CHIT – Linux, Sicurezza, WordPress, Ethical Hacking, Penetration Testing…

  • About
  • Contatta CHIT

Compilare il Kernel di Linux openSUSE

Giu27
on 27 Giugno 2013 at 06:17
Posted In: LINUX SERVER, openSUSE

Benvenuti questa è una breve guida sul come compilare il Kernel di Linux in modo da potere usufruire delle piene potenzialità del sistema. Compilando il Kernel di linux si ottiene più sicurezza, stabilità e velocità.

Prima di tutto scaricare il Kernel da www.kernel.org. Il sistema usato in questa guida è SUSE Enterprise Server ma non fa molta differenza, la procedura, eccetto che per il comando make cloneconfig, è uguale in ogni sistema Linux o unix-like. Per la versione Desktop di openSUSE vale la stessa identica procedura.

Una volta scaricato l’archivio copiarlo nella cartella /usr/src/ o dove si preferisce.

Poi estrarre il contenuto dell’archivio compresso e spostarsi nella cartella appena creata.

# cp /media/usb/linux-3.9.7.tar.xz /usr/src/ 
# cd /usr/src 
# tar -xf *.7.tar.xz 
# cd *7

Ora, per essere sicuri di avere un Kernel funzionante è buona cosa usare la configurazione del Kernel attualmente in uso, creata durante l’installazione o durante una precedente compilazione del Kernel.

Se non vi è un file con le configurazioni precedenti il file verrà creato con il comando make menuconfig.

La configurazione in uso del Kernel si trova in OpenSUSE nel file /proc/config.gz ed è possibile crearne una copia eseguendo il comando: make cloneconfig:

# make cloneconfig

Suse include una funzionalità del kernel che permette di salvare la configurazione in uso in un file compresso, /proc/config.gz. Eseguendo il comando make cloneconfig viene creato un file di configurazione con i valori trovati in config.gz.

Se il comando cloneconfig da errori, come nel mio caso, si potrebbe eseguire il seguente comando:

# cp /proc/config.gz config.gz 
# gzip -dv config.gz
config.gz:       74.6% -- replaced with config
# mv config .config 

oppure questo:

 # cp /boot/config-`uname -r` .config 

Bene, ora che il file di configurazione dell’attuale Kernel (.config) è presente nella cartella, eseguire il comando make menuconfig.

# make menuconfig 

A questo punto appare la finestra del menu principale per la configurazione.

Configurazione del Kernel - Menu principale

Nel menu “general setup” impostare il nome per il nuovo Kernel. Io uso tunato e metto il visto in automatically append version information.

Ciò va fatto per evitare di sovrascrivere la configurazione attuale, perché nel caso la compilazione del Kernel non venga effettuata con successo, si sarebbe ancora in grado usare il vecchio Kernel e riprovare.

Se si lascia com’è si rischia di rendere il sistema inutilizzabile, quindi, importante, cambiare il nome.

Kernel general setup

Una volta fatto premere due volte su esc o exit per tornare al menu principale. Ora, sotto Processor types and features, scegliere il processore, chiaramente se si ha un intel cancellare tutto quello che è AMD e viceversa.

Per aver informazioni sul processore in uso eseguire il seguente comando:

# cat /proc/cpuinfo

Toglere tutto quello che non serve e soprattutto scegliere il tipo di processore (Processor family), se si lascia com’è non si usano a pieno le potenzialità, il kernel di defalut è fatto per soddisfare la maggior parte delle situazioni.

Per esempio, si ha bisogno di Dell Laptop support, se il si sta usando un Server, o del supporto per IBM se non si sta usando IBM?!? Certamente no. Usare linux senza compilare il Kernel sarebbe una cosa stupida da fare.

Kernel processsor type

Scegliere Processor Family -io scelgo core 2/ Newer Xeon- e poi tornare al menu principale. Una volta al menu principale passare a networking support.

Kernel Network device support

Anche qui possiamo togliere quasi tutto.

