:46 pam_stress.so*
-rwxr-xr-x 1 root root 11170 Jun 3 13:46 pam_tally.so*
-rwxr-xr-x 1 root root 11124 Jun 3 13:46 pam_time.so*
-rwxr-xr-x 1 root root 45703 Jun 3 13:46 pam_unix.so*
-rwxr-xr-x 1 root root 45703 Jun 3 13:46 pam_unix2.so*
-rwxr-xr-x 1 root root 45386 Jun 3 13:46 pam_unix_acct.so*
-rwxr-xr-x 1 root root 45386 Jun 3 13:46 pam_unix_auth.so*
-rwxr-xr-x 1 root root 45386 Jun 3 13:46 pam_unix_passwd.so*
-rwxr-xr-x 1 root root 45386 Jun 3 13:46 pam_unix_session.so*
-rwxr-xr-x 1 root root 9726 Jun 3 13:46 pam_userdb.so*
-rwxr-xr-x 1 root root 6424 Jun 3 13:46 pam_warn.so*
-rwxr-xr-x 1 root root 7460 Jun 3 13:46 pam_wheel.so*
./sbin:
total 3132
drwxr-xr-x 2 root root 4096 Jun 4 12:35 ./
drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../
-rwxr-xr-x 1 root root 178256 Jun 3 13:46 choptest*
-rwxr-xr-x 1 root root 184032 Jun 3 13:46 cqtest*
-rwxr-xr-x 1 root root 81096 Jun 3 13:46 dialtest*
-rwxr-xr-x 1 root root 1142128 Jun 4 11:28 ldconfig*
-rwxr-xr-x 1 root root 2868 Jun 3 13:46 lockname*
-rwxr-xr-x 1 root root 3340 Jun 3 13:46 ondelay*
-rwxr-xr-x 1 root root 376796 Jun 3 13:46 pagesend*
-rwxr-xr-x 1 root root 13950 Jun 3 13:46 probemodem*
-rwxr-xr-x 1 root root 9234 Jun 3 13:46 recvstats*
-rwxr-xr-x 1 root root 64480 Jun 3 13:46 sftp-server*
-rwxr-xr-x 1 root root 744412 Jun 3 13:46 sshd*
-rwxr-xr-x 1 root root 30750 Jun 4 11:46 su*
-rwxr-xr-x 1 root root 194632 Jun 3 13:46 tagtest*
-rwxr-xr-x 1 root root 69892 Jun 3 13:46 tsitest*
-rwxr-xr-x 1 root root 43792 Jun 3 13:46 typetest*
./tmp:
total 8
drwxr-xr-x 2 root root 4096 Jun 4 12:32 ./
drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../
./usr:
total 8
drwxr-xr-x 2 root root 4096 Jun 4 12:16 ./
drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../
lrwxrwxrwx 1 root root 7 Jun 4 12:14 bin -> ../bin//
lrwxrwxrwx 1 root root 7 Jun 4 11:33 lib -> ../lib//
lrwxrwxrwx 1 root root 8 Jun 4 12:13 sbin -> ../sbin//
</example></p></sect></appendix>



<appendix id="chroot-apache-env"><heading>Ambiente <prgn>Chroot</prgn>
                                 per <prgn>Apache</prgn></heading>


<sect><heading>Introduzione</heading>

<p>
L'utilit <prgn>chroot</prgn>  usata spesso per imprigionare un
demone in un settore
sottoposto a limitazioni, per isolare reciprocamente dei servizi, in modo
che problemi di sicurezza in un pacchetto software non mettano in pericolo
l'intero server. Usando lo script <prgn>makejail</prgn>, impostare ed
aggiornare la zona sottoposta a chroot  pi facile.</p>


<sect1><heading>Licenza</heading>

<p>
Questo documento  sottoposto a diritto d'autore di Alexandre Ratti,
 stato rilasciato sotto la GNU-FDL 1.2 (GNU Free Documentation
Licence - Licenza sulla libera documentazione GNU) ed  incluso
in questo manuale per espresso consenso.
(per il <url id="http://www.gabuzomeu.net/alex/doc/apache/index-en.html"
name="il documento originale">)
</p>

</sect1>
</sect>

<sect><heading>Installare il server</heading>

<p>
Questa procedura  stata provata su Debian GNU/Linux&nbsp;3.0 (Woody) con
<prgn>makejail</prgn> 0.0.4-1 (in Debian/testing).

