Visualizzazione post con etichetta security. Mostra tutti i post
Visualizzazione post con etichetta security. Mostra tutti i post

venerdì 9 aprile 2010

Aumentiamo la sicurezza di phpmyadmin: cambiamo URL

Tutte le installazioni di phpmyadmin sono configurate in modo da rispondere all'URL:
www.nostrosito.com/phpmyadmin
Puo' essere utile modificarlo in qualcos'altro che sia un po' meno intuitivo per i malintenzionati che possono gironzolare sul nostro server. Ad esempio
www.nostrosito.com/nonsapraimaicosacequi  :)
Per raggiungere questo risultato dobbiamo editare il file /etc/apache2/conf.d/phpmyadmin.conf
e modificare la riga:
Alias /phpmyadmin  /usr/share/phpmyadmin
in
Alias /nonsapraimaicosacequi  /usr/share/phpmyadmin
Pubblicato da Francesco Conti alle 12:51 0 commenti
Etichette: , , , , ,

martedì 1 aprile 2008

Le 10 migliori distribuzioni Live per (...o contro?) la sicurezza


Lista un po' datata ma decisamente utile per analisi di sicurezza, penetration testing e informatica forense:

1) BackTrack
2) Operator
3) PHLAK (lo trovate anche qui)
4) Auditor
5) L.A.S. Linux
6) Knoppix-STD7) Helix
8) F.I.R.E.
9) nUbuntu
10) INSERT Rescue Security Toolkit


Pubblicato da Francesco Conti alle 18:47 0 commenti
Etichette: , , , , , , , , , , ,

lunedì 31 marzo 2008

Creare un tunnel SSH per navigare con Firefox in sicurezza

Un tunnel ssh per Firefox verso un computer remoto e' una buona misura di sicurezza. Specialmentre quando ci si connette attraverso una rete non sicura come un hotspot wifi o altre reti pubbliche. Il tunnel cripta e invia i dati al vostro computer remoto e da li' spediti sul web fino ai vostri siti di destinazione. Questo tutorial assume che voi abbiate un account ssh su un computer remoto. Il resto non e' difficile.

Tutto quello di cui avete bisogno e' loggarvi al computer remoto su cui avete accesso SSH e lanciare il comando seguente:

ssh -D 9999 -C NOME_UTENTE@INDIRIZZO_IP_VOSTRO_COMPUTER

Lo switch -D specifica un port forwarding dinamico locale a livello applicazione.
Lo switch -C attiva la compressione

Rimane da configurare Firefox:

Cliccate su Firefox> Edit> Preferences> Advanced tab> Network tab> Settings
Selezionate Manual proxy configuration

Compilate i seguenti campi:

SOCKS Host: localhost Port: 9999
SOCKS v5
No Proxy for: localhost, 127.0.0.1

N.B.: in certi casi l'uso di localhost puo' causare problemi. Se i settaggi sono corretti ma non ottenete risultati, sostituite localhost con 127.0.0.1

(traduzione dell'articolo: http://onlyubuntu.blogspot.com/2008/03/create-ssh-tunnel-for-firefox-to-surf.html)



Pubblicato da Francesco Conti alle 15:37 0 commenti
Etichette: , , , , , , , , ,

venerdì 28 marzo 2008

Security: Attacco SYN FLOOD


Che cos'e' un attacco SYN-FLOOD?

Un attacco SYN-FLOOD e' un attacco DOS (Denial Of Service) in cui l'attaccante invia un enorme quantitativo di pacchetti di tipo PER_FAVORE_INIZIAMO_UNA_CONNESSIONE e niente altro.

Trovate un'ottima e approfondita descrizione sul sito del CERT.

Come difendere un server Linux?

Per difendere un server Linux con un carico moderato, e' sufficiente attivare i syncookies TCP nel kernel (eventualmente in fase di compilazione, trovate maggiori dettagli nell'help in fase di configurazione del kernel) e nel filesystem /proc. Ripeto, questo vale in caso di carico moderato.

I problemi cominciano quando il carico addizionale introdotto dalla generazione dei syncookies diventa troppo per un server con un carico gia' alto in partenza. In questo caso e' consigliabile cercare l'IP address dell'attaccante e filtrarlo con iptables.

Come trovare l'attaccante

Impresa valutabile tra "molto difficile" e "impossibile". Di solito infatti l'IP address nei pacchetti SYN FLOOD non e' quello reale, si dice che e' stato SPUFATO (spoofed).

Potete comunque semplificare la ricerca scrivendo tutti i pacchetti SYN su un file di log. Attenzione pero': il log conterra' tutte le connessioni aperte legittimamente sul vostro server oltre ai pacchetti SYN usati per l'attacco in corso.

Un tool per scrivere un log del genere e' SYNWatch di Jeff Thompson. Lo potete trovare qui o qui.
Pubblicato da Francesco Conti alle 13:59 0 commenti
Etichette: , , , , , , , , , , , , ,

venerdì 1 febbraio 2008

Torniamo a ravanare...


BackTrack e' una suite completa per eseguire penetration test o per cercare di recuperare piu' dati possibili da una rete sconosciuta.

Si tratta di una distribuzione Linux di tipo live, eseguibile direttamente bootando da CD o da penna USB.

Lo trovate a questo indirizzo:

http://www.remote-exploit.org/backtrack.html
Pubblicato da Francesco Conti alle 18:07 0 commenti
Etichette: , , , , , , , , ,

martedì 23 ottobre 2007

Rootkit....che passione...


Chiunque abbia avuto a che fare con questa fastidiosa esperienza sa bene quanto sia frustrante.

Chi non sa cosa sia un rootkit e' meglio che si documenti (per esempio QUI) prima che la sua macchina diventi la tana scellerata di qualche malintenzionato :-)

Ogni tanto puo' valer la pena di controllare che non ci siano rootkit installati sulle vostre adorate macchine.

Vediamo come usare due validi strumenti per questa operazione: chkrootkit e rkhunter.

L'installazione avviene nel modo consueto:

sudo apt-get install chkrootkit
sudo apt-get install rkhunter


Per eseguire chkrootkit bisogna eseguire a linea di comando:

sudo chkrootkit


Per eseguire rkhunter bisogna eseguire a linea di comando:

sudo rkhunter --update && sudo rkhunter -c -sk


Consiglio l'esecuzione di entrambi schedulata tramite cron o tramite Gnome Schedule e di farvi inviare l'output via mail.
Pubblicato da Francesco Conti alle 12:11 0 commenti
Etichette: , , , , ,
Iscriviti a: Post (Atom)