<chapt><heading>Prima e durante l'installazione</heading>

<sect id="bios-passwd"><heading>Scegliere una password per il BIOS</heading>

<p>
Prima d'installare qualsiasi sistema operativo sul vostro computer,  
preferibile inserire una password al BIOS.  Dopo l'installazione, non
appena attiverete l'avvio dall'hard disk  preferibile 
impostare la sequenza d'avvio da BIOS disabilitando l'avvio 
da floppy, da cdrom e dalle altre periferiche che non dovrebbero 
avviare il computer.  Altrimenti ad un cracker basterebbe solo avere
l'accesso fisico al computer ed un disco di boot per accedere 
al sistema.</p>

<p>
Disabilitare l'avvio se non viene inserita una password  ancora meglio.
Questo pu essere molto efficace se avete un server, visto che
non viene riavviato frequentemente.
Il  lato negativo di questa precauzione  che il riavvio della macchina 
richiede l'intervento umano e pu essere problematico se la 
macchina non  facilmente accessibile.</p>

<p>
Nota: molti BIOS hanno una master password (o password universale), 
che pu essere facilmente rinvenuta, senza contare che 
inoltre esistono delle applicazioni che sono in grado di recuperare la 
password del BIOS rapidamente.
Corollario: si deduce facilmente  che non dipende, principalmente, da 
queste precauzioni la sicurezza dell'accesso al sistema.</p></sect>




<sect><heading>Partizionare il sistema</heading>



<sect1><heading>Scegliere uno schema di partizionamento intelligente</heading>


<p>
Scegliere uno schema di partizionamento intelligente dipender da come 
sar usata la macchina.
&Egrave; buona regola creare delle partizioni sufficientemente grandi e 
prestare attenzione ai seguenti fattori:

<list>

<item>
<p>Ogni albero delle directory nel quale un'utente ha il permesso di 
scrittura come ad esempio <file>/home</file> e <file>/tmp</file>, 
deve stare  in una partizione separata.
Questo riduce il rischio di un'attacco DoS 
di riempimento del mount point "/" che pu bloccare il sistema
(Nota: questo non  rigorosamente vero, ci sono sempre degli 
spazi riservati a root nei quali gli utenti normali non hanno 
diritto di accesso e quindi non possono riempirli).</p></item>
<item>
<p>Ogni directory di dimensione variabile es. <file>/var</file> 
(specialmente <file>/var/log</file>) deve stare su una partizione 
separata. Attenzione, su un sistema Debian, si deve creare la 
directory  <file>/var</file> leggermente pi
grande di altri sistemi, perch i pacchetti scaricati (nella cache di 
apt) sono conservati in <file>/var/cache/apt/archives</file>.</p></item>
<item>
<p>Tutte le directory dove si vuole installare del software che non 
appartenga alla distribuzione deve stare in partizioni separate. 
Secondo File Hierarchy Standard (Gerarchia Standard dei File) queste
directory sono <file>/opt</file> oppure <file>/usr/local</file>. 
Se queste directory stanno su partizioni separate, non saranno 
cancellate se si reinstalla di nuovo Debian.</p></item> 
<item>
<p>Dal punto di vista della sicurezza  importante cercare di mettere i 
dati statici in partizioni proprie, montate in sola lettura. Meglio 
ancora se questi dati vengono messi su supporti di sola lettura.
Vedete pi avanti in questo capitolo per maggiori dettagli.</p></item>


</list></p>

<p>
Nel caso in cui si gestisca un mail server  importante avere una partizione 
separata per la directory spool della mail.
Gli utenti  remoti (sia consapevolmente che inconsapevolmente) possono 
riempire la directory mail spool (<file>/var/mail</file> o 
<file>/var/spool/mail</file>). Se 
la directory spool  in una partizione separata, questa eventualit
non bloccher il sistema . Altrimenti, se la directory spool  sulla 
stessa partizione di <file>/var</file>, il sistema avr  
gravi problemi quali: non 
potrete creare i file di log, non potrete installare pacchetti 
aggiuntivi e dei programmi (se usano la directory 
<file>/var/run</file>) avranno problemi a partire o saranno rallentati.</p>