<list>

<item><p>Autenticatevi come <prgn>root</prgn> e creare una nuova
         cartella-gabbia:

<example>
$ mkdir -p /var/chroot/apache
</example></p>

 </item>

<item>
<p>Create un nuovo utente ed un nuovo gruppo. Il server Apache sottoposto a
"chroot" sar attivo in qualit di nuovo utente/gruppo, usato, nel sistema,
solo a questo fine. In questo esempio, entrambi sono chiamati 
<prgn>chrapach</prgn>.


 <example> 
 $ adduser --home /var/chroot/apache --shell /bin/false \
 --no-create-home --system --group chrapach
 </example></p>

<p>FIXME: Occorre un nuovo utente? (Apache  gi attivo come utente Apache).</p>

  </item>

<item>
<p>Installate Apache come d'uso, su Debian: <tt>apt-get install apache</tt>.</p></item>
<item>
<p>Impostare Apache (definire i propri sottodomini, ecc.) e, nel file di
configurazione <file>/etc/apache/httpd.conf</file>, impostare 
<em>Group</em> e <em>User</em> come <tt>chrapach</tt>. 
Riavviate Apache ed assicuratevi che funzioni correttamente.
A questo punto, fermate il demone Apache.</p></item>
<item>
<p>Installate <prgn>makejail</prgn> (disponibile, per ora, in
Debian/testing) e anche <prgn>wget</prgn> e <prgn>lynx</prgn>, 
giacch sono usati da <prgn>makejail</prgn> per provare il server
sottoposto a "chroot": <tt>apt-get install makejail wget lynx</tt>.</p></item>
<item><p>Copiate il file della configurazione esemplificativa per Apache nella
cartella <file>/etc/makejail</file>:

 <example> 
 # cp/usr/share/doc/makejail/examples/apache.py /etc/makejail/ 
 </example></p>

</item>
 
<item><p>Modificate <file>/etc/makejail/apache.py</file>, cambiando le opzioni
di <em>chroot</em>, <em>users</em> e <em>groups</em>. Per eseguire 
questa versione di <prgn>makejail</prgn>, potete aggiungere anche 
l'opzione <prgn>packages</prgn>. Vedete in <url id="http://www.floc.net/makejail/current/doc/" name="makejail
documentation">. Ecco un esempio:

<example>
chroot=&quot;/var/chroot/apache&quot;
testCommandsInsideJail=[&quot;/usr/sbin/apachectl start&quot;]
processNames=[&quot;apache&quot;]
testCommandsOutsideJail=[&quot;wget -r --spider http://localhost/&quot;,
                         &quot;lynx --source https://localhost/&quot;]
preserve=[&quot;/var/www&quot;,
          &quot;/var/log/apache&quot;,
          &quot;/dev/log&quot;]
users=[&quot;chrapach&quot;]
groups=[&quot;chrapach&quot;]
packages=[&quot;apache&quot;, &quot;apache-common&quot;]
userFiles=[&quot;/etc/password&quot;,
           &quot;/etc/shadow&quot;]
groupFiles=[&quot;/etc/group&quot;,
            &quot;/etc/gshadow&quot;]
forceCopy=[&quot;/etc/hosts&quot;,
           &quot;/etc/mime.types&quot;]
</example></p>

<p>
<em>FIXME:</em> pare che alcune opzioni non funzionino correttamente.
Per esempio, <file>/etc/shadow</file> e <file>/etc/gshadow</file>
non sono copiate, mentre <file>/etc/password</file> e
<file>/etc/group</file> sono state copiate completamente, invece 
di essere filtrate.</p>

 </item>
 
<item><p>Create il sottoalbero sottoposto a chroot: 
<tt>makejail /etc/makejail/apache.py</tt></p></item>
<item><p>Qualora <file>/etc/password</file> ed <file>/etc/group</file> 
siano stati copiati completamente, per sostituirli con copie filtrate,
digitate:

      <example>
      $ grep chrapach /etc/passwd &gt; /var/chroot/apache/etc/passwd
      $ grep chrapach /etc/group &gt; /var/chroot/apache/etc/group
      </example></p>

<p>
Copiate le pagine del sito web e i file di log nella "gabbia"; quei file
non vengono copiati completamente (vedete l'opzione <em>preserve</em>
nel file di configurazione di <prgn>makejail</prgn>).

