Sicurezza

From Manjaro Linux
Jump to: navigation, search

⇐ Torna alla Pagina Principale

Introduzione

Questa pagina wiki tenterà di introdurre il lettore ad alcuni accorgimenti di carattere generale riguardo alla sicurezza. Più avanti troverete anche degli esempi pratici descritti dettagliatamente.

Si spera che questa pagina continui a crescere ed evolversi grazie al contributo degli utenti del Forum di Manjaro. Tutto ciò al fine di mettere in condizione gli utenti di avvalersi del web nel modo più sicuro possibile.

Malware: virus e rootkit

È interessante leggere la pagina di Wikipedia sul malware per Linux (in inglese) al fine di acquisire una miglior comprensione della situazione riguardante GNU/Linux e malware, virus e rootkits. In breve i software malevoli esistono anche in ambiente GNU/Linux, anche se risultano rari e difficilmente si propagano su larga scala; a seconda dell'utilizzo che si fa del sistema operativo può essere consigliabile l'applicazione di alcune pratiche di prevenzione.

Virus

Data la capacità di diffusione di questa categoria di software malevoli, anche su sistemi Linux se sono collegate anche macchine Windows alla stessa rete sarà consigliabile dotarsi di un software antivirus come ClamAV. È possibile installare molti software antivirus direttamente dai repository ufficiali di Manjaro.

In alternativa è anche possibile dotarsi di un firewall specifico come IPCop (link a una pagina in inglese).

Rootkit

Il rootkit è un tpo di software invisibile in grado di nascondere determinati processi o programmi ai normali metodi di rilevamento e al contempo di garantirsi accesso con privilegi al sistema nel quale risiede. Esistono diverse applicazioni per la difesa dai software malevoli di questa categoria, per esempio Rootkit Hunter è presente nei repository di Manjaro.

Password

Come viene scritto ovunque tutte le password, e in particolar modo quelle che permettono l'accesso a informazioni sensibili, devono essere scelte in modo che siano difficili da scoprire anche per qualunque vostro conoscente. Le password non devono essere brevi e non devono essere citazioni, meglio ancora se contengono simboli e numeri. Non si dovrebbe usare la stessa password per più di un sito, né password simili. Ma soprattutto una password deve essere facile da recuperare per l'utente al momento del bisogno, nella memoria oppure in un gestore di password come KeePassXC oppure pass.

È buona norma annotare le password per iscritto e conservarle in un posto sicuro, per avere modo di recuperare la password se la memoria o altri metodi falliscono. È altresì buona pratica uscire sempre da una sessione online quando sono state terminate le operazioni, ed evitare di salvare le password nel browser senza una password di protezione, altrimenti è molto semplice per un'altra persona che utilizza lo stesso computer ottenere le vostre password.

Domain Name System (DNS)

DNS sta per Domain Name System (Sistema dei nomi di dominio). I nomi di dominio sono quegli indirizzi, leggibili da un essere umano, con cui raggiungiamo un sito web. Ad esempio, il nome di dominio di Google è google.com, quindi se si vuole raggiungere Google bisogna inserire google.com nella barra degli indirizzi del browser. Tuttavia il computer non sa dove trovare google.com, dietro le quinte vengono utilizzati gli indirizzi IP, è quindi presente uno strumento che consente di tradurre i nomi di dominio in indirizzi IP.

Lo spoofing DNS è un attacco hacker in cui si falsano i dati di un server DNS, in modo tale che a un determinato nome di dominio non corrisponda più il suo effettivo indirizzo IP ma quello di un altro computer, tendenzialmente sotto il controllo di colui che ha effettuato la manomissione. Di conseguenza si riterrà, ad esempio, di essere sul sito della propria banca, mentre in realtà ci si trova davanti a una contraffazione perfetta e si finirà per far avere i propri dati al malintenzionato.

Per tutelarsi da questa eventualità è consigliabile verificare il grado di resistenza allo spoofing del proprio server DNS. Per questo proposito è disponibile un servizio online sul sito della Gibson Reasearch Corporation.

Se la prova dovesse dare un punteggio basso si può sempre cambiare il proprio server DNS. Per cambiare i server DNS è necessario modificare le impostazioni di rete di una singola connessione o dell'intero sistema, i metodi variano per diverse distribuzioni Linux e per diversi ambienti desktop. Maggiori informazioni sono disponibili alla pagina sulla [Set DNS and-or Nameservers|configurazione dei DNS] (in inglese).

