linux user group brescia

marco ghidinelli wrote:

>dico anch'io la mia:
>
>secondo me ssh deve essere tenuta aggiornata (come anche tutti i servizi
>aperti verso l'esterno da una macchina) e a quel punto non ha senso
>cominciare a chiudere l'accesso solo a determinati indirizzi ip.
>
>poi,
>capita sicuramente che nel peggiore momento quando e' proprio
>necessario accedere alla macchina scopri che hai dimenticato una regola
>e ti tocca fare 40 km in macchina x sistemare la cosa.
>
>ci si deve fidare della qualita' del sw installato. altrimenti non ha
>senso usarlo. oppure lo limiti a 3/4 indirizzi, e non a tutta una
>sottorete.
>
>fiducia significa sapere che la versione correntemente installata di ssh
>e' l'ultima disponibile, o e' comunque una versione priva di bug, che e'
>stata controllata, e magari sottoposta a auditing del codice.
>  
>
purtroppo però il discorso non è così semplice (secondo me). finché non 
si scoprono i bug, non è sbagliato ritenere che il software che si ha 
installato ne sia esente, e a quel punto resta comunque un periodo (tra 
la scoperta del bug e l'installazione della correzione) nel quale si è 
esposti. Se poi uno, per vari motivi, non tiene d'occhio tutti gli 
avvisi, o non ha modo di farlo, potrebbe accorgersene troppo tardi. è 
per questo che io non mi fido mai del software, e insisto sempre per una 
sua messa in sicurezza "forzosa" mediante hardening vari, quando è 
possibile e ha senso farlo.
poi, come al solito... questa è una mia personalissima opinione. 
Liberissimo di contestarla