      <example>
      # cp -Rp /var/www /var/chroot/apache/var
      # cp -Rp /var/log/apache/*.log /var/chroot/apache/var/log/apache
      </example></p>
  </item>

<item>
<p>Modificate lo script di avvio per il demone incaricato della registrazione
dei log di sistema, in modo che ascolti anche 
<file>/var/chroot/apache/dev/log</file>.
In <file>/etc/init.d/sysklogd</file>, sostituite <tt>SYSLOGD=&quot;&quot;</tt>
con <tt>SYSLOGD=&quot; -a /var/chroot/apache/dev/log&quot;</tt> e 
riavviate il demone con il comando <tt>/etc/init.d/sysklogd restart</tt>.</p></item>

<item>
<p>Modificate lo script di avvio di Apache (<file>/etc/init.d/apache</file>), 
per il cui corretto funzionamento potrebbero occorrere alcuni 
cambiamenti, come:

    <list>
      <item><p>Impostare una nuova variabile <em>CHRDIR</em> all'inizio del file;</p></item>
      <item><p>Modificare le sezioni <em>start</em>, 
            <em>stop</em>, <em>reload</em>, etc.</p></item>
      <item><p>Aggiungere una linea per montare e smontare il 
            filesystem <file>/proc</file> all'interno della "gabbia".</p></item>

    </list>
<example>
#! /bin/bash
#
# apache	Start the apache HTTP server.
#

CHRDIR=/var/chroot/apache

NAME=apache
PATH=/bin:/usr/bin:/sbin:/usr/sbin
DAEMON=/usr/sbin/apache
SUEXEC=/usr/lib/apache/suexec
PIDFILE=/var/run/$NAME.pid
CONF=/etc/apache/httpd.conf
APACHECTL=/usr/sbin/apachectl 

trap "" 1
export LANG=C
export PATH

test -f $DAEMON || exit 0
test -f $APACHECTL || exit 0

# ensure we don't leak environment vars into apachectl
APACHECTL="env -i LANG=${LANG} PATH=${PATH} $APACHECTL"

if egrep -q -i "^[[:space:]]*ServerType[[:space:]]+inet" $CONF
then
    exit 0
fi

case "$1" in
  start)
    echo -n "Starting web server: $NAME"
    mount -t proc proc /var/chroot/apache/proc
    start-stop-daemon --start --pidfile $PIDFILE --exec $DAEMON \
	--chroot $CHRDIR
    ;;

  stop)
    echo -n "Stopping web server: $NAME"
    start-stop-daemon --stop --pidfile "$CHRDIR/$PIDFILE" --oknodo
    umount /var/chroot/apache/proc
    ;;

  reload)
    echo -n "Reloading $NAME configuration"
    start-stop-daemon --stop --pidfile "$CHRDIR/$PIDFILE" \
	--signal USR1 --startas $DAEMON --chroot $CHRDIR
    ;;

  reload-modules)
    echo -n "Reloading $NAME modules"
    start-stop-daemon --stop --pidfile "$CHRDIR/$PIDFILE" --oknodo \
	--retry 30
    start-stop-daemon --start --pidfile $PIDFILE \
	--exec $DAEMON --chroot $CHRDIR
    ;;

  restart)
    $0 reload-modules
    exit $?
    ;;

  force-reload)
    $0 reload-modules
    exit $?
    ;;

  *)
    echo "Usage: /etc/init.d/$NAME {start|stop|reload|reload-modules|force-reload|restart}"
    exit 1
    ;;
esac

if [ $? == 0 ]; then
	echo .
	exit 0
else
	echo failed
	exit 1
fi
</example></p>

<p>
<em>FIXME</em>: Il primo processo di Apache
dovrebbe essere lanciato da un utente
diverso da root( ossia add --chuid chrapach:chrapach)? 
Cons: chrapach non avr bisogno di accesso in scrittura ai log.</p>

  </item>

<item>
<p>In <file>/etc/logrotate.d/apache</file> sostituite
<tt>/var/log/apache/*.log</tt> con 
<tt>/var/chroot/apache/var/log/apache/*.log</tt></p></item>
<item>
<p>Lanciate Apache (<prgn>/etc/init.d/apache start</prgn>) e
controllare cosa viene riportato nel jail log 
(<file>/var/chroot/apache/var/log/apache/error.log</file>). Se
il vostro setup fosse pi complesso, (ossia usate anche PHP e MySQL),
probabilmente mancheranno dei file. Se alcuni file non vengono copiati
automaticamente da <prgn>makejail</prgn>, potete elencarli nell'opzione 
<em>forceCopy</em> (per copiarli direttamente) o <em>packages</em> 
(per copiare interi pacchetti con le loro dipendenze) nel file di 
configurazione <file>/etc/makejail/apache.py</file>.</p></item>
<item>
<p>Scrivete <tt>ps aux | grep apache</tt> per assicurarvi che Apache stia girando.
Dovreste vedere qualcosa tipo:

      <example>
      root 180 0.0 1.1 2936 1436 ? S 04:03 0:00 /usr/sbin/apache
      chrapach 189 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache
      chrapach 190 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache
      chrapach 191 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache
      chrapach 192 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache
      chrapach 193 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache
      </example></p>
  </item>

<item>
<p>Assicuratevi che i processi di Apache stiano girando chrooted guardando nel
filesystem <file>/proc</file>: 
<tt>ls -la /proc/<em>process_number</em>/root/.</tt> dove 
<em>process</em>  uno dei PID elencati sopra (seconda colonna; 
189 per esempio). Dovrebbero esserci elencate le direcory di un tree 
ristretto: 

   <example>
    drwxr-sr-x 10 root staff 240 Dec 2 16:06 .
    drwxrwsr-x 4 root staff 72 Dec 2 08:07 ..
    drwxr-xr-x 2 root root 144 Dec 2 16:05 bin
    drwxr-xr-x 2 root root 120 Dec 3 04:03 dev
    drwxr-xr-x 5 root root 408 Dec 3 04:03 etc
    drwxr-xr-x 2 root root 800 Dec 2 16:06 lib
    dr-xr-xr-x 43 root root 0 Dec 3 05:03 proc
    drwxr-xr-x 2 root root 48 Dec 2 16:06 sbin
    drwxr-xr-x 6 root root 144 Dec 2 16:04 usr
    drwxr-xr-x 7 root root 168 Dec 2 16:06 var
    </example></p>
<p>
Per automatizzare questo test, potete scrivere: 
<tt>ls -la /proc/`cat /var/chroot/apache/var/run/apache.pid`/root/.</tt>.</p>
<p>
<em>FIXME</em>: Aggiungere altri test da far girare per assicurarsi che 
la gabbia sia chiusa?</p>

	</item>
</list></p>

<p>
Il motivo per cui mi piace  perch impostare la gabbia non  poi cos
difficile ed il server pu essere aggiornato con due sole righe:

<example> 
apt-get update &amp;&amp; apt-get install apache
makejail /etc/makejail/apache.py
</example></p>

</sect>




<sect><heading>Vedete anche</heading>

<p>
Se cercate maggiori informazioni potete provare anche queste fonti:

<list>

<item>
<p><url id="http://www.floc.net/makejail/" name="makejail homepage">, 
questo programma  stato scritto da Alan Tesio)

<!-- Not appropiate for this section 


  <item><a href="http://www.easter-eggs.org/article242.html">Bind9 chroot&eacute; 
    con <prgn>makejail</prgn></a>, Pascal Brugier, easter-eggs.org, 21/03/2002</item>
--></p></item>

<item>
<p><url id="http://www.networkdweebs.com/chroot.html" name="Chrooting daemons and system processes"> di Jonathan, Network
Dweebs, 21/10/2002</p></item>
<item>
<p><url id="http://www.digitaltoad.net/docs/guide/secure_rh/chap29sec254.html" name="Apache in una gabbia chroot"> in 
<em>Securing and Optimizing Linux (Rendere sicuro ed ottimizzare Linux</em> 
scritto da Gerhard Mourani, 2000</p></item>

</list></p>
</sect>
</appendix>




<appendix id="traduzione"><heading>Traduzione</heading>
<p>

Il coordinamento della traduzione  stato effettuato da
Ferdinando Ferranti <email>zappagalattica@inwind.it</email>, hanno
tradotto e revisionato il documento: 
CarloS <email>enne.enne@tiscalinet.it</email>,
Stefano Canepa <email>sc@linux.it</email>,
Morpheus <email>matrixhasu@libero.it</email>,
Spooky,
Leonardo Canducci <email>lcanducci@libero.it</email>,
Alessandro Melillo <email>alemelo@fastmail.fm</email>, 
Davide Alessio <email>dalessio@softhome.net</email>,
Luigi Bonanno <email>hsaybo@tin.it</email>,
Gavrila <email>gavrilus@tiscalinet.it</email>,
Giacinto Lorusso <email>giacintolorusso@yahoo.it</email>,
Giuseppe Palmieri <email>gpalm@iol.it</email>,
Riccardo Corso <email>rixx@inwind.it</email>,
Stefano Mioli <email>stevie@e4a.it</email>,
Pengz  <email>pengol[at]inwind.it</email>,
Fabio Rapposelli <email>frapposelli@hi-net.it</email>.</p>

</appendix>