Server DNS locali

A completare quanto già detto sui DNS, menzioniamo qui la possibilità di tenere la cache DNS sulla propria macchina. Il primo vantaggio che si avrà nel far questo è che sarà più difficile manomettere la cache; il secondo vantaggio sarà una risposta più rapida, in quanto il server manterrà il dato in memoria.

Fra i più noti server DNS locali:

  • Dnsmasq, è presente una guida sulla corrispondente pagina della ArchWiki

Plug and play universale (UPnP)

È una funzionalità (con acronimo UPnP, dall'inglese) che permette ai dipositivi della propria rete domestica di rilevarsi reciprocamente e quindi accedere a determinati servizi automaticamente, senza che si debbano compiere specifiche procedure. Laddove questa funzionalità è attiva, ogni dispositivo abilitato all'UPnP può collegarsi alla rete e avere accesso ai contenuti condivisi. Questo viene considerato un rischio molto elevato per la sicurezza della rete, in realtà però il tasso di pericolo dipende in buona misura dal contesto in cui la rete è situata: in una zona densamente abitata, con persone in prossimità, si è sicuramente più vulnerabili di quanto lo si sarà in una zona di bassa densità abitativa.

Per coloro che desiderano un più alto grado di sicurezza per la propria rete, il port forwarding (redirezione delle porte) può essere usato in sostituzione dell'UPnP. Il port forwarding è una tecnologia che permette di redirigere il traffico in ingresso nel router su un preciso computer della rete interna, utilizzando come discrimine la porta di destinazione del traffico. La maggior parte dei router sono in grado di disabilitare l'UPnP e abilitare il port forwarding, cercando in rete si trovano facilmente guide per i diversi modelli ed esigenze.

Reti Wireless

Una rete impostata in modo non sufficientemente sicuro consentirà un più facile accesso anche a possibili malintenzionati. Ad esempio, lasciare la rete aperta per condividerla con i vicini comporta anche che chiunque si trovi nei paraggi potrà accedervi. Per la sicurezza della rete wireless si raccomanda il WPA2 con AES e una password di almeno 10 caratteri, con sequenza casuale.

Se si vuole condividere la rete con i vicini gli si farà avere la password, ma tenendo presente che a più persone la facciamo avere, meno sicura diventerà. Un'ottima soluzione per condividere la rete con altre persone, e non dover dettare password infinite agli ospiti, è la creazione di sottoreti apposite, questa funzionalità è presente su molti router moderni e per questa sottorete con permessi limitati si può utilizzare una password più semplice da comunicare e scrivere.

Estensioni del browser

I browser non sono tutti uguali, sta all'utente scegliere il tipo di browser più adatto alle proprie necessità. Alla pagina Personalizzazione di Firefox (in inglese) sono disponibili diversi consigli riguardo la configurazione di Firefox o Palemoon per adattarli alle proprie esigenze di sicurezza o privacy, per esempio utilizzando alcune estensioni.

Server proxy

Un proxy può essere paragonato con buona approssimazione a una persona che si interpone fra due che debbono comunicare fra loro, svolgendo per essi un ruolo di intermediario. Il proxy si interpone fra il computer dell'utente e internet. Vi sono parecchi tipi di proxy come SOCKS, web e SSL, ma qui ci si concentrerà sui proxy web. Alcuni dei più usati server proxy sono i seguenti:

Questi proxy si limitano a filtrare script come AdBlock e ad imporre HTTPS come HTTPS Everywhere, per cui qualcuno potrebbe chiedersi il motivo per cui sono stati menzionati. La risposta è che potrebbero essere utili nel caso si usi un browser per cui non sono disponibili estensioni con queste funzioni. Alcuni dei summenzionati proxy hanno anche la funzione di caching, per la quale vengono mantenute in memoria le pagine visitate dall'utente, il cui caricamento risulterà quindi velocizzato. Alcune VPN (Virtual Private Network Providers) offrono un proxy SOCKS che può indirizzare a un server diverso e cambiare l'indirizzo IP dell'utente, fornendo così un certo grado di anonimato. Se a questo proxy si abbina l'SSL ne risulterà una sorta di tunnel criptato per il proprio traffico su internet, che sarà quindi sicuro quasi quanto una VPN.