Come sempre se non si sa cos’è una cosa, si fa una ricerca. Toglere Amateur Radio support, CAN bus, irda (infrarossi), Bluetooth, wireless, WIMAX, RF switch, Plan 9, CAIF, Ceph, plan9 e tutto il resto. Anche nella cartella networking options si può togliere quasi tutto tranne TCP/IP Networking.

Tolgo per es il protocollo ipv6, qos, LAN Emulation, VLAN, apletalk, ipx, ppp, ip-multicasting, DECNET support… Tornare al menu principale con exit o premendo due volte su esc poi passare alla scheda Device Drivers e tolgiere anche li tutto quello che non serve.

Kernel device drivers

Tolgliere per esempio IEEE 1394, Parallel Support, multimedia support (è un Server), Ultrawideband service, Microsoft hyper-v, Virtualization driver e tutto quello che non serve. Consiglio di fare prima un giro tra i vari driver e togliere tutto quello che si conosce di cui non si ha bisogno e poi cercare il resto che non si conosce in internet.

Per avere informazioni sull’hardware installato con SUSE andare in Yast sotto Hardware e poi hardware information. Apparirà una finestra con tutte le informazioni relative all’hardwere in uso.

Suse hardware information

In Netowork device support cancellare ISDN, Wirelesslan, PPP, USB network adapters,SLIP, CSLIP… Cancellare veramente tutto e poi, sotto ethernet driver support, scegliere il driver per la propria scheda ethernet.

Per sapere il nome della propria scheda ethernet eseguire il seguente comando:

 # lspci | grep -i Ethernet 
03:00.0 Ethernet controller Atheros Communications Inc. AR8152 v2.0 Fast Ethernet (rev c1) 

Tornare al menu principale e passare alla sezione file sistem e tolgliere anche qui tutto quello che non serve. Consiglio di dare un occhiata alle opzioni Kernel hacking ma vi sarà una guida specifica per questa sezione. In scurity Options attivo Restrict unprivileged access to kernel syslog e tolgo Apparmor perché non lo uso. Infondo, all’ultimo punto, togliere anche Virtualisation se non si ha intenzione di usare questa tecnologia. Abbiamo finito.

Salvare la configurazione premendo su save e uscire dal programma, le impostazioni verrano salvate nel file .config.

Ora non resta che eseguire il comando per compilare il kernel, chiaramente bisogna avere gcc e i tool per lo sviluppo del Kernel installati.

Se si ricevono degli errori cercare gli errori in internet…

 # make && make modules && make modules_install && make install 

In cui make crea l’immagine, make modules compila i moduli, make modules_install installa i moduli e make install sposta i file necessari in boot e crea la configurazione per grub – il boot manager – in modo automatico. Se il comando viene effettuato con successo alla fine non vi saranno errori ma dei messggi del genere:

sh /local/src/linux-3.9.6/arch/x86/boot/install.sh 3.9.6-tunato arch/x86/boot/bzImage \ System.map "/boot" Kernel image
/boot/vmlinuz-3.9.6-tunato Initrd image
/boot/initrd-3.9.6-tunato Root device
/dev/disk/by-id/md-uuid-07bfe96d:370b4411:1068b86d:0e002d62-part2 (/dev/md126p2) (mounted on / as ext3) Resume device
/dev/disk/by-id/md-uuid-07bfe96d:370b4411:1068b86d:0e002d62-part1 (/dev/md126p1) Kernel Modules: hwmon thermal_sys thermal processor fan libahc mbcache jbd ext3 usb-common usbcore ohci-hcd uhci-hcd ehci-hcd hid usbhid raid0 raid1 raid10 async_tx async_memcpy xor async_xor raid6_pq async_pq async_raid6_recov raid456 crc-t10dif sd_mod Features
acpi block usb md resume.userspace resume.kernel Bootsplash
SLES (1024x768) 93900 blocks >>> Network
auto >>> Calling mkinitrd -B -k /boot/vmlinuz-3.9.6-tunato -i /tmp/mkdumprd.vMeN3NU2jx -f 'kdump network' -s '' Regenerating kdump initrd ... Kernel image
/boot/vmlinuz-3.9.6-tunato Initrd image: /tmp/mkdumprd.vMeN3NU2jx Root device
/dev/disk/by-id/md-uuid-07bfe96d:370b4411:1068b86d:0e002d62-part2 (/dev/md126p2) (mounted on / as ext3) Resume device
/dev/disk/by-id/md-uuid-07bfe96d:370b4411:1068b86d:0e002d62-part1 (/dev/md126p1) Kernel Modules: hwmon thermal_sys thermal processor fan mbcache jbd ext3 usb-common usbcore ohci-hcd uhci-hcd ehci-hcd hid usbhid af_packet atl1e raid0 raid1 raid10 async_tx async_memcpy xor async_xor raid6_pq async_pq async_raid6_recov raid456 nls_utf8 crc-t10dif sd_mod Features: acpi block usb network md resume.userspace resume.kernel kdump 
111085 blocks 

