# [SemiOT] Sicurezza - Linux & Utenti Aziendali

## cagnaluia

Salve..

Ora che so smanettare decentemente con Gentoo Linux..

Vorrei iniziare un installazione capillare della distribuzione Gentoo sui pc dell'azienda per cui lavoro.

Quello che vorrei fare è installare un Gentoo NON a prova di bomba... bensì a prova di UTENTE.. che è ben più disastroso.

Un utente d'ufficio poco importa con quali strumenti lavora. Poco importa se girando per le risorse del computer o sfogliando le cartelle cancella qualcosa.. Poco importa se in un momento veda la necesità di un bel reset...

Infine.. un utente aziendale è un "animale" ben diverso da quello domestico che si preoccupa della propria macchina.. tanto, per il primo, il pc non è suo!

Perciò vorrei analizzare con Voi, quali sono le variabili in gioco e i metodi più consoni per proteggere il pc da ogni inconveniente! 

Cosa fareste Voi, per ovviare ogni attività poco "ortodossa"? :Wink: 

----------

## randomaze

 *cagnaluia wrote:*   

> Cosa fareste Voi, per ovviare ogni attività poco "ortodossa"?

 

Non rivelerei la password di root neanche sotto tortura (al limite sudo ben configurato può bastare)

Utilizzerei comunque alcune procedure "di sicurezza" (/usr in read-only, /tmp in no-exec, ...)

Farei il backup giornaliero delle home degli utenti...

----------

## Benve

Io toglierei il tasto reset dalla macchina (dico proprio di staccare i fili)

e si può anche pensare di attaccare il filo della corrente col Super Attack alla macchina e con 2 viti alla presa a muro, che non si sa mai  :Smile: 

A parte gli scherzi sono molto interessato alla cosa...

So che per esempio lxnay ha creato un kiosco con gentoo, penso che abbia pensato a questo genere di soluzioni.

----------

## Cazzantonio

 *Benve wrote:*   

> Io toglierei il tasto reset dalla macchina (dico proprio di staccare i fili)
> 
> e si può anche pensare di attaccare il filo della corrente col Super Attack alla macchina e con 2 viti alla presa a muro, che non si sa mai 

 

perché non attaccare direttamente la corrente (220v) al tasto reset?  :Wink:   :Laughing: 

A parte gli scherzi... dipende quello che devono fare gli utenti... al limite puoi implementare delle restrizioni direttamente da interfaccia grafica (blocchi le console e/o concedi l'accesso in console solo da root, password in grub) impedendo l'accesso alle configurazioni del WM (permessi root:users 7:5:5 sui file di configurazione di kde o gnome o quellocheè nelle home degli utenti, con dei wm leggeri viene più semplice)

----------

## Merlink

Io toglierei lettore CD, Floppy e simili dopo l'installazione, disabiliterei (come gia detto) reset, power, CTRL+ALT+CANC. Permessi minimi per tutti, /home, /tmp, /var in noexec,nodev, le altre dir in una partizione ro. Niente Dbus/hal, in modo che le "robette" usb possano essere montate solo con il tuo consenso, sempre in "nodev,noexec", LIDS (se sei paranoico) per limitare fortemente l'utente, in special modo, disabiliti l'esecuzione di tutto al di fuori dell'orario di lavoro. Firewall che permetta lo stretto indispensabile in entrata e uscita, proxy con blocco su tutto + white list per i siti richiesti dall'azienda. Thunderbird, Firefox. Niente tools particolari, ambiente minimale (Fluxbox + idesk) con le sole icone indispensabili sul desktop e blocco delle combinazioni "pericolose" (quelle per eseguire console, per esempio). Firefox e tbird (Come gli altri programmi) dovrebbero essere chroottati, in un fs di loop, con permessi solo sui bookmarks, cache disabilitata. Password da bios per evitare boot da chissa' quale diavoleria, password a grub per evitare il passaggio di parametri al kernel. Bootsplash non disabilitabile per evitare che si sappiano i servizi che partono...Tu, con una lupara, dietro ogni utente... perche' tu sei furbo, ma gli utenti lo sono sempre di piu'  :Sad: 

Saluti

----------

## SilverXXX

 *Merlink wrote:*   

>  ...cut... .Tu, con una lupara, dietro ogni utente... perche' tu sei furbo, ma gli utenti lo sono sempre di piu' 
> 
> Saluti

 

 :Shocked:  Esagerato.. La lupara te la tieni solo per usarla contro gli scassa@@  :Twisted Evil: 

Cmq anche se più ristretto è meglio è, mi sembra un pò esagerato, forse. Dopo non diventa anche abbastanza complessa l'installazione?