<p>
Inoltre, per le partizioni per le quali non si  sicuri dello spazio che 
occorre,  preferibile installare Logical 
Volume Manager (<package>lvm-common</package>  
e i pacchetti binari per il vostro kernel, questi possono essere  
<package>lvm10</package>, <package>lvm6</package>, oppure 
<package>lvm5</package>). Usando <tt>lvm</tt> si possono creare gruppi 
di volumi che possono occupare pi volumi fisici multipli.</p>



<sect2><heading>Selezionare il file system appropriato</heading>


<p>
Durante il partizionamento del sistema si deve anche decidere
quale file system usare. L'installazione di Debian prevede, come 
file system predefinito per le partizioni Linux l'<tt>ext2</tt>.
Tuttavia, nei seguenti
casi, si raccomanda di passare ad un file system journalling,
come <tt>ext3</tt>, <tt>reiserfs</tt>, <tt>jfs</tt> o <tt>xfs</tt>, 
per ridurre al minimo i problemi derivanti da un crash di sistema
nei seguenti casi:



<list>

<item>
<p>Per i computer portatili, in tutti i file system installati.
In questo modo se le  batterie si esaurissero inaspettatamente o se il
sistema si bloccasse per una questione relativa all'hardware (come nel caso 
della configurazione di X, che  piuttosto comune) la perdita di dati
durante un riavvio hardware sarebbe meno probabile.</p></item>
<item>
<p>Per i sistemi di produzione che registrano grandi quantit di
dati, come i server di posta, i server ftp, i file system di rete ecc.,
si raccomanda un file system journalling sulle partizioni interessate. 
In questo modo, in caso di
crash del sistema, il server impiegher meno tempo a riavviarsi
e controllare i file system e la perdita di dati sar meno probabile.</p></item>

</list></p>

<p>
Lasciando da parte le discussioni sulle prestazioni dei file
system journalling (visto che talvolta possono trasformarsi in una
guerre di religione),  generalmente meglio usare il file system
<tt>ext3</tt>. 
Il motivo  che questo  compatibile all'indietro con <tt>ext2</tt>,
cos se si dovessero presentare problemi con il journalling, 
possibile disabilitarlo e avere comunque un file system funzionante.
Inoltre, in caso si debba ripristinare il sistema con un dischetto di
avvio (o CDROM) non serve un kernel modificato. Se il kernel  un 2.4 il
supporto per <tt>ext3</tt>  gi disponibile, se il kernel  un 2.2, pur
perdendo le caratteristiche del journalling saretein grado di
avviare il file system. Nel caso stiate usando altri file system
journalling potreste non essere in grado di ripristinare, a
meno di non avere un kernel 2.4 con i moduli necessari compilati. Se avete
un dischetto di salvataggio con kernel 2.2 potrebbe essere ancora pi 
difficile accedere a <tt>reiserfs</tt> o <tt>xfs</tt>.</p>

<p>
In ogni caso, l'integritdei dati potrebbe essere meglio
garantita da <tt>ext3</tt> visto che esegue un file-data journalling mentre gli
altri eseguono soltanto il meta-data journalling, vedete in
<url id="http://lwn.net/2001/0802/a/ext3-modes.php3">.</p></sect2></sect1></sect>



<sect><heading>Non collegarsi ad Internet finch non si  pronti</heading>


<p>
Il sistema non dovrebbe essere immediatamente connesso ad
internet durante l'installazione. Questo potrebbe suonare sciocco, ma
l'installazione di rete  un metodo comune. Poich il sistema,
installandosi, attiva immediatamente dei servizi, se  connesso ad
Internet e i servizi non sono opportunamente configurati, 
saresposto a possibili attacchi.</p>

<p>
Si noti inoltre che alcuni servizi potrebbero avere problemi di
sicurezza non ancora corretti nei pacchetti usati per l'installazione.
Questo accade di solito quando si esegue l'installazione con media
vecchi (come i CD-ROM). In questo caso, il sistema potrebbe addirittura
essere compromesso prima che si finisca l'installazione!</p>

