www.MegaLab.it

Un po' di sicurezza: /etc/securetty

Esiste un file di configurazione un po' speciale. Si chiama securetty e risiede in /etc, come il suo parente inittab.

Nota: /etc/securetty potrebbe non esistere. In questo caso, se non volete modificare null'altro, potete passare direttamente alla prossima pagina dell'articolo. Altrimenti potete creare il file e impostarlo come in figura, per poi modificarne i permessi in questo modo:

sudo chown 0:0 /etc/securetty

sudo chmod 0600 /etc/securetty

Esso contiene tutti i terminali in cui l'utente root può accedere. I più attenti si saranno già accorti che le differenze nelle liste di terminali in inittab e securetty possono negare l'accesso a root in determinate console virtuali. securetty serve proprio a questo: di tutti i terminali disponibili elencati in inittab, l'utente root può effettuare il login solo da quelli presenti in securetty. Sapendo questo potete facilmente rimuovere terminali da securetty e lasciarne uno solo, ad esempio, per aumentare la sicurezza del vostro sistema. securetty può essere letto e modificato solo da root.

Se volete modificarlo e non intendere correre rischi, fate la solita copia di backup con

sudo cp -v /etc/securetty{,.old}

Questo è uno scorcio di securetty.

È esattamente quello che sembra: una semplice lista di terminali. L'utente root potrà accedere da tutti e soli i terminali elencati qui, che siano terminali locali o seriali. I terminali remoti via TCP/IP sono gestiti in un altro modo, che dipende dal programma usato per la connessione all'host. securetty non vale per il terminale in cui viene caricato X.

Ricordate però che i terminali seriali vanno impostati in securetty nella macchina in cui avviene l'accesso, non nella macchina da cui avviene l'accesso. Semplificando, dovete abilitare/disabilitare il terminale nella macchina di destinazione.

Per chiudere questa breve parentesi, ricordate che l'aggiunta di terminali in securetty è assolutamente opzionale. Potrei comunque consigliare di mettere qui dentro meno terminali possibile per evitare accessi indesiderati.

A differenza di inittab, questo file non richiede il riavvio di init per essere riletto: le modifiche entrano in azione al prossimo login effettuato sui terminali non inclusi nella lista. Volendo potete modificare soltanto questo per un piccolo "boost" di sicurezza.

Nota: il comando sudo continuerà a funzionare nei terminali esclusi. securetty non impedisce l'elevazione di privilegi. Sotto un certo punto di vista questo può essere visto come un "buco" nella sicurezza, ma non lo è se il file /etc/sudoers viene configurato nel modo giusto. Ma questa è un'altra storia.

Configurare il server X

Adesso dobbiamo configurare il server X, altrimenti potrebbe fare le bizze, come rendere la tastiera inutilizzabile. E senza tastiera è un po' come essere senza terminali, e l'unica cosa che si può fare è riavviare il sistema usando il tasto di reset, o quello dell'accensione... non è una bella prospettiva. Se una distribuzione è costruita bene, all'aumentare dei terminali il server X si sistemerà da solo nel primo terminale libero, ma se in fase di evocazione di X viene forzato un terminale potrebbero succedere proprio cose come questa.

Però la colpa di tutto è solo del Desktop Manager, che evoca X e gli dice dove andare e cosa fare. Quindi dobbiamo controllare i file di configurazione dei desktop manager. Tratterò i desktop manager più diffusi: kdm, gdm e xdm.