A questo punto bisogna controllare se il file /boot/grub/menu.lst o /boot/grub2/grub.cfg sia stato modificato correttamente e rinviare. Abbiamo finito. Se no cercare gli errori, correggerli e ricompilare il Kernel.

Se si ricompila il Kernel fare attenzione a copiare il file .config da un altra parte e poi eseguire i seguenti comandi

# cp .config $HOME/config 
# make clean 
# make mrproper 
# cp $HOME/config .config 
# make menuconfig 

Aggiungere ciò che manca di modo da correggere l’errore e compilare nuovamente il Kernel.

└ Tags: cloneconfig, Compilare il kernel, compile, dynamic, italiano, Kernel, linux, Linux Kernel, Loadable modules, make cloneconfig, OPENSUSE, performance, security, server, tuning
1 Comment

Trovare ed eliminare i setuid/setgid Binaries

Giu15
on 15 Giugno 2013 at 06:51
Posted In: LINUX SERVER

Amministrando sistemi Linux Server è sempre utile chiedersi che cosa si vuole raggiungere come obbiettivo. È utile per il mio obbiettivo lasciare non so quanti demoni delle varie applicazioni attivi, come per es cups ( demone per il print Server ), se il Server in questione è un Web Server?!

Chiaramente no, tutto quello che non ci serve ( servizi, driver, programmi ecc. ) deve venire rimosso, anche dal Kernel ( Guida in italiano sul come compilare il Kernel ).

Ricompilare il Kernel togliendo tutte le cose che non servono e altro vuol dire più sicurezza, velocità e stabilità. Chiaramente meno applicazioni girano sul server e meno applicazioni ci sono da “exploitare” rispettivamente da proteggere.

Per vedere quali demoni sono attivi usare il comando netstat:

# netstat -lp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
tcp        0      0 *:mysql                 *:*                     LISTEN      1500/mysqld         
tcp        0      0 *:www-http              *:*                     LISTEN      12779/httpd2-prefor 
tcp        0      0 *:ssh                   *:*                     LISTEN      1378/sshd           
tcp        0      0 *:https                 *:*                     LISTEN      12779/httpd2-prefor 
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     5446   1500/mysqld         /var/lib/mysql/mysql.sock
unix  2      [ ACC ]     STREAM     LISTENING     6258   1561/acpid          /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     5491   1574/dbus-daemon    /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     6876   2376/mcelog         /var/run/mcelog-client
unix  2      [ ACC ]     STREAM     LISTENING     5528   1650/hald           @/var/run/hald/dbus-ca1QSpmtK8
unix  2      [ ACC ]     STREAM     LISTENING     5531   1650/hald           @/var/run/hald/dbus-WQCKBVSnqK
#

Come si può notare sul mio Server sono attivi solo i demoni di cui ho bisogno.

Un’altra cosa da fare è controllare i setuid e setgid, che se sono impostatati potrebbero venire usati per svolgere degli attacchi tramite exploit ( eseguire codice da root ).

I setuid permettono a dei file binari di venire in alcuni casi eseguiti con diritti speciali, diversi dall’utente che li ha eseguiti.