VPN

Una VPN (Virtual Private Network, Rete Privata Virtuale) è uno strumento che permette di accedere ad internet passando da un server esterno, nascondendo quindi la propria identità ai siti di destinazione. Sono utilizzate per ottenere l'anonimato nella navigazione o per aggirare restrizioni alla rete, per esempio in paesi in cui i siti di utilizzo comune sono censurati.

Esistono VPN a basso costo e anche gratuite, ma è bene ricordare che in questi casi si ha il controvalore di ciò che si è pagato. Di seguito alcuni criteri che possono aiutare nella scelta:

In primo luogo, assicurarsi che il fornitore della VPN applichi il port forwarding. Se ne avrà bisogno se, rimanendo costantemente collegati alla VPN, si avrà necessità di una porta aperta per, ad esempio, un servizio di gioco come Steam.

In secondo luogo, se davvero si vuole rimanere anonimi, il fornitore della VPN dovrebbe accettare una forma di pagamento non tracciabile come il Bitcoin, oppure un equivalente. È il caso di assicurarsi, con opportune ricerche, che il fornitore della VPN si attenga a quanto promette. Può accadere che il fornitore dichiari di non registrare alcun dato del traffico degli utenti, ma che controlli esterni provino il contrario. Collegarsi a una VPN del proprio paese garantisce che vi sia uniformità a livello legislativo in materia di trattamento di dati personali.

Inotre, si può tenere presente, come uteriore criterio di scelta, che la VPN consenta un indirizzo IP individuale anziché uno condiviso. In quest'ultimo caso difatti può accadere che nel gruppo di utenti che condividono quell'indirizzo IP un singolo subisca il ban da una piattaforma o da un server, il destino sarà condiviso dall'intero gruppo. Di contro, scegliere un IP dinamico significa averne uno diverso ad ogni collegamento e questo renderà più arduo essere tracciati.

OpenVPN

Attenzione: Questa sezione riguardo al software OpenVPN potrebbe non essere adeguatamente aggiornata, è quindi consigliabile consultare anche il sito ufficiale del progetto o le guide messe a disposizione dal servizio che si sceglie di utilizzare.

OpenVPN è una VPN basata su software. Può essere installata e configurata in vari modi: alcuni sistemi VPN usano un file .ovpn più complesso, che include un'insieme di informazioni che altri fornitori di VPN distribuiscono in più file. Il file .ovpn si trova nella cartella /etc/openvpn. È anche possibile richiamare file allocati altrove, come ad esempio in ~/.config/openvpn.

Altri metodi possono richiedere di installare un software che sarà configurato importando un file .ovpn nel network manager, oppure possono richiedere di cambiare l'estensione del file da .ovpn a .conf, quindi di metterlo in /etc/openvpn assieme al proprio certificato IE VPN.crt e un file di testo contenente soltanto i propri nome utente e password ciascuno su una riga, come segue:

username
password

Il comando che segue conferisce al file, qui chiamato private, i necessari permessi:

sudo chmod 600 /etc/openvpn/private

Il file private deve essere poi richiamato nel file .conf tramite la seguente riga:

auth-user-pass private

Di seguito un tipico file .config

client
dev tun
proto udp
remote “IP OF SERVER IE: 101.101.101.101” 1194
resolv-retry infinite
auth-user-pass private
nobind
persist-key
persist-tun
comp-lzo
ca VPN.crt
verb 3
tun-mtu 1500
fragment 1400
mssfix
reneg-sec 0

Il secondo tipo di VPN è il L2TP/IPsec (Layer Two Tunneling Protocol Internet Protocol Security) che non richiede software per essere installato su Windows, Android o Macintosh, ma lo richiede su Linux e può essere ingombrante. In proposito è possibile leggere la pagina della ArchWiki per IPsec.

Pur avvalendosi di una VPN, si continuerà ad essere tracciati qualora si usino i server DNS del proprio fornitore di accesso a internet (ISP).

Per controllare se si viene tracciati tramite il DNS, è possibile utilizzare il servizio online DNS Leak Test.

Nel forum

È presente un topic sul forum (in inglese) per tenere traccia degli aggiornamenti riguardo agli argomenti trattati in questa pagina.

Collegamenti esterni