10 strumenti immancabili per la sicurezza di un sistema Linux

Al giorno d’ oggi non si e’ mai troppo sicuri. Virus, spyware, rootkit, exploits, non potrete mai sapere che tipo di problema di sicurezza sara’ la vostra rovina. Ed e’ per questo che come amministratore linux e’ importante conoscere alcuni dei migliori tool disponibili per la sicurezza sotto linux. In questo articolo conoscerete 10 tra i migliori strumenti per la sicurezza in linux e le risorse per poterli sfruttare a vostro vantaggio.

• Nmap Security Scanner: Nmap, che sta per “network mapper” e’ una free open source utility che vi permette di esplorare e testare una rete. Dal sito di nmap:”Nmap usa dei semplici pacchetti IP per determinare quali host sono disponibili nel network analizzato, che servizi (nome dell’ applicazione e versione) questi host mettono a disposizione, che sistema operativo sta girando( e che versione), che tipo di packet filters/firewalls sono in uso e dozzine di altre caratteristiche”.Per l’installazione e la documentazione di nmap andate qui. Si puo’ trovare un tutorial molto utile qui che illustra tutti i tipi di scan possibili con nmap. Questo PDF e’ un’ eccellente print-out reference che include tutte le maggiori opzioni disponibili in nmap.




• Nessus Vulnerability Scanner: Nessus e’ uno scanner per vulnerabilita’ che sonda le vostre macchine utilizzando un’ aggiornatissimo database di vulnerabilita’, avvisandovi se dovesse trovare dei buchi di sicurezza e fornendo dettagliate analisi su come chiudere l’ eventuale buco. Dal sito Nessus: ” Nessus e’ lo scanner per vulnerabilita’ piu’ famoso al mondo, usato da piu’ di 75000 organizzazioni internazzionali. Molte delle piu’ grandi aziende mondiali stanno realizzando un risparmio significativo dei costi utilizzando nessus per l’ audit di applicazioni e dispositivi buisness-critical”. Guardate un esempio di scan report qui. Per l’ installazione di Nessus e la documentazione andate qui. Un’ intressante guida tecnica su nessus invece la trovate qui. Per il “Nessus Knowledge Base” andate qui.
  




• Clam AntiVirus: Clam e’ un’Toolkit antivirus GPL. Il suo intento principale e’ l’ integrazione con i mail server, ma puo’ anche essere usato per scansire file da virus usando la linea di comando. Viene fornito con un flessibile e scalabile multi-threaded daemon, uno scanner da linea di comando euna virus database sempre aggiornato. L’ uso piu’ popolare di ClamAV e’ su un mail server, accompagnato da un’ applicazione anti-spam come Spam Assassin. Per l’ installazione andate qui. Per il wiki di ClamAV andate qui. Questo documento PDF cpre tutto quello che c’e’ da sapere su ClamAV.




• Snort: Snort e’ una delle armi migliori che avete a disposizione nella lotta contro le intrusioni. Snort e’ principalmente usato in 3 modi diversi: come packet sniffer, come packet logger o come un completo intrusion detection system (IDS). Dal sito web di snort: ” Snort e’ un open source network intrusion prevention system, capae di elaborare in tempo reale analisi di traffico nella rete e packet logging su IP networks. Puo’ effettuare analisi di protocollo, soddisfare searching/matching e puo’ essere usato per determinare diverse varieta’ di attacchi e sondaggi, come ad esempio buffer overflow, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts, e molto altro”. Il manuale ufficiale di snort lo si puo’ trovare qui. Per una raccolata completa di documenti su snort andate qui.




• Chkrootkit: Chrootkit e’ uno strumento disegnato per cercare localmente traccie di rootkit sulla vostra linuxmachine. I “Root kits” sono file nascosti nella vostra macchina dopo un’ intrusione in questa, che permettono a chi vi ha attaccato di guadagnare l’ accesso alla vostra macchina in futuro. Questo PDF spiega come aggiungiere chrootkit al vostro arsenale di auditing.




• Tripwire: Tripwire is a security and data integrity tool utile per monitorare e allertare a seguito del cambiamento di uno specifico file. Fondamentalmente Tripwire ha l’ abilita’ di avvisarvi se un file del vostro sistema viene modificato. Una semplice guida per implementare Tripwire nel vostro sistema la trovate qui. Questo invece e’ un simpatico howto per rendere operativo tripwire.




• Rootkit Hunter: Rootkit Hunter e’ un’ eccellente strumento per analizzare e monitorare la sicurezza del vostro sistema. Come chrootkit anche questo strumento cerca nel vostro sistema per scovare eventuali rootkit nascosti, cosi’ come altri strumenti potenzialmente dannosi. Una guida dettagliata per l’installazione e la configurazione di rootkit hunter si puo’ trovare qui.




• Kismet: Dal sito web: “Kismet is an 802.11 layer2 wireless network detector, sniffer, and intrusion detection system.” Se avete una rete wireless o lavorate con notebook, questo strumento per voi e’ un must. Questa guida copre tutto quello che dovete sapere con Kismet. Potete trovare anche molte utili informazioni nel forum dedicato.




• Shorewall: Shorewall e un firewallveramente potente e flessibile che utilizza iptable e netfilter. Una configurazione veramente flessibile permette al firewall di essere utilizzato in una vasta varieta’ di firewall/gateway/router and VPN environments. Documenti sull’ installazione di shorewall potete trovarli qui. Qui trovate una guida per iniziare ad usare shorewall. Le caratteristiche invece le trovate qui.




• Ethereal (Now called Wireshark): Wireshark e’ un analizzatore di protocolli di rete molto popolare, che include una grande quantita’ di caratteristiche per la sicurezza come il packet browser, il live capture, l’ analisi offline e molto altro. Fondamentalmente wireshark cattura i pacchetti in giro per la rete e ce li mostra nel modo piu’ dettagliato possibile. Dalla guida utente: ” Potete pensare ad un network analyzer come a uno strumento di misura usato per analizzare cosa succede all’ interno di un cavo di rete, proprio come un voltmetro e’ usato dagli elettricisti per vedere che succede all’ interno di un cavo elettrico (ma in un modo molto piu’ evoluto) ( beh non e’ proprio la metafora piu’ giusta. ndr).” Qui c’e’ la guida utente di wireshark. Il wiki invece lo trovate qui.