Anche se i vari fornitori fanno molta attenzione a correggere tutti i bug in modo da impedire dei setuid/setgid Root exploits, sembra che ne vengano scoperti ogni due mesi di nuovi. Ecco anche l’importanza di aggiornare il proprio sistema regolarmente.

Quindi, specialmente se si offre l’accesso tramite shell al proprio Server, consiglio di dare un occhiata ai setuid-binaries.

Per farlo eseguire il seguente comando:

# find / -perm  /6000 -type f -exec ls -ld {} \;
-rwsr-xr-x 1 root shadow 35688 Jan 13  2012 /sbin/unix_chkpwd
-rwsr-xr-x 1 root root 111272 Feb 20 16:04 /sbin/mount.nfs
-rwsr-xr-x 1 root shadow 10736 Dec 16  2011 /sbin/unix2_chkpwd
-rwsr-xr-x 1 root root 40016 Mar 19 00:59 /bin/su
-rwsr-xr-x 1 root audio 23880 Dec 14  2011 /bin/eject
-rwsr-xr-x 1 root root 40048 Apr 15  2011 /bin/ping
-rwsr-xr-x 1 root root 94776 Apr 29 23:20 /bin/mount
-rwsr-xr-x 1 root root 69208 Apr 29 23:20 /bin/umount
-rwsr-xr-x 1 root root 35792 Apr 15  2011 /bin/ping6
-rwsr-x--- 1 root messagebus 47912 Oct 15  2012 /lib64/dbus-1/dbus-daemon-launch-helper
-rwxr-sr-x 1 root tty 10680 May 10  2010 /usr/sbin/utempter
-rwsr-xr-x 1 root root 10632 Feb 14 19:56 /usr/sbin/zypp-refresh-wrapper
-rwxr-sr-x 1 root maildrop 15136 Jun 18  2012 /usr/sbin/postdrop
-rwxr-sr-x 1 root maildrop 19176 Jun 18  2012 /usr/sbin/postqueue
-rwsr-xr-x 1 root shadow 19320 Feb  1  2012 /usr/bin/expiry
-rwsr-xr-x 1 root root 230072 Apr 30 10:38 /usr/bin/sudo
-rwsr-xr-x 1 root root 44752 Jun 29  2011 /usr/bin/opiesu
-rwxr-sr-x 1 root tty 15000 Apr 29 23:21 /usr/bin/wall
-rwsr-xr-x 1 root shadow 81856 Feb  1  2012 /usr/bin/passwd
-rwsr-xr-x 1 root trusted 40432 Apr  3 01:33 /usr/bin/crontab
-rwsr-xr-x 1 root shadow 82472 Feb  1  2012 /usr/bin/chfn                                                        
-rwxr-sr-x 1 root tty 14896 Apr 29 23:21 /usr/bin/write                                                          
-rws--x--x 1 root root 1914440 May 24 22:56 /usr/bin/Xorg                                                        
-rwsr-xr-x 1 root root 19416 Feb  1  2012 /usr/bin/newgrp                                                        
-rwsr-xr-x 1 root root 44304 Jun 29  2011 /usr/bin/opiepasswd                                                    
-rwsr-xr-x 1 root shadow 85952 Feb  1  2012 /usr/bin/gpasswd                                                     
-rwsr-xr-x 1 root trusted 31552 Apr 15 16:33 /usr/bin/fusermount                                                 
-rwsr-xr-x 1 root shadow 77848 Feb  1  2012 /usr/bin/chsh                                                        
-rwsr-xr-x 1 root shadow 86200 Feb  1  2012 /usr/bin/chage                                                       
-rwxr-sr-x 1 root shadow 15128 Feb 21  2009 /usr/bin/vlock                                                       
-rwsr-xr-x 1 root root 26897 Mar 18 22:30 /usr/lib64/pt_chown                                                    
-rwxr-sr-x 1 root polkituser 23160 Oct 26  2012 /usr/lib/PolicyKit/polkit-revoke-helper                          
-rwxr-sr-x 1 root polkituser 19208 Oct 26  2012 /usr/lib/PolicyKit/polkit-grant-helper                           
-rwsr-x--- 1 root polkituser 10744 Oct 26  2012 /usr/lib/PolicyKit/polkit-grant-helper-pam                       
-rwxr-sr-x 1 root polkituser 14856 Oct 26  2012 /usr/lib/PolicyKit/polkit-read-auth-helper                       
-rwxr-sr-x 1 root polkituser 19008 Oct 26  2012 /usr/lib/PolicyKit/polkit-explicit-grant-helper                  
-rwsr-xr-x 1 polkituser root 23176 Oct 26  2012 /usr/lib/PolicyKit/polkit-set-default-helper                     
# 

