1 |
scen 07/11/08 18:49:32 |
2 |
|
3 |
Added: quickstart.xml |
4 |
Log: |
5 |
Initial commit: version 1.11, revision 1.11 of EN CVS |
6 |
|
7 |
Revision Changes Path |
8 |
1.1 xml/htdocs/proj/it/hardened/rsbac/quickstart.xml |
9 |
|
10 |
file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/proj/it/hardened/rsbac/quickstart.xml?rev=1.1&view=markup |
11 |
plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/proj/it/hardened/rsbac/quickstart.xml?rev=1.1&content-type=text/plain |
12 |
|
13 |
Index: quickstart.xml |
14 |
=================================================================== |
15 |
<?xml version='1.0' encoding="UTF-8"?> |
16 |
<!DOCTYPE guide SYSTEM "/dtd/guide.dtd"> |
17 |
<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/it/hardened/rsbac/quickstart.xml,v 1.1 2007/11/08 18:49:31 scen Exp $ --> |
18 |
|
19 |
<guide link="/proj/it/hardened/rsbac/quickstart.xml" lang="it"> |
20 |
<title>Rule Set Based Access Control (RSBAC) per Linux - Guida rapida |
21 |
all'uso</title> |
22 |
|
23 |
<author title="Autore"> |
24 |
<mail link="albeiro@××××××.pl">Michal Purzynski</mail> |
25 |
</author> |
26 |
<author title="Redazione"> |
27 |
<mail link="kang@g.o">Guillaume Destuynder</mail> |
28 |
</author> |
29 |
<author title="Traduzione"> |
30 |
<mail link="info@××××××××××××××.com">Franco Tampieri</mail> |
31 |
</author> |
32 |
|
33 |
<abstract> |
34 |
Questo documento vi guiderà attraverso l'installazione di RSBAC sulla |
35 |
distribuzione Gentoo Linux |
36 |
</abstract> |
37 |
|
38 |
<!-- The content of this document is licensed under the CC-BY-SA license --> |
39 |
<!-- See http://creativecommons.org/licenses/by-sa/1.0 --> |
40 |
<license/> |
41 |
|
42 |
<version>1.11</version> |
43 |
<date>2006-02-15</date> |
44 |
|
45 |
<chapter> |
46 |
<title>Introduzione</title> |
47 |
<section> |
48 |
<body> |
49 |
|
50 |
<p> |
51 |
Questa guida vi aiuterà a installare RSBAC su Gentoo Linux. Si assume che |
52 |
l'utente abbia già letto l'<uri |
53 |
link="/proj/en/hardened/rsbac/intro.xml">Introduzione</uri> (in Inglese, ndt) e |
54 |
la <uri link="overview.xml">Panoramica</uri>, così che egli sappia cos'è RSBAC |
55 |
e quali sono i suoi concetti base. |
56 |
</p> |
57 |
|
58 |
</body> |
59 |
</section> |
60 |
</chapter> |
61 |
|
62 |
<chapter> |
63 |
<title>Installazione di un kernel che supporti RSBAC</title> |
64 |
<section> |
65 |
<title>Installare il kernel RSBAC</title> |
66 |
<body> |
67 |
|
68 |
<p> |
69 |
Questo passo è abbastanza semplice e diretto, grazie al modo in cui Gentoo |
70 |
tratta le installazioni del kernel. Iniziare con l'emerge del kernel |
71 |
rsbac-sources da portage. |
72 |
</p> |
73 |
|
74 |
<note> |
75 |
Ci sono due kernel rsbac-sources utilizzabili: uno è per il kernel 2.4, l'altro |
76 |
è per il più recente kernel 2.6. |
77 |
</note> |
78 |
|
79 |
<pre caption="Installazione del kernel RSBAC (usando il profilo predefinito e |
80 |
il kernel 2.6)"> |
81 |
# <i>emerge rsbac-sources</i> |
82 |
</pre> |
83 |
|
84 |
<pre caption="Installazione del kernel RSBAC (usando il kernel 2.4, dal profilo |
85 |
Gentoo 2005.0)"> |
86 |
# <i>rm /etc/make.profile</i> |
87 |
# <i>ln -s /usr/portage/profiles/default-linux/x86/2005.0/2.4/ /etc/make.profile</i> |
88 |
# <i> echo "sys-kernel/hardened-sources rsbac" >> /etc/portage/package.use</i> |
89 |
# <i>emerge hardened-sources</i> |
90 |
</pre> |
91 |
|
92 |
<impo> |
93 |