----------

## Merlink

e' piu' difficile reinstallare il sistema ogni mese perche' l'utente ha trovato una falla  :Wink: 

----------

## Ic3M4n

```
perche' tu sei furbo, ma gli utenti lo sono sempre di piu' 
```

tutti abbiamo iniziato dall'altra parte della barricata  :Sad: 

ed è sempre bello quando vedi il firewall dell'azienda in cui lavori cadere sotto le tue manine  :Smile: 

oppure il chiosk  :Very Happy: 

il problema è che il tutto è troppo facile con winzozz  :Sad:   :Sad:   :Sad: 

adesso non ho più divertimento.

cmq un mio piccolo consiglio, se possibile prendi una macchina e se hai una qualche persona in grado di fare qualsiasi cosa non possa essere fatta senza il tuo permesso prova a farglielo fare.

 *Quote:*   

> uh uh uh!  non ho capito cosa ho detto nemmeno io che l'ho scritto. provo a cambiare l'ordine delle parole:
> 
> fai testare la tua macchina bloccata ad una persona che sappia dove mettere le mani. così saprai dove sono i punti deboli e puoi  metterli a posto

 

----------

## SilverXXX

Che ne dite inziando a dare dei commodore 64 o delle amiga (mitiche!!!)?? voglio vedere cosai ci fanno di sbagliato. Poi si limita il computer solo a chi gli serve, magari agli altri si dà una macchina da scrivere  :Laughing: 

----------

## Ic3M4n

beh... anche con un commodore64 si possono fare danni o no?  :Very Happy:   :Very Happy:   :Very Happy: 

----------

## SilverXXX

Purtroppo i danni si possono fare sempre, per esempio se qualcuno ci picchia sopra con la mazza da muratore, ma almeno con il c 64 è fatica  :Very Happy: 

----------

## Ic3M4n

si, quello è vero. infatti non puoi impedire all'utente di premere il pulsante power, però sarebbe belo poterlo fare. il tutto alla fine dipende dal grado di paranoia che sei in grado di raggiungere. per fare un esempio, credo che questo post abbia una qualche attinenza con questo che guardacaso era quello appena sotto rispetto a questo.

[url] [/url]non tanto per gli argomenti trattati, ma per il permettere ad un utente l'esecuzione o meno di una data azione e la capacità dell'utente di riuscire a saltare un certo controllo. onestamente se io dovessi mai diventare amministrazione di sistema attuerei il maggior numero di controlli possibile affinchè l'utente sia sotto il mio controllo e non possa sfuggire a delle semplici regole generali ma molto restrittive  :Very Happy:  [/list]

----------

## Ic3M4n

scusate, non mi ha messo l'URL.

[url]https://forums.gentoo.org/viewtopic-t-320397.html [/url]

----------

## Tiro

io adibirei un file server raid dove gli utenti salvano in automatico i file, ovvero le home montarle tutte in remoto su tale server in modo da gestire un solo (eventuale) backup su una macchina anzichè su N macchine e non dover litigare con nessuno...

----------

## .:deadhead:.

carine molte idee paranoiche /scrib scrib scollegare fili power, lupara  :Smile: 

Cmq credo che il tutto dipenda dal tipo di utenti che si ha... I miei conoscono a malapena windows, figuriamoci che danni potrebbero fare con linux  :Wink:  Home lontane dai client direi che è si un'ottima cosa...ma per il resto...se non sono root...che volete che facciano? E poi rimeto, davvero avete degli utenti che sanno cos'è linux, come si installa del sw a manina [make, config, install (che tanto fallisce perchè non son root) ] e altro... Io al più bloccherei bios, per evitare installazioni di windows o liveCD maliziosi...

Sembra che vogliamo organizzare un PC a mo di chiosco [andatevi a rivedere il 3d di federico che tempo fa aveva chiesto come realizzare una linuxbox blindata].

----------

## randomaze

 *.:deadhead:. wrote:*   

> Cmq credo che il tutto dipenda dal tipo di utenti che si ha... I miei conoscono a malapena windows, figuriamoci che danni potrebbero fare con linux  .

 

Si i miei suggerimenti erano infatti volti ad "evitare uso stupido" piuttosto che "evitare uso improprio"... molte cose che ho letto nel 3d mi sembrano più volte a bloccare il più possibile qualche smaettone piuttosto che "segretaria-oriented"

----------

## Sparker

 *.:deadhead:. wrote:*   

>  [make, config, install (che tanto fallisce perchè non son root) ] 

 

./configure --prefix=~/ProgrammaMalvagio && make && make install  :Twisted Evil: 

non dare i permessi di esecuzione sul gcc  :Smile: 

----------

## Ic3M4n

[puttanata]e se la segretaria deve usare gcc? [/puttanata]

----------

## btbbass

 *Ic3M4n wrote:*   

> [puttanata]e se la segretaria deve usare gcc? [/puttanata]

 

Chiama il sistemista, che lo fa da root

----------

## cagnaluia

a patto di disporre di una buona e veloce rete LAN, e suppondendo che il sistema di contenere tutti i dati utente su un server centrale ben protetto e ben backupato sia la scelta migliore, come si possono creare delle regole di protezione, che vengano applicate automaticamente sui nuovi pc nei quali installo linux? (1.)

