Re: Compilare Linux (ERA: Re: cortese domanda su apt-listbugs)

[Portobello]

Il 20/12/19 20:20, Davide Prina ha scritto:

On 20/12/19 10:46, Portobello wrote:

Il 19/12/19 21:25, Davide Prina ha scritto:

On 19/12/19 11:30, Portobello wrote:

Il 16/12/19 20:12, Davide Prina ha scritto:

On 16/12/19 15:20, Portobello wrote:






queste cose non incidono sulle prestazioni del sistema.
Può incidere se installi ad esempio un server web o un server di 
database o file2ban o ... che sono sempre in esecuzione e quindi 
occupano risorse...

Ciao Lista,
Non uso server web ne server di database o di stampa.
Dal terminale vedo :
~$ top
che i processi che usano maggiore memoria e % di CPU sono 3:
PID USER  PR  NI  S  %CPU  %MEM TIME+ COMMAND 

 477 clamav   20   0  R  39,3   6,4   1:45.32 clamd 

 970 clamav   20   0  R  39,3   6,4   1:49.07 freshclam 

 906 root 20   0  D   8,2   2,9   0:39.68 samhain 


 909 root 20   0  S   5,6   2,6   0:09.96 samhain

Clamav è l'antivirus.
freshclam è l'aggiornamento dei virus.
samhain è un sistema anti-intrusione per i files e le directory. Ma è 
stato soltanto installato e non configurato come si deve.
Ogni tanto compare anche snort che è un altro sistema di monitoraggio 
della rete.

Questi pacchetti servono o non servono ?




Ma forse non sono tutte necessarie per il mio sistema Desktop.
Non so se è possibile fare una revisione di tutte quelle istruzioni 
(in harden_doc) per vedere quali sono i pacchetti che sono più utili 
per la sicurezza, ma senza penalizzare troppo le prestazioni.


l'hardening consiste anche nel rimuovere tutto ciò che non ti è 
strettamente necessario...


Appunto, questo è il mio problema, che io non so esattamente ciò che 
serve e ciò che non serve nel mio sistema.

Comunque pensavo di usare un metodo del genere:
1) Analizzo i processi in esecuzione con TOP.
2) Quello che non serve, lo rimuovo e lo dimentico.
3) Quello che serve, lo tengo, e poi vado a vedere se è configurato 
bene. Cerco i manuali li studio e approfondisco per quanto mi permettono 
le mie conoscenze tecniche (che sono limitate).




Ciao
Davide


Grazie
Saluti

Re: Malware per Linux

[Portobello]

Il 20/12/19 21:04, Davide Prina ha scritto:

On 20/12/19 10:53, Portobello wrote:


"Dagli autori di WannaCry un malware che infetta anche Linux


un malware non è altro che un programma che tenta di fare cose che 
l'utente/proprietario della macchina non vorrebbe fossero fatte.


Detto questo è sufficiente che l'utente esegua un eseguibile che può 
installare o mandare in esecuzione un malware sulla sua macchina. Dove 
per eseguibile si intende tutto ciò che esegue istruzioni, compreso i 
javascript (quindi è sufficiente "navigare" il web).


Per proteggersi bisognerebbe compiere azioni per diminuire le 
possibilità che il malware possa eseguire quanto è stato programmato a 
fare.


Un sistema GNU/Linux è progettato tenendo in conto la sicurezza, poi 
naturalmente è chi lo usa che può compromettere quanto previsto in fase 
di progettazione, compiendo azioni non corrette.


Fino a poco tempo fa ti avrei consigliato di aggiornare costantemente la 
tua macchina Debian, con la frequenza più alta possibile (es: 
giornalmente), di evitare di scaricare pacchetti/sorgenti/eseguibili da 
siti diversi dal repository ufficiale (o comunque da siti di cui non sei 
sicuro), di usare il sistema nel modo corretto (es: non usare root per 
eseguire l'ambiente grafico) e cose simili.


Purtroppo ora questo non è più sufficiente a causa dei bug hardware che 
stanno uscendo negli ultimi tempi. La maggior parte degli ultimi bug 
trovati non possono essere corretti né via software sul sitema operativo 
nè via software nell'hardware (con gli aggiornamenti di firmware). 
Quello che viene dato sono delle mitigazioni che rendono meno probabile 
e/o più complesso riuscire a sfruttare il bug.
Come passato in lista qualche settimana fa, il manutentore del ramo 
stable di Linux ha fatto delle dichiarazioni molto pesanti in merito, 
indicando che purtroppo bisogna scegliere tra sicurezza (e lentezza) o 
prestazioni (e insicurezza) e che verranno disabilitate in Linux delle 
funzionalità delle CPU che permettono di avere un sistema performante.
Linus stesso ha detto che è veramente inutile cercare di correre dietro 
a tutti queste mitigazioni, dato che è come cercare di correre dietro 
qualcosa che è incolmabile poiché appena pensi di aver reso meno 
insicuro qualcosa spunta una nuova problematica...
Questi bug sono causati principlamente dal fatto che i produttori 
hardware hanno per anni pensato solo a buttar fuori hardware sempre con 
maggiori prestazioni (soprattutto rispetto alla concorrenza), in molti 
casi, senza badare alla sicurezza.
Dal punto di vista dei produttori hardware ho letto poco tempo fa che 
intel iniziava ad ipotizzare una possibile soluzione per risolvere il 
problema della vulnerabilità Side-Channel, su cui si basano molti dei 
bug trovati.
Questo vuol dire che se compri un PC nuovo, stai comprando un PC con bug 
hardware di sicurezza, indipendentemente dal sistema operativo che poi 
userai.


Quindi ora non è più sufficiente avere un sistema operativo "affidabile" 
per avere sotto controllo i problemi di sicurezza causati da malware, ma 
occorre anche un hardware che abbia pochi problemi gravi di sicurezza.


Nota: i problemi dei bug hardware di norma hanno incidenza su tutti i 
sistemi operativi, tranne alcuni casi (ora non ricordo, ma avevo letto 
che un problema aveva incidenza solo su windows per come era stata 
implementata una sua parte core, mentre GNU/Linux non era affetto).


Per avere un'idea dei principali bug di CPU scoperti e se il tuo sistema 
è vulnerabile puoi installare il pacchetto:

# apt install spectre-meltdown-checker

Ciao Lista,
Perbacco, pensavo che fosse già installato e invece no. Ma forse lo 
avevo messo sulla oldstable.

Comunque ora lo ho installato anche sulla stable di Buster.


ed eseguirlo
# spectre-meltdown-checker

Qui mi da dei risultati preoccupanti nella prima parte.
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available:  NO
* CPU indicates IBRS capability:  NO
* CPU indicates preferring IBRS always-on:  NO
* CPU indicates preferring IBRS over retpoline:  NO
  * Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available:  NO
* CPU indicates IBPB capability:  NO
  * Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available:  NO
* CPU indicates STIBP capability:  NO
* CPU indicates preferring STIBP always-on:  NO
  * Speculative Store Bypass Disable (SSBD)
* CPU indicates SSBD capability:  NO
  * L1 data cache invalidation
* FLUSH_CMD MSR is available:  NO
* CPU indicates L1D flush capability:  NO
  * CPU supports Software Guard Extensions (SGX):  NO
  * CPU microcode is known to cause stability problems:  NO  (model 
0x5f family 0xf stepping 0x2 ucode 0x62 cpuid 0x50ff2)
  * CPU microcode is the latest known available version:  UNKNOWN 
(latest microcode version for your CPU model is unknown)

* CP