Si raccomanda di abilitare il softmode per la prima compilazione di un kernel |
94 |
RSBAC. Questo permette di disabilitare l'enforcement RSBAC al reboot, per |
95 |
testare l'installazione o nel caso qualcosa vada male. Lo si disabiliti |
96 |
solamente non appena si sia sicuri di quello che si sta facendo, o naturalmente, |
97 |
per un kernel di produzione. |
98 |
</impo> |
99 |
|
100 |
</body> |
101 |
</section> |
102 |
<section> |
103 |
<title>Configurare il kernel RSBAC</title> |
104 |
<body> |
105 |
|
106 |
<p> |
107 |
Ora si configurerà il kernel. Si raccomanda di abilitare le seguenti opzioni, |
108 |
nel menù "Rule Set Based Access Control (RSBAC)": |
109 |
</p> |
110 |
|
111 |
<pre caption="Configurare e compilare il kernel RSBAC"> |
112 |
<comment>Sezione "General RSBAC options"</comment> |
113 |
[*] RSBAC proc support |
114 |
[*] Check on init |
115 |
[*] Support transactions |
116 |
[*] Randomize transaction numbers |
117 |
[*] RSBAC debugging support |
118 |
(400) RSBAC default security officer user ID |
119 |
|
120 |
<comment>Sezione "User management"</comment> |
121 |
[*] User management |
122 |
<comment>Assicurarsi di abilitare l'opzione SHA1 nelle Crypto API |
123 |
Nella categoria "Cryptographic options" della configurazione generale del kernel, |
124 |
si selezioni |
125 |
[*] SHA1 digest algorithm |
126 |
</comment> |
127 |
[*] Use Crypto API Digest SHA1 (NEW) |
128 |
|
129 |
<comment>Sezione "RSBAC networking options"</comment> |
130 |
[*] RSBAC network support |
131 |
[*] Net device control |
132 |
[ ] Treat virtual devices as individuals |
133 |
[*] Individual network device logging |
134 |
[*] Net object control (sockets) |
135 |
[*] Control UNIX address family |
136 |
[*] Also intercept network object read and write |
137 |
[*] Individual network object logging |
138 |
|
139 |
<comment>(Non si abiliti l'opzione "RSBAC Maintenance Kernel", ma si usi il |
140 |
softmode)</comment> |
141 |
|
142 |
<comment>Sezione "Decision module (policy) options"</comment> |
143 |
[*] Support for Registration of decision modules (REG) |
144 |
[*] Build REG sample modules |
145 |
---------------------------- |
146 |
[*] RSBAC support for DAZuko policy <comment>(For malware/antivirus scanning)</comment> |
147 |
DAZ Policy Options ---> |
148 |
(604800) Scanning result lifetime in seconds |
149 |
|
150 |
<comment>Per ogni differente politica/modulo che si decide di supportare si deve |
151 |
controllare la relativa protezione nel'AUTH module e nello User Management module</comment> |
152 |
[*] RSBAC support for FF policy |
153 |
[*] RSBAC support for RC policy |
154 |
[*] RSBAC support for AUTH policy |
155 |
<comment>Si disabiliti l'opzione learning per il kernel di produzione. |
156 |
E' solamente usata durante il set-up di un sistema RSBAC dedicato.</comment> |
157 |
AUTH Policy Options ---> |
158 |
[*] AUTH learning mode support |
159 |
[*] RSBAC support for ACL policy |
160 |
[*] RSBAC support for Linux Caps (CAP) policy |
161 |
[*] RSBAC support for JAIL policy |
162 |
[*] RSBAC support for PAX policy |
163 |
[*] RSBAC support for System Resources (RES) policy |
164 |
|
165 |
<comment>Sezione "Softmode and switching"</comment> |
166 |
[ ] RSBAC policies switchable |
167 |
[*] RSBAC soft mode <comment>(Turn that off on production kernels)</comment> |
168 |
[*] Individual module softmode support |
169 |
|
170 |
<comment>Sezione "Logging": tutto tranne l'opzione "Log to remote UDP network |