<p>
Poich l'installazione e l'aggiornamento di Debian possono essere
effettuati via Internet, si potrebbe pensare che usare questa
caratteristica sia una buona idea. Se il sistema sardirettamente
connesso a Internet (e non sarprotetto da firewall o NAT), 
preferibile installare senza essere connessi a Internet, usando un
mirror locale dei pacchetti sia per i sorgenti dei pacchetti
Debian sia per gli aggiornamenti di sicurezza. Un mirror dei
pacchetti per fornire gli archivi al sistema pu essere preparato
usando un altro sistema connesso ad Internet con strumenti Debian specifici 
(se  un sistema Debian) come <package>apt-move</package> 
o <package>apt-proxy</package>, o
altri comuni strumenti per il mirroring. Se non  possibile fare
questo, potete attivare regole per il firewall che limitino
l'accesso al sistema durante l'aggiornamento
(vedete in <ref id="fw-security-update">).</p></sect>


<sect><heading>Assegnare una password a root</heading>


<p>
Assegnare una buona password a root  il primo requisito
fondamentale per avere un sistema sicuro. Vedete  
<manref name="passwd" section="1"> per alcuni
suggerimenti su come creare una buona password. A questo scopo si
pu anche usare un programma per la generazione automatica di password
(vedete in <ref id="user-pwgen">).</p>

<p>FIXME: Aggiungere riferimenti a risorse su buone
password.</p></sect>




<sect><heading>Attivare shadow password e MD5 password</heading>



<p>
Alla fine dell'installazione verr chiesto se abilitare le shadow password.
Rispondere di s alla domanda e le password saranno conservate in 
<file>/etc/shadow</file>.
Solo l'utente root e il gruppo shadow possono accedere in lettura 
a questo file,
cos che nessun altro possa prendere una copia di questo file e poter lanciare 
un password cracker. Potete decidere di scegliere tra password shadow e 
password normali in qualsiasi momento usando <tt>shadowconfig</tt>.</p>

<p>
Per saperne di pi sulle password shadow vedete il documento
<url id="http://www.tldp.org/HOWTO/Shadow-Password-HOWTO.html" name="Shadow Password">
(<file>/usr/share/doc/HOWTO/en-txt/Shadow-Password.txt.gz</file>).</p>

<p>
Inoltre verr chiesto durante l'installazione se volete utilizzare le password
MD5. Di solito  una buona idea perch permette di usare password pi lunghe 
di 8 caratteri e ha una migliore cifratura.  
Se usato correttamente, pu rendere difficile trovare password 
di sistema con un attacco a forza bruta.
Le password MD5 sono l'opzione predefinita quando si installa il pacchetto 
<package>password</package> pi recente. &Egrave; possibile modificarle in 
qualsiasi momento con <prgn>dpkg-reconfigure -plow passwd</prgn>.
Potete riconoscere le password md5 nel file 
<file>/etc/shadow</file> dal prefisso $1$.</p>

<p>
Di conseguenza, vengono modificati tutti i file in <file>/etc/pam.d</file> 
sostituendo la linea delle password ed includendo md5:

<example>
      password required pam_unix.so md5 nullok obscure min=6 max=16
</example></p>

<p>
Se <tt>max</tt> non  impostato oltre 8 la modifica non avr 
alcuna utilit. Per maggiori informazioni leggete <ref id="auth-pam">.</p>


<p>
Note: la configurazione predefinita in Debian, anche attivando 
le password MD5, non modifica la precedente impostazione del 
valore <tt>max</tt>.</p></sect>



<sect><heading>Lanciare i servizi strettamente necessari</heading>



<p>
I servizi sono programmi come i server ftp e i server web. Poich restano 
<em>in attesa</em> di connessioni in ingresso che richiedono 
il servizio, i computer all'esterno possono collegarvisi. 
A volte i servizi sono vulnerabili (es: possono essere compromessi da un 
determinato attacco) e possono rappresentare un rischio per la sicurezza.</p>

<p>
Non dovreste installare servizi che non sono necessari sulla 
vostra macchina. Ogni servizio installato pu introdurre nuovi, 
magari non evidenti (o conosciuti) buchi di sicurezza sul vostro computer.</p>

