<chapt><heading>Irrobustimento automatico di un sistema Debian</heading>



<p>
Dopo aver letto tutte le informazioni dei capitoli precedenti
potreste chiedervi "Devo fare molte cose per rendere sicuro il mio
sistema, non potrebbero essere automatizzate?". La risposta  si, ma
fate attenzione agli strumenti automatizzati. Alcune persone
credono che uno strumento di irrobustimento non elimini il bisogno di
una buona amministrazione. Perci non pensate stupidamente che si
possa automatizzare l'intero processo e risolvere i problemi
correlati. La sicurezza  un processo continuo al quale
l'amministratore deve partecipare e al quale non pu solo assistere e
lasciare che gli strumenti svolgano il loro lavoro. 
Non esiste un solo strumento che possa risolvere problemi per 
tutte le possibili implementazioni delle politiche di sicurezza, 
tutti i tipi di attacchi e tutti gli ambienti.</p>

<p>
Dall'uscita di woody (Debian 3.0) esistono due pacchetti specifici che
sono utili per aumentarne la sicurezza. Il pacchetto
<package>harden</package> che
utilizza un approccio basato sulle dipendenze dei pacchetti per
installare rapidamente i pacchetti relativi alla sicurezza certa e rimuovere
quelli con dei problemi, la configurazione dei pacchetti deve essere
fatta dall'amministratore. Il pacchetto <package>bastille</package> 
che implementa una data politica di sicurezza su un sistema locale,
basata su una precedente configurazione fatta dall'amministratore 
(la configurazione pu essere effettuata rispondendo con s od un 
no a delle semplici domande).</p>


<sect><heading>Harden</heading>

<p>
Il pacchetto <package>harden</package> tenta di rendere pi semplice 
l'installazione e l'amministrazione degli host che necessitano di una 
buona sicurezza.
Questo pacchetto dovrebbe essere usato da persone che desiderano un
piccolo aiuto per aumentare la sicurezza del sistema. Per fare
questo entra in conflitto con i pacchetti che hanno problemi, includendo
(ma non limitandosi solamente a questo): buchi di sicurezza noti (come buffer
overflow), uso di password in chiaro, mancanza di controllo
d'accesso, etc. Installa anche automaticamente alcuni tool che possono
fornire una sicurezza maggiore in qualche modo: strumenti per il
rilevamento delle intrusioni, strumenti di analisi della sicurezza,
etc. Harden installa i seguenti pacchetti <em>virtuali</em> (cio non 
hanno contenuto, ma solo dipendenze su altri):

<list>

<item>
<p><package>harden-tools</package>: strumenti che aumentano la 
sicurezza del sistema (controllo d'integrit, rilevamento delle 
intrusioni, patch al kernel...)</p></item>
<item>
<p><package>harden-doc</package>: fornisce questo manuale e altri pacchetti di
documentazione relativi alla sicurezza.</p></item>
<item>
<p><package>harden-environment</package>: aiuta a configurare un ambiente 
pi robusto (al momento vuoto).</p></item>
<item>
<p><package>harden-servers</package>: rimuove i server considerati insicuri 
per qualche ragione.</p></item>
<item>
<p><package>harden-clients</package>: rimuove i client considerati insicuri
per qualche ragione.</p></item>
<item>
<p><package>harden-remoteflaws</package>: rimuove i pacchetti con 
buchi di sicurezza conosciuti, che possono essere usati da un 
attaccante remoto per compromettere il sistema 
(usa <em>Conflicts:</em> sulle versioni).</p></item>
<item>
<p><package>harden-localflaws</package>: rimuove pacchetti con buchi di 
sicurezza noti che possono essere usati da un attaccante locale 
per compromettere il sistema (usa <em>Conflicts:</em> sulle versioni).</p></item>
<item>
<p><package>harden-remoteaudit</package>: strumenti per un controllo 
remoto di un sistema.</p></item>

</list></p>

<p>
Fate attenzione perch se avete software di cui avete necessit
(e che non volete disinstallare per qualche motivo) che entra in
conflitto con qualcuno dei pacchetti qui sopra, potreste non essere
in grado di usare pienamente <package>harden</package>.
I pacchetti di harden non  fanno nulla (direttamente). 
Ad ogni modo, hanno dei conflitti con dei
pacchetti conosciuti per la non sicurezza. In questo modo, il sistema
di packaging di Debian non approver l'installazione di questi
pacchetti. Per esempio, quando tenterete di installare un demone
telnet con <package>harden-servers</package>, <package>apt</package> dir:

<example>
# apt-get install telnetd 
The following packages will be REMOVED:
  harden-servers
The following NEW packages will be installed:
  telnetd 
Do you want to continue? [Y/n]
</example></p>

<p>
Questo dovrebbe far nascere qualche dubbio nella testa
dell'amministratore che, a questo punto, dovrebbe 
riconsiderare questa azione.</p></sect>


<sect><heading>Bastille Linux</heading>

<p>
<url id="http://www.bastille-unix.org" name="Bastille Linux"> 
 uno strumento automatico per 
migliorare la sicurezza, originariamente pensato per le distribuzioni Red Hat 
e Mandrake; ciononostante, il pacchetto <package>bastille</package>  
stato riveduto e corretto 
per offrire le identiche funzionalit anche al sistema Debian GNU/Linux (in 
cui  presente a partire dalla distribuzione woody).</p>

<p>
Bastille pu essere utilizzato con diversi frontend (sono tutti documentati 
nella rispettiva pagina man inclusa nel pacchetto Debian), ci permette 
all'amministratore di:

<list>

<item>
<p>Rispondere punto per punto a domande riguardanti il livello di sicurezza 
desiderato (mediante <manref name="InteractiveBastille" section="8">).</p></item>
<item>
<p>Scegliere una fra le tre impostazioni di sicurezza  predefinite 
(Lax, Moderate o Paranoia - Lassista, Moderata o Paranoica) e lasciare che 
Bastille adotti una linea di condotta conseguente (mediante 
<manref name="BastilleChooser" section="8">), a seconda che la macchina 
funzioni da server o da semplice postazione di lavoro.</p></item>
<item>
<p>Usufruire di un file di configurazione predefinito (fornito da Bastille o 
creato dall'amministratore) e seguire una data strategia per la sicurezza 
(mediante <manref name="AutomatedBastille" section="8">).</p></item>

</list></p></sect></chapt>