Ecco la lista. Ora eseguo un comando più specifico per listare i file binari con il setuid-bit nelle varie cartelle.

Aggiungendo la pipeline “|” si ridireziona l’output e cioè il risultato del primo comando, find, e lo si usa come input per il comando grep che poi mostra il suo risultato come output finale.

Vediamo un po’ cosa c’è nella cartella /usr/bin eseguendo il seguente comando:

# find / -perm  +6000 -type f -exec ls -ld {} \; | grep "/usr/bin"                                                         
-rwsr-xr-x 1 root shadow 19320 Feb  1  2012 /usr/bin/expiry                                                      
-rwsr-xr-x 1 root root 230072 Apr 30 10:38 /usr/bin/sudo                                                         
-rwsr-xr-x 1 root root 44752 Jun 29  2011 /usr/bin/opiesu                                                        
-rwxr-sr-x 1 root tty 15000 Apr 29 23:21 /usr/bin/wall                                                           
-rwsr-xr-x 1 root shadow 81856 Feb  1  2012 /usr/bin/passwd                                                      
-rwsr-xr-x 1 root trusted 40432 Apr  3 01:33 /usr/bin/crontab                                                    
-rwsr-xr-x 1 root shadow 82472 Feb  1  2012 /usr/bin/chfn                                                        
-rwxr-sr-x 1 root tty 14896 Apr 29 23:21 /usr/bin/write                                                          
-rws--x--x 1 root root 1914440 May 24 22:56 /usr/bin/Xorg                                                        
-rwsr-xr-x 1 root root 19416 Feb  1  2012 /usr/bin/newgrp                                                        
-rwsr-xr-x 1 root root 44304 Jun 29  2011 /usr/bin/opiepasswd                                                    
-rwsr-xr-x 1 root shadow 85952 Feb  1  2012 /usr/bin/gpasswd                                                     
-rwsr-xr-x 1 root trusted 31552 Apr 15 16:33 /usr/bin/fusermount                                                 
-rwsr-xr-x 1 root shadow 77848 Feb  1  2012 /usr/bin/chsh                                                        
-rwsr-xr-x 1 root shadow 86200 Feb  1  2012 /usr/bin/chage                                                       
-rwxr-sr-x 1 root shadow 15128 Feb 21  2009 /usr/bin/vlock                                                       
# 

Vediamone alcuni:

Wall e write

Wall e write vengono usati per poter scrivere messaggi al terminal di un altro utente. Ecco un esempio: write a message to login users through terminal Non mi serve, l’unico utente sono io e root.

Fusermount

DESCRIPTION: The fusermount utility acts as a frontend to the refuse(3) library, allowing mounting and unmounting of refuse-based file systems. Non ne ho bisogno.

Vlock

is a program to lock one or more sessions on the Linux console. This is especially useful for Linux machines which have multiple users with access to the console. Vlock viene tipicamente usato in sistemi in cui diversi utenti accedono al sistema simultaneamente. Non è il mio caso, tolgo anche questo.

Sudo

Sudo viene usato per permettere agli utenti normali di eseguire alcuni comandi con diritti di amministrazione. Sudo può essere molto utile per esempio in una situazione in cui vi sono più amministratori di sistema (ancora una volta, non lasciare diritti inutilmente, non fidarsi di nessuno) con compiti diversi, per permettere ai vari Admins di svolgere solo i comandi che servono loro per potere svolgere correttamente le loro funzioni. Mentre solo un Admin ha il controllo di tutto. O un utente che per comodità si aggiunge mount e umount o altro. Non è il nostro caso, sono l’unico Admin. L’utente non admin lo uso solo per connettermi tramite ssh al server.