171 |
socket" a meno che non si voglia loggare la macchina in remoto</comment> |
172 |
|
173 |
<comment>Sezione "RSBAC symlink redirection"</comment> |
174 |
[*] RSBAC symlink redirection |
175 |
[*] Add remote IP address |
176 |
[*] Add user ID number |
177 |
[*] Add RC role number |
178 |
|
179 |
<comment>Sezione "Other RSBAC options"</comment> |
180 |
[*] Intercept sys_read and sys_write |
181 |
[*] Intercept Semaphore IPC operations |
182 |
[*] Control DAC process owner (seteuid, setfsuid) |
183 |
[*] Hide processes in /proc |
184 |
[*] Support freezing of RSBAC configuration |
185 |
[*] RSBAC check sys_syslog |
186 |
</pre> |
187 |
|
188 |
<note> |
189 |
Se si pensa di lanciare un server X Windows (come X.org o XFree86), si abiliti |
190 |
anche <c>"[*] X support (normal user MODIFY_PERM access to ST_ioports)"</c>. |
191 |
Vedere anche <uri link="/proj/it/hardened/hardenedxorg.xml">Usare Xorg su Gentoo |
192 |
Hardened</uri> |
193 |
</note> |
194 |
|
195 |
<p> |
196 |
Ora si configurerà PaX che è un complemento del kernel RSBAC hardened. Si |
197 |
raccomanda inoltre di abilitare le seguenti opzioni, nella sezione "Security |
198 |
options ---> PaX". |
199 |
</p> |
200 |
|
201 |
<pre caption="Configurazione delle ozioni PaX di kernel"> |
202 |
[*] Enable various PaX features |
203 |
PaX Control ---> |
204 |
[*] Support soft mode |
205 |
<comment>(Disabilitare questa opzione in un kernel di produzione)</comment> |
206 |
[ ] Use legacy ELF header marking |
207 |
[ ] Use ELF program header marking |
208 |
Use ELF program header marking MAC system integration (direct) ---> |
209 |
(X) hook |
210 |
|
211 |
Non-executable pages ---> |
212 |
[*] Enforce non-executable pages (NEW) |
213 |
[*] Paging based non-executable pages |
214 |
<comment>(Di solito si seleziona il metodo PAGEEXEC su x86 siccome supporta |
215 |
i più recenti PaXs, o si seleziona SEGMEXEC nel caso si abbiano problemi)</comment> |
216 |
[*] Segmentation based non-executable pages (NEW) |
217 |
[*] Restrict mprotect() |
218 |
[ ] Disallow ELF text relocations |
219 |
<comment>(Questa opzione non è ancora sufficientemente stabile)</comment> |
220 |
|
221 |
Address Space Layout Randomization ---> |
222 |
[*] Address Space Layout Randomization |
223 |
[*] Randomize user stack base |
224 |
[*] Randomize mmap() base |
225 |
</pre> |
226 |
|
227 |
<note> |
228 |
Il riferimento per ulteriori informazioni è il link <uri |
229 |
link="http://pax.grsecurity.net">PaX</uri>. |
230 |
</note> |
231 |
|
232 |
<note> |
233 |
E' obbligario usare le utilità admin di RSBAC per gestire PaX con un kernel |
234 |
dedicato RSBAC, in luogo di chpax o paxctl. Operando così si può facilmente |
235 |
individuare l'oggetto PaX e di impostarne i flag. |
236 |
</note> |
237 |
|
238 |
<pre caption="Gestire i flag PaX"> |
239 |
# <i>rsbac_fd_menu /path/to/the/target/item</i> |
240 |
o |
241 |
# <i>attr_set_file_dir FILE /path/to/the/target/item pax_flags [pmerxs]</i> |
242 |
</pre> |
243 |
|
244 |
<p> |
245 |
Giunti a questo punto si compila e installa il kernel scegliendo tutte le |
246 |
rimanenti opzioni come si fa nel caso normale. |
247 |
</p> |
248 |
|
249 |
<impo> |
250 |
Si raccomanda vivamente di compilare un secondo kernel senza le opzioni |
251 |
softmode, e senza l'opzione AUTH, in maniera da poterlo usare in un ambiente da |
252 |
