On Wed, 25 Feb 2004 20:09:26 +0100 FastChiara <chiaradibi@xxxxxxxxxxxxx> wrote: > Ehi! Non state esagerando, tra tutti? > Se uno vuol mantenere l'anonimato che lo mantenga, no? > Facciamo 1 giro di camomilla o ci mettiamo a scavare nel passato, fare > gli Sherlock Holmes e/o rispolverare scheletri dagli armadi? > Pensavo di scriver un FAQ oppure meglio un DISCLAIMER del tipo: "Non devi scassare i maroni agli altri utenti sul tipo di distro che vogliono usare!" e di inserirlo nel messaggio di benvenuto della lista lugge. ---------------------------------------------- My just 3 bit di buoni motivi per non rompere le scatole con la solfa "MDK: insecure distro" ---------------------------------------------- 1) le tavole di firewalling le scrivi dove ti pare (sono un file di testo) e poi le applichi dove meglio credi perciò se preferisco scriverle con openoffice/kWord invece che con "ed" sono una palata di cavoli miei, la distro intera con i games mi serve... anzi se non gioco a TuxRacer mentre scrivo/provo le regole di firewalling mi si bloccano le sinapsi 2) molti server hanno bisogno di un firewall non solo per questioni di sicurezza ma per il semplice motivo che un fw fa anche routing/natting/masquereding/ip-fowarding. Insomma spesso HAI bisogno di instradare il traffico su più sottoreti e non ha senso che venga fatto da una macchina a parte dotata solo di kernel+iptable+scripot di boot 3) di solito un server viene tenuto DENTRO una sottorete mentre ad essere esposto all'esterno c'è solo un firewall hardware oppure uno fatto con 486 e floppy (come coyote linux [a]). Queste distro si occupano di avere anche ssh (almeno) oltre al kernel+iptables+script. Questo tipo di soluzione se ben congeniata ti permette di abbassare il livello di sicurezza del server interno in maniera tale da essere facilmente gestibile da personale qualificato e in casi limite anche da personale ben poco qualificato (Security vs Usability -- Cosa che rende altamente vendibile il prodotto come M$ docet) 4) gli esseri umani vogliono delle soluzioni, vogliono dei server, _non_ vogliono delle rotture di scatole. Quando hanno la soluzione ai loro problemi ALLORA sono disposti ad affrontare il problema della sicurezza come una protezione al loro lavoro ed alla loro tranquillità ma finchè NON FUNZIONA l'unica alternativa è il Microsoft Windows Server 2003. Non ha alcun senso fornire una slackware ad una persona che la prima cosa che fa come amministratore è quella di fermare il firewall perchè la sua segretaria non riesce a condividere la partizione samba! Non puoi dire a queste persone: "non siete degne di entrare in internet - brutte bestie". Devi sapergli dare delle risposte concrete. 5) il problema di fare proxying (di certi tipo come quello web) non può essere separato da un corretto instradamento del traffico (vedi punto 2) senza toglierti almeno metà delle gioie (ad esempio autenticare gli utenti in base al mac-address/ip-address così non si scambiano le password per navigare su tuttinudi, ma ci vanno solo quelli che mi stanno simpatici e mi pagano sempre il caffè!) 6) se il tuo CEO, colui che paga il tuo stipendio, VUOLE l'interfaccia grafica sul server, la VUOLE themata XP, perchè VUOLE la password di root perchè VUOLE controllare _personalmente_ i log del traffico e non sa farlo da ssh+vi allora la tua bella slackware con XFree86 sopra è un colabrodo tanto quanto la MDK solo che la MDK ti è costata meno tempo installarla. Quando il tuo CEO si è convinto che i log non sono interessanti come i fumetti allora dalla MDK togli tutta la roba inutile e quindi il numero di advisory di sicurezza ritorna ad essere dignitosamente basso (vedi punto 3) 7) nessuno mi vieta di prendere una MDK compilarci sopra il kernel secure MDK [b] con opzioni adeguate e selezionare i binari MDK ch emi servono per fare una minidistro da usare come firewall. Che per altro MDK stessa fa e vende a 1500 euro + IVA [c] e non si capisce perchè la cosa faccia scandalo quando da sempre ci sono in giro prodotti di molto peggio... ma di _molto_ peggio assai! 8) perchè non è raro che il server della ditta PRIMA di diventare "IL" server della ditta fosse anche la workstation di qualcuno, e prima che quel qualcuno fosse un admin per il 99% del suo tempo era impiegato. In un'azienda abituata a servirsi all'esterno e con prodotti proprietari l'introduzione di un server linux può avvenire anche come scelta individuale di postazione di lavoro e poi piano piano quando ci si accorge che la postazione di lavoro di Tizio-Caio filtra meglio lo spam, esporta preziosi GB di spazio, permette di compilare i pallosissimi moduli, esporta anche un sito web, permette di stampare... allora... comincia a diventare un server! [a] http://www.coyotelinux.com/ [b] http://www.rpmfind.net//linux/RPM/mandrake/9.2/i586/Mandrake/RPMS/kernel-secure-2.4.22.10mdk-1-1mdk.i586.html [c] http://www.mandrakesoft.com/products/mnf/features -------------------------------- Quasi dimenticavo... ma sopratutto perchè mi arrabbio specie se è una giornata di merda in cui prevedo di fare le 5 del mattino davanti al computer. Ciao, -- ,__ ,_ ,___ .-------=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-. ||_) ||\ ||_ / Oh Capitano, Oh mio Capitano | || \ ||¯\ ||¯ linuxgrp: http://www.lugge.net | ¯¯ ¯° ¯¯ ¯° ¯¯ ° homepage: http://roberto.foglietta.name | \ Roberto A. Foglietta reg num : #219348 by the Linux Counter | `---------------------=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-' ========---------- Prima di scrivere in m-list per favore leggi il regolamento http://www.lugge.net/soci/index.php?link=manifesto Archivio delle e-mail postate in lista //www.freelists.org/archives/lugge/ Modifica dell'account sulla lista LUGGe http://www.lugge.net/soci/index.php?link=manifesto.htm#list