linux user group brescia

> 
> /*
>  * questa non vuole essere una mail che tenta di scatenare flame o cose del 
>  * genere... e' solo una domanda che mi sto ponendo da un po' di tempo 
>  */
> 
> fatti:
> 
> 1) mediamente le macchine qui in ditta subiscono un paio di attacchi al giorn
> o
>    da gente che non sa cosa fare attaccata a internet.
> 
> 2) il numero di vulnerabilita' scoperte giornalmente e' elevato: 
>    penso si stia sulle 2/3 nuove vulnerabilita' a settimana
>    (e' una stima molto ottimistica penso)
> 
> 3) tempo per seguire mailinglist di sicurezza diventa sempre minore per tutti
> 
> a questo punto una semplice riflessione:
> avere un server su internet e' un rischio estremo.
> 
> soprattutto se si ha poco tempo da dedicare all'amministrazione.
> 
Sino a questo punto concordo piu' o meno appieno...

> esiste pero' un modo per risolvere (certo, non completamente) i problemi sopr
> a:
> si chiama 'apt', ed e' il sistema di installazione-update di debian.
> 
Su questo non sono d'accordo... apt e' comodo, e' carino e sfrutta alcuni
 aspetti nel formato di pacchetto ".deb" che mi piacciono abbastanza.
 L'upgrade automatica del sistema non e' mai, pero', una buona soluzione...
 la soluzione e' imparare cosa sta succedendo, seguire le liste di sicurezza
 e (eventualmente, nel caso di una ditta) assumere piu' personale qualificato.
Una nota: OpenBSD si vanta di fare auditing del codice per tutta la
 distribuzione... il risultato? Un pacchetto solido ma molto spartano...
 X non e' installato di default e nel momento in cui si cerca di installarlo
 compaiono warning a tutto schermo e si richiede di modificare una opzione
 nel setup del kernel... d'altro canto un server web NON HA BISOGNO di X.
 RedHat ha il brutto vizio di voler installare `di default' un sacco di roba...
 roba utile per un desktop, un po' meno per una macchina da dedicare ad un
 compito specifico: io mi sono ritrovato a dover cancellare una serie di
 pacchetti indesiderati e indesiderabili che -francamente- non avrei mai
 voluto. Python installato senza chiedere niente?? Io uso perl!! :))
 Debian segue un approccio diverso (il sistema `base' e' piccolo), 
 ma la distribuzione `in se' ' e' enorme. Chi mette una macchina in rete deve
 sapere i rischi a cui va incontro e agire di conseguenza: i servizi che
 non si installano non possono essere compromessi, per cui se il ftpd
 NON c'e', e' ben difficile che un malintenzionato possa usarlo per forzare
 il sistema.

> 	
> 			ma nessuno lo usa.
> 
> 
> mi piacerebbe capire il perche'...
> 
> la debian fa paura?

No... e apt e' stato portato pure per rpm, se e' per quello...

> 
> la gente si trova cosi' bene con redhat et similari da non voler cambiare
> distribuzione?
> 
Vedi sopra. Tieni conto pero' che cambiare distribuzione non e' un passo
 fattibile a cuor leggero. Ci sono personalizzazioni, scripts e 
 idiosincrasie da considerare. A questo si aggiungono incompatibilita' fra
 le varie versioni di glibc e di gcc. Credimi: e' una esperienza 
 illuminante ma NON piacevole e la perdita di temo e' superiore a quella
 di leggersi bugtraq.

> 
> -- 
> /* Usage: cat title-key scrambled.vob | efdtt >clear.vob */
> 
> #define m(i)(x[i]^s[i+84])<<
> unsigned char x[5],y,s[2048];main(n){for(read(0,x,5);read(0,s,n=2048);write(1
> ,s
> ,n))if(s[y=s[13]%8+20]/16%4==1){int i=m(1)17^256+m(0)8,k=m(2)0,j=m(4)17^m(3)9
> ^k
> *2-k%8^8,a=0,c=26;for(s[y]-=16;--c;j*=2)a=a*2^i&1,i=i/2^j&1<<24;for(j=127;++j
> <n
> ;c=c>y)c+=y=i^i/8^i>>4^i>>12,i=i>>8^y<<17,a^=a>>14,y=a^a*8^a<<6,a=a>>8^y<<9,k
> =s
> [j],k="7Wo~'G_\216"[k&7]+2^"cr3sfw6v;*k+>/n."[k>>4]*2^k*257/8,s[j]=k^(k&k*2&3
> 4)
> *6^c+~y;}}

Una nota a margine:
 le upgrades automatiche sono una brutta cosa(tm). Il sistemista coscienzioso
 provvede all'auditing di tutto il codice per i servizi di sistema 
 installati sul suo server... o quantomeno controlla che cosa sta installando
 e/o ha installato. Forzare un sito ftp (la storia dei tcpwrappers insegna)
 e' piu' facile di quello che sembra e distribuire codice `con trojan' non
 e' poi cosi' difficile (si', lo so... firma digitale, ma leggiti la
 vicenda Verisign/Microsoft).

Ciao,
 lg