<p>
Come forse gi saprete, quando si installa un determinato servizio, l'opzione 
predefinita  che sia attivo. In un'installazione Debian predefinita, senza 
servizi installati, l'insieme dei servizi attivi  piuttosto basso 
e questo  ancora pi vero per quanto riguarda i servizi di rete. 
L'insieme dei servizi attivi in
Debian 2.1 non era rigido come in Debian 2.2 (alcuni servizi 
<prgn>inetd</prgn> erano
attivati di default) e in Debian 2.2 l'rpc portmapper  attivato sin
dall'installazione. Rpc  installato di default perch  necessario per molti
servizi, ad esempio per usare NFS. Pu comunque essere facilmente
rimosso, consultate <ref id="disableserv"> per sapere come disabilitarlo.</p>

<p>
Quando installate un nuovo servizio di rete (demone) in 
Debian GNU/Linux pu essere attivato in 2 modi: per mezzo 
del superdemone <prgn>inetd</prgn> (una linea sar
aggiunta a <file>/etc/inetd.conf</file>) o per mezzo di 
un programma standalone che si collega all'interfaccia di 
rete. I programmi standalone sono controllati tramite i 
file <file>/etc/init.d</file>, che sono chiamati 
al momento del boot dal meccanismo SysV (o uno alternativo) 
usando un link simbolico in <file>/etc/rc?.d/*</file> 
(per maggiori informazioni su come farlo leggete
<file>/usr/share/doc/sysvinit/README.runlevels.gz</file>).</p>

<p>
Se volete manteneree alcuni servizi ma usarli raramente, utilizzate i comandi
di aggiornamento come per es: <prgn>update-inetd</prgn> e <prgn>update-rc.d</prgn> per 
rimuoverli dal processo di avvio.</p>



<sect1 id="disableserv"><heading>Disabilitare i servizi attivi in modalit demone</heading>




<p>
Disabilitare i servizi in modalit demone  piuttosto semplice. Ci sono diversi
metodi:


<list>

<item>
<p>Rimuovere i link da <file>/etc/rc${runlevel}.d/</file> o rinominare i
link (in modo che non comincino con "S").</p></item>
<item>
<p>Rinominare il file contenente lo script. (per esempio da
<file>/etc/init.d/_service_name_</file> a 
<file>/etc/init.d/OFF._service_name_</file>).</p></item>
<item>
<p>Togliere il permesso di esecuzione al file
<file>/etc/init.d/_service_name_</file>.</p></item>
<item>
<p>Modificare lo script <file>/etc/init.d/_service_name_</file> in modo 
che si interrompa immediatamente.</p></item>

</list></p>

<p>
Potete rimuovere i link da <file>/etc/rc${runlevel}.d/</file> manualmente
o usando <tt>update-rc.d</tt> (vedete <manref name="update-rc.d" section="8">). Per esempio potete disabilitare un servizio nei runlevel 
multiutente con:

<example>
  update-rc.d stop XX 2 3 4 5 .
</example></p>

<p>
Bisogna notare che se <em>non</em> stiamo utilizzando 
<package>file-rc</package>,
<tt>update-rc.d -f _service_ remove</tt> non funzioner correttamente,
perch <em>tutti</em> i link vengono rimossi ma dopo una reinstallazione 
o un upgrade del pacchetto i link vengono ricreati (probabilmente
non  quello che si desidera). Chi pensa che questo comportamento
non sia intuitivo non ha torto (vedete il 
<url id="http://bugs.debian.org/67095" name="Bug 67095">). 
Dalla manpage:

<example>
  Se  esistono   gi  dei  file   /etc/rcrunlevel.d/[SK]??nome  allora
  update-rc.d non fa nulla. In questo modo l'amministratore di sistema
  pu risistemare i link, sempre  che abbiate lasciato almeno un link,
  senza dover sovrascrivere la loro configurazione.
</example></p>

<p>
Se si usa <package>file-rc</package> tutte le informazioni che riguardano 
l'avvio
dei servizi sono gestite da un file di configurazione comune e sono
conservate anche se i pacchetti vengono disinstallati dal sistema.</p>

<p>
&Egrave; possibile usare la TUI (Text User Interface, cio interfaccia
utente in modalit testuale) fornita da <package>rcconf</package> 
per apportare queste modifiche facilmente (<package>rcconf</package> 
funziona sia per <package>file-rc</package> 
che per i normali runlevel System V).</p>

