[italy-tech] Sulla sicurezza

[psylocibe]

causa impegni plurimi mi inserisco molto tardi nella discussione.

sulla questione sicurezza sollevata da cpunkpunk (e su tutte le
discussioni successive) penso che:

- personalmente sono contrario alla creazione di una lista a parte per
la gestione del server perché credo che porterebbe inevitabilmente a una
gestione "oligarchica" (leggi: da parte di pochi), alla faccia
dell'orizzontalità e della condivisione; del resto la maggior parte
delle libertà nel mondo oggigiorno vengono messe in pericolo proprio da
provvedimenti fatti in nome della sicurezza; vogliamo agire esattamente
come il nemico?
- penso che il "luogo" (o forse meglio "non-luogo") dove discutere di
dettagli critici riguardanti il server esista già e sia la chat (in
SSL); c'è un canale su mufhd0, #kyashan, dove già in effetti facciamo
qualcosa del genere;
- penso che sia già sottinteso e ben chiaro a tutt* che alcune
informazioni critiche come versioni dei software, informazioni sui
servizi attivi, porte aperte e pezzi di file di configurazione non
debbano MAI passare su questa lista, anche se qualche volta purtroppo è
accaduto; cerchiamo di stare più attenti?
- riferendomi in particolare allo script che segnala
l'installazione/disinstallazione dei pacchetti, non segnala le versioni
dei software, comunque se questo fosse ritenuto un problema posso
modificarlo in maniera tale che il nome dei pacchetti installati non sia
reso noto, al massimo chi è interessato si fa un diff con la vecchia
lista dei pacchetti;
- riguardo la "security through obscurity", ovvero il cercare di fare
sicurezza nascondendo informazioni ce ne sarebbe a lungo da parlare. in
linea di massima è una cattiva e fallace pratica/abitudine, ma credo che
un po' di segretezza sui dettagli tecnici del server non guasti; in
medium stat virtus, no? :)
- penso dovremmo occuparci dell'hardening del server piuttosto delle
discussioni in lista; personalmente non ho mai sentito parlare di
hardening del server. per esempio, perché abbiamo le porte imap3 e smtp
aperte all'esterno? perché non cambiamo la porta per il login ssh, come
ho proposto tempo fa, invece di lasciare SSH in ascolto sulla 22 alla
mercé degli scanner e dei tentativi di login basati su dizionario che si
verificano a ripetizione e in continuazione (basta guardare i log di
sistema per accorgersene)?

psylocibe

p.s.: su quanto detto da Gb (ma qui vado inevitabilmente a alimentare
una discussione off-topic), volevo precisare che questa lista è aperta
agli interventi di chiunque, perché questo è un benificio per tutti; e
che proprio per questo probabilmente non avrei risolto nulla con oscailt
senza le mie domande qui a cui hanno risposto i toscani col loro server,
la loro lista, la loro autonomia e i loro salcazzi :)