 |
» |
|
|
|
Questa sezione presenta la descrizione sintetica dei meccanismi di autenticazione o autorizzazione utilizzati dai vari servizi Internet e dei rischi per la protezione. I servizi Internet di HP-UX sono documentati in HP-UX Internet Services Administrator's Guide e Using HP-UX Internet Services, all'indirizzo: http://www.docs.hp.com/en/netcom.html#Internet%20Services Vedere anche HP-UX Remote Access Services Administrator's Guide, all'indirizzo: http://www.docs.hp.com/en/netcom.html#Internet%20Services I servizi Internet di HP-UX forniscono l'autenticazione, tramite controllo della password o dell'autorizzazione, secondo le impostazioni di un file di configurazione. Per un elenco dei componenti dei servizi Internet e dei loro meccanismi di controllo dell'accesso o dell'autorizzazione, vedere la Tabella 5-1.
Tabella 5-1 Componenti dei servizi Internet e controllo dell'accesso, autorizzazione ed autenticazione | Componente dei servizi Internet | Meccanismo di controllo d'accesso, autorizzazione o autenticazione |
|---|
| ftp (trasferimento file) | Controllo della password. Può anche utilizzare i meccanismi di autenticazione di Kerberos, definiti in /etc/inetsvcs.conf. Consultare ftp(1). | | rcp (copia remota) | Voce nel file $HOME/.rhosts o /etc/hosts.equiv. Può anche utilizzare i meccanismi di autenticazione di Kerberos, definiti in /etc/inetsvcs.conf. Consultare rcp(1). | | rdist (distribuzione remota di file) | Voce nel file $HOME/.rhosts o /etc/hosts.equiv. Consultare rdist(1). | | remsh, rexec (esecuzione da shell remota) | Voce nel file $HOME/.rhosts o /etc/hosts.equiv. Può anche utilizzare i meccanismi di autenticazione di Kerberos, definiti in /etc/inetsvcs.conf. Vedere remsh(1). | | rlogin (accesso utente remoto) | Controllo della password o della voce nel file $HOME/.rhosts o /etc/hosts.equiv. Può anche utilizzare i meccanismi di autenticazione di Kerberos, definiti in /etc/inetsvcs.conf. Vedere rlogin(1). | | telnet (accesso utente remoto con il protocollo TELNET) | Controllo della password. Se l'opzione ID utente TAC è abilitata dal daemon telnetd, telnet usa la voce nel file $HOME/.rhosts o /etc/hosts.equiv. Vedere telnet(1) e telnetd(1M). |
| | | |  | NOTA: Le informazioni, password comprese, sono trasmesse in chiaro fra i due sistemi, senza essere crittografate. Usare i servizi Internet soltanto tra host noti e definiti l'uno nei confronti dell'altro, all'interno di una rete privata interna e protetta da un firewall. Quando si comunica attraverso una rete non sicura, proteggere le comunicazioni con IPSec o Kerberos. | | | | |
I servizi di accesso remoto collegano i sistemi remoti in una rete. Per impostazione predefinita, i servizi di accesso remoto operano in un ambiente non protetto. Per operare in un ambiente protetto, abilitare l'autenticazione di rete Kerberos V5. In un ambiente non protetto, per accedere ad un sistema remoto è necessario avere un nome per l'accesso ed una password; il nome per l'accesso non sarà sottoposto a controlli di autenticazione ed autorizzazione. In un ambiente protetto, non è necessario disporre di un nome per l'accesso e di una password. Quando si tenta di accedere ad un sistema remoto, il protocollo Kerberos controllerà se l'utente è autorizzato ad accedere al sistema remoto. Protezione di ftp | |
Un utente non autorizzato potrebbe cercare di accedere ad un sistema con il comando ftp. Seguono alcuni suggerimenti per impedire questo problema: Abilitare la registrazione eventi di ftp in /etc/inetd.conf con il comando ftpd -l. Controllare i registri eventi di ftp in /var/adm/syslog/syslog.log e /var/adm/syslog/xferlog per individuare eventuali tentativi insoliti di accesso remoto. Consultare syslogd(1M) e xferlog(5). Impedire l'accesso ftp a guest, root e altri account, elencandoli in /etc/ftpd/ftpusers Vedere ftpusers(4). Periodicamente, cercare e rimuovere i file ~/.netrc degli utenti. Il file .netrc contiene le informazioni di accesso, password e account usate dalla procedura di accesso automatico di ftp, dalla libreria di routine rexec() e dal comando rexec. Consultare netrc(4).