<p>
Altri metodi (non raccomandati) per disabilitare i servizi sono:
<tt>chmod 644 /etc/init.d/daemon</tt> (ma cos si ottiene un messaggio di
errore al boot) oppure modificare lo script <file>/etc/init.d/daemon</file>
(aggiungendo una linea con <prgn>exit 0</prgn> all'inizio o commentando la
parte <tt>start-stop-daemon</tt> nello script). Dal momento che i file 
contenuti in <file>init.d</file> sono file di configurazione, non vengono
sovrascritti durante gli upgrade.</p>

<p>
Sfortunatamente, al contrario di altri sistemi operativi (UNIX), 
in Debian i servizi non possono essere disabilitati modificando i
file in <file>/etc/default/_servicename_</file>.</p>

<p>
FIXME: Aggiungere informazioni su come gestire i demoni con
file-rc.</p></sect1>




<sect1 id="inetd"><heading>Disabilitare i servizi gestiti da <prgn>inetd</prgn></heading>



<p>
Sarebbe bene arrestare tutti servizi non necessari nel proprio
sistema, come <prgn>echo, chargen, discard, daytime, time, talk, ntalk</prgn>
e gli r-services (<prgn>rsh, rlogin</prgn> e <prgn>rcp</prgn>) 
che sono considerati MOLTO insicuri (meglio usare <prgn>ssh</prgn> al loro 
posto). Dopo aver disabilitato questi servizi  bene controllare se davvero 
necessario il demone <prgn>inetd</prgn>. Molta gente preferisce usare dei
demoni piuttosto che lanciare i servizi attraverso <prgn>inetd</prgn>.
Attraverso <prgn>inetd</prgn> esiste la possibilit di subire attacchi del 
tipo Denial of Service, che aumentano enormemente il carico di 
lavoro della macchina. Se si vogliono comunque utilizzare dei servizi
gestiti tramite <prgn>inetd</prgn> meglio passare ad un demone inet pi 
configurabile, come <prgn>xinetd</prgn> o <prgn>rlinetd</prgn>.</p>

<p>
Potete disabilitare dei servizi modificando direttamente
<file>/etc/inetd.conf</file>, ma Debian fornisce un'alternativa migliore:
<tt>update-inetd</tt> (che commenta i servizi in modo che possano essere
facilmente riattivati). Potete rimuovere il demone <prgn>telnet</prgn>
eseguendo questo comando per cambiare il file di configurazione e
riavviando il demone (in questo caso il servizio <prgn>telnet</prgn> viene
disabilitato):

<example>
  /usr/sbin/update-inetd --disable telnet
</example>
<!-- # /etc/init.d/inetd restart Not needed since the manpage says update-inetd
sends a SIGHUP, commented out as suggested by Dariusz Puchalak --></p>

<p>
Se davvero desiderate servizi in ascolto, ma non volete che stiano
in ascolto su tutti gli indirizzi IP del vostro host, probabilmente
vorrete utilizzare una funzione non documentata di <prgn>inetd</prgn>.
O usare un demone <prgn>inetd</prgn> alternativo, come 
<prgn>xinetd</prgn>.</p></sect1></sect> 
     



<sect><heading>Installare il software strettamente necessario</heading>




<p>
Debian include <em>molto software</em>, per esempio Debian 3.0 <em>woody</em> 
include quasi 6 CD-ROM di software e migliaia di pacchetti. 
Con cos tanto software, anche se l'installazione del sistema base  
ridotta 

<footnote>
<p>Per esempio, in Debian woody si aggira attorno ai 40Mb, provate questo:

<example>
  $ size=0
  $ for i in `grep -A 1 -B 1 "^Section: base" /var/lib/dpkg/available |
  grep -A 2 "^Priority: required" |grep "^Installed-Size" |cut -d : -f 2
  `; do size=$(($size+$i)); done
  $ echo $size
  34234
</example></p>

</footnote>
potreste essere tentati di installare pi software di 
quello necessario alle vostre esigenze.</p>