produzione. Usarlo solo quando si è terminato il test e la configurazione delle |
253 |
politiche, siccome rende impossibile disabilitare il sistema di controllo delle |
254 |
politiche. |
255 |
</impo> |
256 |
|
257 |
</body> |
258 |
</section> |
259 |
</chapter> |
260 |
|
261 |
<chapter> |
262 |
<title>Installazione delle utilità admin di RSBAC</title> |
263 |
<section> |
264 |
<body> |
265 |
|
266 |
<p> |
267 |
Per amministrare un sistema Gentoo con RSBAC abilitato, sono necessarie alcune |
268 |
utilità userspace. Tali utilità sono presenti nel pacchetto rsbac-admin che |
269 |
ovviamente deve essere installato. |
270 |
</p> |
271 |
|
272 |
<pre caption="Installazione delle utilità amministrative di RSBAC"> |
273 |
# <i>emerge rsbac-admin</i> |
274 |
</pre> |
275 |
|
276 |
<p> |
277 |
Una volta installato, il pacchetto crea un nuovo utente del sistema (secoff, con |
278 |
uid 400). Tale utente diventerà l'amministratore della sicurezza durante il |
279 |
primo boot. E' l'unico utente in grado di cambiare la configurazione RSBAC, ed è |
280 |
comunemente chiamato Security Officer. |
281 |
</p> |
282 |
|
283 |
<impo> |
284 |
Naturalmente si deve scegliere una password <e>sicura</e> per l'utente secoff. |
285 |
</impo> |
286 |
|
287 |
<pre caption="Creazione della password per il Security Officer"> |
288 |
# <i>passwd secoff</i> |
289 |
</pre> |
290 |
|
291 |
</body> |
292 |
</section> |
293 |
</chapter> |
294 |
|
295 |
<chapter> |
296 |
<title>Il primo boot</title> |
297 |
<section> |
298 |
<body> |
299 |
|
300 |
<p> |
301 |
Durante il primo boot, il login nel sistema non è possible, a causa |
302 |
dell'impostazione del modulo AUTH che <e>restringe</e> i privilegi dei |
303 |
programmi. Per aggirare questo problema eseguire il boot in softmode usando il |
304 |
seguente parametro del kernel (nella configurazione di lilo o grub): |
305 |
</p> |
306 |
|
307 |
<pre caption="Parametro del kernel per l'esecuzione in softmode"> |
308 |
<i>rsbac_softmode</i> |
309 |
</pre> |
310 |
|
311 |
<p> |
312 |
L'applicazione di login gestisce tutti i login di utente del sistema. Essa ha |
313 |
bisogno dei diritti necessari per eseguire il setuid, ed occorre procedere come |
314 |
segue per fare sì che ciò avvenga: |
315 |
</p> |
316 |
|
317 |
<p> |
318 |
Eseguire il login come Security Officer (secoff) e permettere i login mediante |
319 |
il seguente comando: |
320 |
</p> |
321 |
|
322 |
<pre caption="Come permettere il login agli utenti"> |
323 |
# <i>rsbac_fd_menu /bin/login</i> |
324 |
o |
325 |
# <i>attr_set_fd AUTH FILE auth_may_setuid 1 /bin/login</i> |
326 |
</pre> |
327 |
|
328 |
<p> |
329 |
Alternativamente, se il softmode non è abilitato, si può usare il seguente |
330 |
parametro di kernel, per permettere il login al boot: |
331 |
</p> |
332 |
|
333 |
<pre caption="Come permettere il login utente con un parametro di kernel"> |
334 |
<i>rsbac_auth_enable_login</i> |
335 |
</pre> |
336 |
|
337 |
</body> |
338 |
</section> |
339 |
</chapter> |
340 |
|
341 |
<chapter> |
342 |
<title>Il modo Learning e il modulo AUTH</title> |
343 |
<section> |
344 |
<title>Creare un politica per OpenSSH</title> |
345 |
<body> |
346 |
|
347 |
<p> |
348 |
Siccome non esiste una politica di gestione degli accessi (tranne quella |
349 |
generata al primo boot), il modulo AUTH non permette di cambiare l'uid. |
350 |
</p> |
351 |
|
352 |
<p> |
353 |
Grazie al modo learning intelligente è facile aggirare questo problema: il |