Passwd, chage, chfn e chsh

Passwd viene usasto per combiare la propria password ma visto che non vi sono utenti eccetto me e che non offro l’accesso via shell a nessuno, mi basta potere cambiare le password degli utenti da amministratore. Chfn viene usato per modificare le proprie informazioni finger. Chsh per modificare il proprio login alla shell. Il comando chage viene usato per modificare la scadenza in cui un utente deve cambiare la password in relazione all’ultima modifica effettuata. “The chage command changes the number of days between password changes and the date of the last password change. This information is used by the system to determine when a user must change his/her password.” Non abbiamo per vari motivi intenzione di offrire la possibilità a utenti normali id eseguire questi comandi.

Nella maggior parte dei casi si possono cancellare quasi tutti i setuid-bit. Sulle applicazioni che non si conoscono si fa una breve ricerca in modo da capire se sono essenziali oppure no al proprio scopo. Informarsi ed eliminare tutto quello che non serve.

Non dimenticare che per ottenere informazioni in inglese sui vari comandi appena elencati basta eseguire il comando man “nomecomando”.

$ man passwd

Per sapere a cosa serve il comando passwd per esempio. Ecco l’inoformazione trovata con man:“DESCRIPTION The passwd command changes passwords for user accounts. A normal user may only change the password for his/her own account, while the superuser may change the password for any account. passwd also changes the account or associated password validity period.”

Il comando usato per cancellare il setuid-bit è chmod a-s:

# chmod a-s /usr/bin/{wall,crontab,chfn,write,newgrp,opiepasswd,gpasswd,fusermount,chsh,chage,vlock,opiesu,passwd,sudo}

Ora si fa lo stesso comando con /bin:

# find / -perm  +6000 -type f -exec ls -ld {} \; | grep "/bin"
-rwsr-xr-x 1 root root 40016 Mar 19 00:59 /bin/su                                                                                                                                                                                                                              
-rwsr-xr-x 1 root audio 23880 Dec 14  2011 /bin/eject                                                                                                                                                                                                                          
-rwsr-xr-x 1 root root 40048 Apr 15  2011 /bin/ping                                                                                                                                                                                                                            
-rwsr-xr-x 1 root root 94776 Apr 29 23:20 /bin/mount                                                                                                                                                                                          
-rwsr-xr-x 1 root root 69208 Apr 29 23:20 /bin/umount                                                                                                                                                                                                                          
-rwsr-xr-x 1 root root 35792 Apr 15  2011 /bin/ping6

Qui abbiamo ping e ping 6 che son dei programmi per testare la connetività, mount e umount che servono per montare rispettivamente demontare dei dischi. Ed in fine eject che viene usato per espellere il DVD-ROM o un dischetto.

Una volta deciso quali tenere e quali no, eseguiamo nuovamente il comando:

# chmod a-s /bin/{ping6,ping,eject,mount,umount} 

Ora cercare i programmi con il bit impostato nella cartella sbin:

# find / -perm  +6000 -type f -exec ls -ld {} \; | grep "/sbin"                                                                                                                                                                                                   
-rwsr-xr-x 1 root shadow 35688 Jan 13  2012 /sbin/unix_chkpwd                                                                                                                                                                                                                  
-rwsr-xr-x 1 root root 111272 Feb 20 16:04 /sbin/mount.nfs                                                                                                                                                                                                                     
-rwsr-xr-x 1 root shadow 10736 Dec 16  2011 /sbin/unix2_chkpwd                                                                                                                                                                                                                                                                                                                                                                                                 
-rwxr-sr-x 1 root tty 10680 May 10  2010 /usr/sbin/utempter                                                                                                                                                                                                                    
-rwsr-xr-x 1 root root 10632 Feb 14 19:56 /usr/sbin/zypp-refresh-wrapper
-rwxr-sr-x 1 root maildrop 15136 Jun 18  2012 /usr/sbin/postdrop
-rwxr-sr-x 1 root maildrop 19176 Jun 18  2012 /usr/sbin/postqueue
#

Vediamone alcuni:

mount.nfs serve per montare il file system nfs. Se si vuole usare un nfs client o server sul Server. Non ci serve.