<p>
Poich sappiamo gi a cosa servir il sistema (o no?), dovreste installare 
solo il software che  realmente necessario per farlo funzionare. Qualsiasi 
tool non necessario potrebbe essere usato da un utente che vuole compromettere 
il sistema o da un intruso esterno che ha ottenuto l'accesso ad una shell (o 
l'esecuzione di codice da remoto attraverso un servizio che lo consenta).</p>

<p>
La presenza, ad esempio, di utility di sviluppo (un compilatore per il 
linguaggio C) o di linguaggi interpretati (come <prgn>perl</prgn> 
- ma vedete sotto -, <prgn>python</prgn>, <prgn>tcl</prgn>...) 
potrebbero aiutare colui che attacca a compromettere il
sistema, in particolare: 

<list>

<item>
<p>Permettendogli di acquisire privilegi. &Egrave; pi facile, 
ad esempio, mandare in esecuzione exploits locali nel sistema 
se ci sono un debugger ed un compilatore pronti a compilarli ed a testarli!</p></item>
<item>
<p>Fornendo strumenti che potrebbero aiutare l'intruso ad usare il sistema 
compromesso come <em>base d'attacco</em> verso altri sistemi

<footnote>
<p>Molte intrusioni sono fatte solo per ottenere l'accesso alle risorse
per compiere attivit illegali, (attacchi di tipo denial of service, spam, 
imbrogliare server ftp, inquinare dns ) piuttosto 
che ottenere dati confidenziali dai sistemi compromessi.</p>

</footnote></p></item>

</list></p>

<p>
Ovviamente, un intruso con accesso locale ad una shell pu scaricare gli
strumenti che gli servono ed eseguirli, ma anche la shell stessa pu
essere usata per scrivere programmi complessi. Rimuovere il software
non necessario non aiuter a <em>prevenire</em> il problema, ma render un po'
pi difficile l'azione dell'intruso (ed alcuni potrebbero rinunciare
se si trovano in questa situazione, cercando un bersaglio pi facile).
Quindi, lasciando installati detti strumenti su un sistema in
produzione, che pu essere usato per attaccare sistemi da remoto (si
veda <ref id="vuln-asses">)  lecito aspettarsi che un intruso 
li utilizzi, se disponibili.</p>




<sect1><heading>Rimuovere Perl</heading>



<p>
Dovreste tener conto che rimuovere <prgn>perl</prgn> potrebbe non essere troppo
facile (in realt potrebbe essere anche abbastanza difficile) in un
sistema Debian poich  usato da molte utility di sistema. Inoltre,
il pacchetto <package>perl-base</package>  <em>Priority: required</em> 
(il che dice tutto).
La rimozione  ancora fattibile, ma non potrete eseguire nessuna
applicazione <prgn>perl</prgn> presente nel sistema. 
Dovrete inoltre ingannare il
sistema di gestione dei pacchetti per fargli credere che il pacchetto
<package>perl-base</package> sia installato anche se non lo .

<footnote>
<p>&Egrave; possibile creare (su un altro sistema) un finto pacchetto 
con <package>equivs</package></p>

</footnote></p>

<p>
Quali sono le utility che usano <prgn>perl</prgn>? Potete scoprirlo da soli:

<example>
  $ for i in /bin/* /sbin/* /usr/bin/* /usr/sbin/*; do [ -f $i ] && {
  type=`file $i | grep -il perl`; [ -n "$type" ] && echo $i; }; done
</example></p>

<p>
Incluse le seguenti utility contenute in pacchetti con priorit 
<em>required</em> o <em>important</em>:


<list>
<item>
<p><file>/usr/bin/chkdupexe</file> del pacchetto <package>util-linux</package>.</p></item>
<item>
<p><file>/usr/bin/replay</file> del pacchetto
<package>bsdutils</package>.</p></item>
<item>
<p><file>/usr/sbin/cleanup-info</file> del pacchetto
<package>dpkg</package>.</p></item>
<item>
<p><file>/usr/sbin/dpkg-divert</file> del pacchetto
<package>dpkg</package>.</p></item>
<item>
<p><file>/usr/sbin/dpkg-statoverride</file> del pacchetto
<package>dpkg</package>.</p></item>
<item>
<p><file>/usr/sbin/install-info</file> del pacchetto
<package>dpkg</package>.</p></item>
<item>
<p><file>/usr/sbin/update-alternatives</file> del pacchetto
<package>dpkg</package>.</p></item>
<item>
<p><file>/usr/sbin/update-rc.d</file> del pacchetto
<package>sysvinit</package>.</p></item>
<item>
<p><file>/usr/bin/grog</file> del pacchetto
<package>groff-base</package>.</p></item>
<item>
<p><file>/usr/sbin/adduser</file> del pacchetto
<package>adduser</package>.</p></item>
<item>
<p><file>/usr/sbin/debconf-show</file> del pacchetto
<package>debconf</package>.</p></item>
<item>
<p><file>/usr/sbin/deluser</file> del pacchetto
<package>adduser</package>.</p></item>
<item>
<p><file>/usr/sbin/dpkg-preconfigure</file> del pacchetto
<package>debconf</package>.</p></item>
<item>
<p><file>/usr/sbin/dpkg-reconfigure</file> del pacchetto
<package>debconf</package>.</p></item>
<item>
<p><file>/usr/sbin/exigrep</file> del pacchetto
<package>exim</package>.</p></item>
<item>
<p><file>/usr/sbin/eximconfig</file> del pacchetto
<package>exim</package>.</p></item>
<item>
<p><file>/usr/sbin/eximstats</file> del pacchetto
<package>exim</package>.</p></item>
<item>
<p><file>/usr/sbin/exim-upgrade-to-r3</file> del pacchetto
<package>exim</package>.</p></item>
<item>
<p><file>/usr/sbin/exiqsumm</file> del pacchetto
<package>exim</package>.</p></item>
<item>
<p><file>/usr/sbin/keytab-lilo</file> del pacchetto
<package>lilo</package>.</p></item>
<item>
<p><file>/usr/sbin/liloconfig</file> del pacchetto
<package>lilo</package>.</p></item>
<item>
<p><file>/usr/sbin/lilo_find_mbr</file> del pacchetto
<package>lilo</package>.</p></item>
<item>
<p><file>/usr/sbin/syslogd-listfiles</file> del pacchetto
<package>sysklogd</package>.</p></item>
<item>
<p><file>/usr/sbin/syslog-facility</file> del pacchetto
<package>sysklogd</package>.</p></item>
<item>
<p><file>/usr/sbin/update-inetd</file> del pacchetto
<package>netbase</package>.</p></item>

</list></p>

<p>
Quindi, senza Perl e a meno che non riscriviate queste utility come 
script di shell, probabilmente non potrete gestire alcun pacchetto
(quindi neanche aggiornare il sistema, il che <em>non  una buona cosa</em>).</p> 

<p>
Se siete determinati a rimuovere Perl dal sistema base di Debian e avete 
tempo libero, mandate rapporti sui bachi ai pacchetti sopracitati 
includendo (in forma di patch) sostituti alle utility scritti come script 
di shell.</p></sect1></sect> 




<sect><heading>Leggere la mailing list debian security</heading>




<p>
Non sarebbe sbagliato dare uno sguardo alla mailing-list 
debian-security-announce, dove vengono annunciate migliorie ai pacchetti
rilasciati da parte del Debian security team, o in
<url id="mailto:debian-security@lists.debian.org">, dove potrete 
partecipare alle discussioni riguardanti la sicurezza in Debian.</p>

<p>
Per ricevere gli avvisi degli aggiornamenti di sicurezza, inviate un'e-mail a 
<url id="mailto:debian-security-announce-request@lists.debian.org" name="debian-security-announce-request@lists.debian.org">, 
scrivendo la parola "subscribe" nella linea dedicata all'oggetto dell'e-mail.
Potete altres iscrivervi a questa lista moderata via web dalla pagina:
<url id="http://www.debian.org/MailingLists/subscribe" name="http://www.debian.org/MailingLists/subscribe">.</p>

<p>
Questa mailing list ha un basso volume e iscrivendosi si  immediatamente
allertati sugli aggiornamenti di sicurezza riguardanti Debian.
Questo permette di scaricare tempestivamente i nuovi pacchetti con le
soluzioni ai bachi di sicurezza, ci  veramente importante per mantenere
un sistema sicuro. Leggete <ref id="security-update"> 
per trovare dettagli su questo argomento.</p></sect></chapt>