apparmor non l'ho neanche mai usato però iptables, disabilitazione di root login e uso di un utente non privilegiato sono proprio le cose che faccio io.

io le iptables su un pc usato come client ho iniziato ad utilizzarle solo da quando ho un portatile che uso in giro, quando sono a casa le tengo aperte perché tanto ho già le iptables sul serverino domestico, ma se sono in giro specie sotto wifi pubblici chiudo tutto così sono sicuro che nessuno può accedere al mio apache, al samba (anche se è protetto da pwd), nfs e servizi vari che in un ambiente non-trust sono delle belle backdoor.

poi dipende dal livello di sicurezza che si vuole ottenere, io stavo pensando sempre per il portatile che se me lo fregano (spero di no!!!!!) possono leggere tutto il contenuto, quindi forse un filesystem criptato può aiutare (anche se devo ancora iniziare ad approfondire che tecnologie usare, partirei da qua cmq https://wiki.archlinux.org/index.php/Disk_encryption) e sempre per la questione "sicurezza in ambienti non sicuri" tipo wifi-open proxare tutto il traffico tramite vpn o tunnel di qualche tipo, tutte cose che voglio fare ma non ho ancora provato; magari questa pagina https://wiki.archlinux.org/index.php/OpenVPN può dare buoni spunti ma ancora non ho mai provato e non so se c'è qualcosa di meglio o più adatto, certo avrei il traffico criptato e quindi anche se mi sniffano in open-wifi non leggono le robe in chiaro e se la usassi per connettermi a casa, dovunque mi trovo sarebbe come se fossi nella mia lan di casa.

per il firewall con iptables è un mondo enorme, dipende sempre da cosa si vuole ottenere e da quanto se ne sa, si potrebbe passare una vita intera a configurare un firewall, è un po' come decidere se per fare un blog si scarica un wordpress o ci si scrive l'engine da zero!

poi c'è usa un mix di iptables e sysctl, ad esempio per l'antispoofing si può abilitare direttamente il flag nel kernel usando sysctl, altri invece disabilitano la protezione e preferiscono scriverla con iptables per loggare i tentativi di spoofing!!!

poi dallo scorso ottobre iniziano a prendere piede le nftables che pare un giorno sostituiranno le iptables.

in rete si trovan 10000 modi per scrivere le stesse cose in modo diverso.

cmq sia io mi sono trovato molto bene per capirci un po' di più di iptables consultando questi link, sono della Arch-Wiki ma le info contenute sono portabili su altre distribuzioni tranquillamente:

https://wiki.archlinux.org/index.php/Internet_sharing
https://wiki.archlinux.org/index.php/Simple_stateful_firewall
https://wiki.archlinux.org/index.php/Iptables (non capire il flusso delle catene iptables equivale a programmare in JS e non sapere come è gestito this e lo scope :D:D:D)
https://wiki.archlinux.org/index.php/Nftables (quando sei diventato un iptables-evangelist ecco che arrivano le nftables :-D mah sembrano interessanti cmq)

Stefano.

2016-01-17 12:10 GMT+01:00 Davide <d@vide.bz>:

Ciao,

per una prossima versione di linux sul mio portatile pensavo, invece di usare un immagine *ubuntu prefatta,
di partire da qualcosa di più ridotto tipo debootstrap. Da quella versione poi fare le configurazioni e l'installazione
dei pacchetti necessari.
Oltre per la "didattica" ho visto che questo approccio porterebbe ad un sistema decisamente più snello e performante

Se per la parte di installazione dei pacchetti e configurazioni ritengo di avere abbastanza esperienza,
invece ho meno esperienza sul fatto di renderlo sicuro. Non so se nell'iso "prefabbircata" ci siano accorgimenti di sicurezza
che magari ignoro.

In pratica la sicurezza che volevo configurare era:

* firewall con iptables
* apparmor
* disable root login
* utilizzare normalmente un utente non privilegiato

Secondo voi ci può essere altro? Avete fatto già esperienze con sistemi fabbricati con debootstrap?

Saluti!

_______________________________________________
http://lists.lugbz.org/cgi-bin/mailman/listinfo/lugbz-list