Postdrop e postqueue sono dei componenti di Postfix, che fa da sendmail.

Definizione in inglese di Utempter: is a utility that allows some non-privileged programs to have required root access without compromising system security. Utempter accomplishes this task by acting as a buffer between root and the programs.

Definizione di unix_chkpwd: is a helper program for the pam_unix module that verifies the password of the current user. It also checks password and account expiration dates in shadow. It is not intended to be run directly from the command line and logs a security violation if done so.

# chmod a-s /usr/sbin/{postdrop,postqueue,utempter}
# chmod a-s /sbin/mount.nfs

Se una certa applicazione non si usa si potrebbe pensare di eliminare il pacchetto del tutto, vediamo:

# rpm -qa | grep "ftp"
ftp-xx
# rpm -e ftp-xx

Cancellare chiaramente anche i programmi come ftp, sftp, traceroute, telnet, wget, curl e altri. Il compiler gcc una volta compilato il Kernel, rimuoverlo – uno potrebbe copiare il codice da shell a shell e compliare il programma localmente senza lasciare traccia nei log file… Come cancellare veramente ogni pacchetto che non ci serve.

Per dare un occhiata ai pacchetti installati eseguire:

# rpm -qa | less

Ora come test finale provare ancora a cercare i setuid Binaries e si vede dal risultato che ve ne sono molto meno, solo il necessario. Abbiamo finito!

# find / -perm  +6000 -type f -exec ls -ld {} \;
-rwsr-xr-x 1 root shadow 35688 Jan 13  2012 /sbin/unix_chkpwd
-rwsr-xr-x 1 root shadow 10736 Dec 16  2011 /sbin/unix2_chkpwd
-rwsr-xr-x 1 root root 40016 Mar 19 00:59 /bin/su
-rwsr-xr-x 1 root shadow 19320 Feb  1  2012 /usr/bin/expiry
-rws--x--x 1 root root 1914440 May 24 22:56 /usr/bin/Xorg
-rwsr-xr-x 1 root root 26897 Mar 18 22:30 /usr/lib64/pt_chown
# 

Fonte: Linux Server Hacks – Rob Flickenger

└ Tags: binaries, exploit, guida, italiano, linux, root, security, server, setgid, setuid, Sicurezza, SUSE Linux Enterprise, tutorial
 Comment 

Come navigare in internet in modo sicuro ed anonimo

Giu02
on 2 Giugno 2013 at 22:30
Posted In: Sicurezza / Anonimato

Oggi giorno diventa sempre più importante potere navigare in modo anonimo e sicuro. La privacy non viene assicurata e ogni passo intrapreso per avere più privacy è una buona cosa.

In questa piccola guida per “surfare” anonimo e sicuro useremo Firefox ma non penso sia un problema trovare le impostazioni del vostro browser!

Come prima cosa installare Noscript, un utilissimo Addon di Firefox che blocca tutti gli script a meno che l’utente non dia il permesso ad alcune pagine fidate per eseguirli.

Per aggiungere l’addon clicca qui: addons.mozilla.org/de/firefox/addon/noscript

Bloccare tutti i cookie a parte per le pagine a cui si deve accedere tramite login.

Per navigare anonimi faremo uso di dei Proxy Server, come anche di dei servizi Proxy nel web.

Un Proxy è un applicazione server che permette a dei clients di accedere indirettamente e di conseguenza in modo anonimo alla rete. Un client, che può essere un web-client come Firefox o un BitTorrent client come uTorrent, richiede una risorsa ( un file, una pagina ecc. ) al proxy e il proxy fornisce l’informazione al client richiedendola a sua volta in internet o servendola dalla propria cache. In questo modo le attività svolte in rete verranno svolte con l’indirizzo IP del Proxy e non con il proprio.