354 |
modulo AUTH può generare "magicamente" in automatico la politica necessaria |
355 |
osservando i vari servizi all'avvio, e annotando quali uid cercano di impostare. |
356 |
Ad esempio per insegnare al modulo AUTH quali uid necessita l'sshd (il demone |
357 |
di OpenSSH), procedere come segue: |
358 |
</p> |
359 |
|
360 |
<impo> |
361 |
Assicurarsi che sshd o il demone su cui si vuole usare il modo learning non sia |
362 |
già in esecuzione prima di abilitare il modo stesso. |
363 |
</impo> |
364 |
|
365 |
<pre caption="Creazione di una politica per sshd, usando il modo learning"> |
366 |
<comment>Abilitare il modo learning per sshd</comment> |
367 |
# <i>attr_set_file_dir AUTH FILE `which sshd` auth_learn 1</i> |
368 |
|
369 |
<comment>Lanciare il servizio</comment> |
370 |
# <i>/etc/init.d/sshd start</i> |
371 |
|
372 |
<comment>Disabilitare il modo learning</comment> |
373 |
# <i>attr_set_file_dir AUTH FILE `which sshd` auth_learn 0</i> |
374 |
</pre> |
375 |
|
376 |
<note> |
377 |
Si deve effettuare il login al sistema prima di disabilitare il modo learning, |
378 |
perchè l'sshd tenterà di cambiare i suoi uid quando un qualsiasi utente effettua |
379 |
il login. |
380 |
</note> |
381 |
|
382 |
<p> |
383 |
Ora sshd dovrebbe lavorare così come richiesto, <e>congratulazioni</e>, si è |
384 |
realizzata la prima politica :) La stessa procedura si può usare per definire la |
385 |
politica di ogni altro demone. |
386 |
</p> |
387 |
|
388 |
<note> |
389 |
Alternativamente all'abilitazione del modo learning per ogni demone che serve, |
390 |
potrebbe essere necessario abilitare un modo learning globale (che apprenderà su |
391 |
tutte le applicazioni in esecuzione globalmente, così come dice il nome). |
392 |
</note> |
393 |
|
394 |
<p> |
395 |
Si può abilitare il modo learning globale passando il seguente parametro al |
396 |
kernel durante il boot: |
397 |
</p> |
398 |
|
399 |
<pre caption="Abilitazione del modo learning globale"> |
400 |
<i>rsbac_auth_learn</i> |
401 |
</pre> |
402 |
|
403 |
</body> |
404 |
</section> |
405 |
</chapter> |
406 |
|
407 |
<chapter> |
408 |
<title>Ulteriori informationi</title> |
409 |
<section> |
410 |
<body> |
411 |
|
412 |
<p> |
413 |
Si raccomanda l'iscrizione alla <uri link="/main/it/lists.xml">mailing-list |
414 |
gentoo-hardened</uri>. È una mailing list a basso traffico, e gli annunci |
415 |
relativi a RSBAC per Gentoo saranno comunicati lì. Si raccomanda anche |
416 |
l'iscrizione alla <uri |
417 |
link="http://rsbac.org/mailman/listinfo/rsbac/">mailing-list RSBAC</uri>. Si può |
418 |
anche dare un'occhiata alle <uri |
419 |
link="/proj/it/hardened/hardenedfaq.xml">Domande frequenti su |
420 |
Gentoo Hardened</uri> anche se quesiti importanti potrebbero già trovare |
421 |
risposta in questo documento. |
422 |
</p> |
423 |
|
424 |
<table> |
425 |
<tr> |
426 |
<ti>Links:</ti> |
427 |
<ti colspan="2"> |
428 |
<uri link="http://www.rsbac.org">Sito ufficiale di RSBAC</uri> |
429 |
</ti> |
430 |
</tr> |
431 |
<tr> |
432 |
<ti>Canali IRC:</ti> |
433 |
<ti> |
434 |
<uri link="irc://irc.freenode.org/gentoo-hardened">#gentoo-hardened</uri> |
435 |
</ti> |
436 |
<ti><uri link="irc://irc.freenode.org/rsbac">#rsbac</uri></ti> |
437 |
</tr> |
438 |
</table> |
439 |
|
440 |
</body> |
441 |
</section> |
442 |
</chapter> |
443 |
</guide> |
444 |
|
445 |
|
446 |
-- |
447 |
gentoo-commits@g.o mailing list |