Protezione di ftp anonimo | |
Se un file $HOME/.rhosts è collocato in /home/ftp, un utente non autorizzato potrebbe usare rlogin per accedere come utente a ftp. Il file .rhosts specifica gli host e gli utenti che possono accedere ad un account locale con rcp, remsh o rlogin senza usare una password. Per ulteriori informazioni, vedere hosts.equiv(4). Seguono alcuni suggerimenti per proteggere meglio ftp anonimo. Accertarsi che /home/ftp e nessuna delle directory figlie siano scrivibili: Accertarsi che la voce ftp in /etc/passwd sia configurata correttamente: ftp:*:500:100:Anonymous FTP user:/var/ftp:/usr/bin/false |
Accertarsi che tutte le password in ~ftp/etc/passwd siano asterischi (*): $more ~ftp/etc/passwd
root:*:0:3::/:/usr/bin/false daemon:*:1:5::/:/usr/bin/false |
Se è necessario che la directory pub sia scrivibile, usare le autorizzazioni 1733: $chmod 1733 /home/ftp/pub |
Usare le quote del disco o un job cron per controllare la dimensione di /home/ftp/pub: 0 1 * * * find /home/ftp/pub/* -atime +1 exec rm -rf {} \; |
Controllare l'attività ftp anonima in /var/adm/syslog/syslog.log: $tail /var/adm/syslog/syslog.log |
Negazione dell'accesso con /etc/ftpd/ftpusers | |
Il daemon inetd esegue il server del protocollo di trasferimento file, ftpd, quando alla porta indicata in /etc/services è ricevuta una richiesta di servizio. Il server ftpd rifiuta gli accessi utente remoti agli account utente locali elencati in /etc/ftpd/ftpusers. Questi account utente sono chiamati account riservati. Vedere ftpd(1M), privatepw(1) e services(4). Nel file /etc/ftpd/ftpusers, ogni nome di account riservato deve comparire da solo in una riga. Aggiungere anche gli account utente con shell di accesso riservate che sono definiti in /etc/passwd, perché ftpd accede agli account locali senza usare le loro shell di accesso. Se /etc/ftpd/ftpusers non esiste, ftpd non eseguirà controlli di protezione. Per ulteriori informazioni, consultare ftpusers(4). In HP-UX 11i, il daemon ftpd è basato su WU-FTPD. WU-FTPD è l'implementazione HP del daemon ftpd sviluppato dalla Washington University. WU-FTPD consente un maggior controllo degli accessi, migliori capacità di registrazione eventi, il supporto di host virtuali e il supporto del protocollo di identificazione RFC1413. Per ulteriori informazioni, vedere HP-UX Remote Access Services Administrator's Guide, all'indirizzo: http://www.docs.hp.com/en/netcom.html#Internet%20Services Altre soluzioni di protezione contro lo spoofing | |
Lo spoofing è un metodo per fingere di essere un utente autorizzato ed ottenere l'accesso non autorizzato ad un sistema. Poiché gli indirizzi IP ed i nomi degli host possono essere oggetto di spoofing, l'uso del file di protezione /var/adm/inetd.sec per inetd (il daemon di Internet) non è una soluzione garantita per la protezione. Per ulteriori informazioni su inetd, vedere la Sezione . Le seguenti funzionalità ed i seguenti prodotti per la protezione sono soluzioni alternative per la sicurezza: IPFilter è un filtro per pacchetti TCP/IP che può essere utilizzato come firewall di sistema per proteggere i server delle applicazioni. Per ulteriori informazioni, vedere HP-UX IPFilter Administrator's Guide, all'indirizzo: http://www.docs.hp.com/en/internet.html#IPFilter TCP Wrappers offre un daemon wrapper TCP, tcpd, chiamato da inetd per fornire ulteriore protezione. Vedere la Sezione e HP-UX Internet Services Administrator's Guide, all'indirizzo: http://www.docs.hp.com/en/netcom.html#Internet%20Services Secure Internet Services consente l'uso dell'autenticazione e dell'autorizzazione Kerberos per ftp, rcp, remsh, rlogin e telnet. Invece delle password utente, sono trasmessi nella rete i dati crittografati per l'autenticazione Kerberos. Vedere la Sezione , Installing and Administering Internet Services, all'indirizzo: http://www.docs.hp.com/en/netcom.html#Internet%20Services, e Configuration Guide for Kerberos Client Products on HP-UX, all'indirizzo: http://www.docs.hp.com/en/internet.html#Kerberos IPSec, una suite di protocolli per la protezione IP, fornisce la protezione delle reti IP offrendo l'integrità dei dati, l'autenticazione, la riservatezza dei dati, la protezione trasparente per le applicazioni e la crittografia. Vedere HP-UX IPSec Administrator's Guide, all'indirizzo: http://www.docs.hp.com/en/internet.html#IPSec
|
Versione stampabile