Ci sono diversi tipi di Proxy:

Transparent Proxy

Questo tipo di proxy si identifica come Proxy Server e rivela il vero indirizzo IP disponibile come informazione nel HTTP Header. Può essere semplicemente utile per eludere una qualche blacklist, se il proprio ip è stato bannato ecc., ma non offre nessuna reale anonimità.

Anonymous Proxy

Questo tipo si identifica come server Proxy ma non rivela nessuna informazione riguardo all’indirizzo IP originale. Questo tipo di Proxy offre già un ragionevole grado di anonimità anche se può venire rintracciato.

High Anonymity Proxy

Questo tipo di Proxy non si identifica come proxy e non rivela l’indirizzo IP originale.

Cercare dei free Proxy anonimi o acquistarne alcuni. Tipo su questo sito dovreste trovarne: anonymous-proxy-list o su altri siti, basta cercare. Naturalmente HIA sta per high anonymous.

Oppure acquistarne su questo sito: buy.fineproxy.org/eng. Li ho testati sono veramente veloci e il servizio è buono.

Scegliere il “proxy packages” e cliccre su buy e pagare.

Una volta pagato si riceverà una lista di proxy servers che richiedono autorizzazione.

Ora che abbiamo trovato dei Proxy free o ne abbiamo comprati, impostiamo Firefox per usarli.

Navigando nella sezione avanzate ( advanced ) delle impostazioni di Firefox ci spostiamo in network o rete e clicchiamo su settings (impostazioni). Apparirà una finestra in cui aggiungere l’indirizzo IP e la porta da usare, inserire le informazioni ricevute (indirizzoip:porta) e premere su OK. Vedi anche immagini sottostanti.

impostazione firefox proxy

impostazioni firefox proxy
Ora se si aggiorna Firefox o si prova a navigare verrà richiesta una password. Inserire la password e buon divertimento.

A questo punto per essere ancora più anonimi “incateniamo” il Proxy con Servizio Web Proxy.

Un altra soluzione per navigare e scaricare in modo anonimo e sicuro è usare un servizio VPN come per esempio BTGuard VPN

└ Tags: anonimi, anonimità, anonimo, anonymizer, firefox, free, gratis, http, internet, lista, navigare, Navigare sicuri, online, privacy, proxy, proxy list, proxy server, rete, Sicurezza, surfare, web
 Comment 
  • Page 6 of 6
  • « First
  • «
  • 2
  • 3
  • 4
  • 5
  • 6

Articoli recenti

  • Hacking WordPress – Content Injection Exploit e DoS
  • Ethical Hacking – Metasploit, Msfvenom e Meterpreter
  • Ethical Hacking – Testare la sicurezza – Nmap e Metasploit
  • Sicurezza WordPress – Penetration test con Kali Linux
  • Craccare password con Hashcat Brute Force

Commenti recenti

  • Marco su Compilare il Kernel di Linux openSUSE
  • chitblog su La perfetta installazione WordPress – Sicurezza
  • chitblog su La perfetta installazione WordPress – Sicurezza
  • Andrea su La perfetta installazione WordPress – Sicurezza

Categorie

  • Ethical Hacking / Penetration Testing
  • LINUX SERVER
  • openSUSE
  • SEO / ANALYTICS / WEBMASTER
  • Sicurezza / Anonimato
  • VARIO
  • WordPress

Archivi

  • Maggio 2019
  • Marzo 2019
  • Gennaio 2019
  • Giugno 2018
  • Maggio 2018
  • Aprile 2018
  • Marzo 2018
  • Febbraio 2018
  • Ottobre 2017
  • Giugno 2016
  • Novembre 2015
  • Agosto 2015
  • Giugno 2015
  • Aprile 2015
  • Marzo 2015
  • Maggio 2014
  • Gennaio 2014
  • Dicembre 2013
  • Ottobre 2013
  • Luglio 2013
  • Giugno 2013