# [FAQ] Sicurezza

## quantumwire

Noi facciamo di tutto per settare a puntino i firewall in modo tale da impedire accessi non voluti al nostro sitema mentre siamo connessi in rete... ma se il problema fosse l'esatto opposto?

Mi spiego: compilo ed installo un programma e questo comincia a dire a chi lo ha fatto su che macchina sta girando... chi lo usa... qual'e' il sistema sul quale sta runnando... e chi piu' ne ha piu' ne metta... per il semplice fatto che si trova disponibile una connessione alla rete bella pronta e protetta dai soli attacchi esterni.

Tale possibilita' esiste?

E se si: come e' possibile vedere se un certo programma sta comunicando con l'esterno in modo autonomo e non controllato... tipo un editor di testi che nulla dovrebbe avere a che fare con la rete ma che invece spedisce informazioni a qualcuno.

Che rimedi esistono a tale eventualita'?

Non di rado a me capita di installare versioni precompilate di certi programmi... ma anche quelli compilati dai sorgenti "open o meno" che siano... chi mi garantisce che fanno solo quello sembrano?

Ripeto che di sicurezza in ambiente Linux ne so gran poco ma mi piacerebbe sentire un po' di commenti in merito.

----------

## MyZelF

Infatti delle buone regole per un firewall dovrebbero filtrare anche il traffico in uscita, oltre a quello in entrata, no?

----------

## shev

 *MyZelF wrote:*   

> Infatti delle buone regole per un firewall dovrebbero filtrare anche il traffico in uscita, oltre a quello in entrata, no?

 

Parole sante  :Smile: 

Cmq se si hanno di queste preoccupazioni basta guardare i sorgenti, è il bello dell'opensource no? Se non hai voglia/capacità per controllare puoi sperare che altri l'abbiano fatto al tuo posto, quindi di trojan o spyware di sorta non ce ne siano. Ma chi visse sperando...  :Wink: 

----------

## quantumwire

Il mio problema e' reale ed il codice che ho compilato e che attualmente gira sulla mia gentoo box e' scritto in fortran... come e' dunque possibile monitorarlo in qualche modo?.. mi basta vedere se accede alla rete o meno.

----------

## MyZelF

Puoi farlo con netstat.

----------

## quantumwire

 *MyZelF wrote:*   

> Puoi farlo con netstat.

 

Due info in piu'... un pseudo comando in bash me lo puoi postare?

----------

## MyZelF

```
$ netstat -a
```

 :Laughing: 

Poi dipende da cosa sei interessato a tenere d'occhio (velato invito a dare un'occhiata al man).

ad es.

```
$ netstat -a --tcp --udp --raw
```

----------

## quantumwire

```
[stekkino:/home/matteo] > netstat -a

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address           Foreign Address         State

tcp        0      0 *:ssh                   *:*                     LISTEN

tcp        0      0 lcbcpc36.epfl.ch:ssh    lcbcpc02.epfl.ch:55156  ESTABLISHED

tcp        0      0 lcbcpc36.epfl.ch:ssh    lcbcpc02.epfl.ch:55244  ESTABLISHED

Active UNIX domain sockets (servers and established)

Proto RefCnt Flags       Type       State         I-Node Path

unix  2      [ ACC ]     STREAM     LISTENING     2463   /tmp/.font-unix/fs-1

unix  2      [ ACC ]     STREAM     LISTENING     1915   /dev/log

unix  2      [ ACC ]     STREAM     LISTENING     2147   /dev/gpmctl

unix  2      [ ACC ]     STREAM     LISTENING     1963   /var/run/acpid.socket

unix  3      [ ]         STREAM     CONNECTED     1070475

unix  3      [ ]         STREAM     CONNECTED     1070474

unix  3      [ ]         STREAM     CONNECTED     1069810

unix  3      [ ]         STREAM     CONNECTED     1069809

unix  3      [ ]         STREAM     CONNECTED     2478   /dev/log

unix  3      [ ]         STREAM     CONNECTED     2477

unix  3      [ ]         STREAM     CONNECTED     2225   /dev/log

unix  3      [ ]         STREAM     CONNECTED     2224

```

Mi sembra una "foto" piu' che un monitoraggio.... il programma si chiama mdmol... come lo dovrei vedere nel precedente output?

E per monitorarlo continuamente?

----------

## MyZelF

```
$ netstat -acp --tcp --udp --raw
```

Ma io voto sempre per

```
$ man netstat
```

----------

## Tiro

puoi fare anche un bel

# nmap -p 0-65535 127.0.0.1 

per vedere quali porte aperte hai e da chi....opzioni ne trovi nella pagina di man opp

#nmap -h

 :Wink: 

----------

## MyZelF

Si, credo che in /usr/portage/net-analyzer ci sia un'abbondanza di tool adatti allo scopo.  :Wink: 

----------

## bld

Beh linux e' bello anche perche hai una varieta infinita di tools  :Smile: 

La cosa che mi affascina e' che per ogni problema che hai, ce qualcuno che l'ha risolto prima di te! Poi se magari non ti piace l'aproccio beh.. il codice e' libero!  :Razz: 

io controllo tutte le conessioni con lsof. Uno strumento molto utile dato, prova a dare "lsof -i" cosi ti fa vedere tutte le conessioni internet ipv4/6 udp/tcp attive in entrata ed in uscita =)

esempio:

 *Quote:*   

> 
> 
> oxygen /root# lsof -i
> 
> COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME
> ...

 

Poi iptables credo che sia il max. Se vuoi prottegere il tuo host e renderlo "immune" ad attachi esterni di rete, oltre configurazioni sul kernel ce un progetto interessante che si chiama angel.

----------

## quantumwire

Ho provato tutto quello che mi avete proposto... e per il momento nessuna traccia di connessione remota da parte del software che gira sul mio lap e che ora sto tenendo sott'occhio.

Grazie a Tutti.

----------