Altro: 

2. Allora per scongiurare ogni "danno" potrei creare un cdrom contenente linux e programmi, live!

3. Compilare gentoo su un centinaio di pc.. potrebbe essere un pò noioso...  credo!

----------

## Benve

 *cagnaluia wrote:*   

> a patto di disporre di una buona e veloce rete LAN, e suppondendo che il sistema di contenere tutti i dati utente su un server centrale ben protetto e ben backupato sia la scelta migliore, come si possono creare delle regole di protezione, che vengano applicate automaticamente sui nuovi pc nei quali installo linux? (1.)
> 
> Altro: 
> 
> 2. Allora per scongiurare ogni "danno" potrei creare un cdrom contenente linux e programmi, live!
> ...

 

Ti conviene creare uno snapshot compilato in modo generico e usarlo su tutti i pc (se vuoi ne ho uno pronto con solo kde-base erelative dipendenze già fatto  :Smile:  )

Poi per gli aggiornamenti usi i pacchetti binari

----------

## cagnaluia

 *Benve wrote:*   

> Ti conviene creare uno snapshot compilato in modo generico e usarlo su tutti i pc (se vuoi ne ho uno pronto con solo kde-base erelative dipendenze già fatto  )
> 
> Poi per gli aggiornamenti usi i pacchetti binari

 

come si fa? 

1. a compilare uno snapshot generico.

2. usarlo.. (risp: come lo snapshot che gia conosco, di default..)

3. il kernel poi?

----------

## Sparker

[quote="cagnaluia"] *Benve wrote:*   

> 
> 
> come si fa? 
> 
> 1. a compilare uno snapshot generico.
> ...

 

Compili per i686 e configuri tutto, poi fai un bel tar.gz di tutto (preservando gli attributi dei files) e schiaffi tutto su un ftp o http

fai il boot con il livecd, wget del tar.gz, untar del file, installi il bootmanager con lilo/grub e sei a posto

Per l'aggiornamento

fai un server locale che esporta il portage in read-only via nfs. Stessa cosa per i pacchetti binari

Il problema principale sono gli aggiornamenti dei file di configurazione:

l'anno scorso ho seguito un seminario di lcars al webbit su come gestire installazioni multiple di gentoo

in pratica suggeriva di salvare sul server i file di configurazione modificati ed in caso di ulteriri modifiche li copiava sui client

Dovrebbe essere abbastanza semplice da gestire con script bash ed scp

----------

## FonderiaDigitale

 *Sparker wrote:*   

> 
> 
> Il problema principale sono gli aggiornamenti dei file di configurazione:

 

subversion e' fatto esattamente per questo.

cmq sia, una cosa che farei io, avendo il budget necessario,e' rendere i client diskless con schede di rete che fatto il boot PXE, e concentrare tutto su un server: in questo modo hai piu controllo sulle installazioni, devi usare solo un'installazione base + mount -o bind di /etc/var ecc e riusi la maggior parte delle cose.

senza contare che non ti possono smontare l'hd dalle macchine x taroccarle! (che ti ridi, m'e' successo!!)

----------

## Little Cash

Sono daccordo per configurare adeguatamente sudo e per non dare a nessuno la password di superutente. Poi disabilita in inittab il reset associato alla combinazione control alt canc, e se sei un maniaco della sicurezza configura magari un sistema di autenticazione PAM o LDAP.

Saluti, 

Michele

----------

## koma

 *Benve wrote:*   

> Io toglierei il tasto reset dalla macchina (dico proprio di staccare i fili)
> 
> e si può anche pensare di attaccare il filo della corrente col Super Attack alla macchina e con 2 viti alla presa a muro, che non si sa mai 
> 
> A parte gli scherzi sono molto interessato alla cosa...
> ...

 

io l'ho fatto con ottimi risultati

venivo chiamato sistemavo via ssh e la macchina tornava viva  :Wink: 

lo dico con estrema sincerità

i fottutissimi utenti sono idioti  :Smile:  quindi gli strumenti che devono poter suare sono tastiera e mouse lngi dai pulsanti di accensione e di reset non solo devono AL MASSIMO poter avviare i loro programmi punto.

----------

## Benve

 *FonderiaDigitale wrote:*   

>  *Sparker wrote:*   
> 
> Il problema principale sono gli aggiornamenti dei file di configurazione: 
> 
> subversion e' fatto esattamente per questo.
> ...

 

Certo che questa è la soluzione migliore, Ma dipende quanto è eterogeneo il tuo hardware

----------

