3.5. Lanciare i servizi strettamente necessari
I servizi sono programmi come i server ftp e i server web. Poiché restano nello stato di attesa (listening) di connessioni in ingresso che richiedono il servizio, i computer all'esterno possono collegarvisi. A volte i servizi sono vulnerabili (es: possono essere compromessi da un determinato attacco) e possono rappresentare un rischio per la sicurezza.
Non dovreste installare servizi che non sono necessari sulla vostra macchina. Ogni servizio installato può introdurre nuovi, magari non evidenti (o conosciuti) buchi di sicurezza sul vostro computer.
Come forse già saprete, quando si installa un determinato servizio, l'opzione predefinita è che sia attivo. In un'installazione Debian predefinita, senza servizi installati, l'insieme dei servizi attivi è piuttosto basso e questo è ancora più vero per quanto riguarda i servizi di rete. In una classica installazione di Debian 3.1, alla fine vi troverete a disposizione come servizi di rete OpenSSH, Exim (a seconda di come l'avrete configurato) e l'RPC portmapper
. Se invece non farete un'installazione standard ma opterete per eseguire quella expert, potreste trovarvi alla fine senza servizi di rete attivi. Dato un sistema, l'RPC portmapper viene installato in modo predefinito perché è necessario per offrire molti servizi, come per esempio NFS. Comunque, l'RPC portmapper può essere facilmente rimosso, vedete per maggiori informazioni
Sezione 5.13, «Rendere sicuri i servizi RPC» su come rendere sicuri o disabilitare i servizi RPC.
Quando installate un nuovo servizio di rete (demone) in Debian GNU/Linux, questo può essere attivato in 2 modi: per mezzo del superdemone inetd (una riga verrà aggiunta a /etc/inetd.conf) o per mezzo di un programma indipendente che si collega all'interfaccia di rete. I programmi indipendenti vengono controllati tramite i file in /etc/init.d, che a loro volta vengono chiamati al momento del boot dal meccanismo SysV (o uno alternativo) usando un collegamento simbolico in /etc/rc?.d/* (per maggiori informazioni su come funzioni leggete /usr/share/doc/sysvinit/README.runlevels.gz).
Se volete mantenere alcuni servizi ma usarli raramente, utilizzate i comandi di aggiornamento come, per esempio:
update-inetd e
update-rc.d per rimuoverli dal processo di avvio. Per ulteriori informazioni su come disabilitare i servizi di rete vedete
Sezione 3.5.1, «Disabilitare i servizi attivi in modalità demone». Se volete cambiare il comportamento predefinito, che prevede di abilitare l'avvio dei servizi una volta che i pacchetti ad essi associati vengano installati
, dovete usare
policy-rc.d, per favore, leggete
/usr/share/doc/sysv-rc/README.policy-rc.d.gz per ulteriori chiarimenti.
invoke-rc.d support is mandatory in Debian, which means that for Debian 4.0 etch and later releases you can write a policy-rc.d file that forbids starting new daemons before you configure them. Although no such scripts are packaged yet, they are quite simple to write. See policyrcd-script-zg2.
3.5.1. Disabilitare i servizi attivi in modalità demone
Disabling a daemon service is quite simple. You either remove the package providing the program for that service or you remove or rename the startup links under
/etc/rc${runlevel}.d/. If you rename them make sure they do not begin with 'S' so that they don't get started by
/etc/init.d/rc. Do not remove all the available links or the package management system will regenerate them on package upgrades, make sure you leave at least one link (typically a 'K', i.e. kill, link). For more information read
http://www.debian.org/doc/manuals/reference/ch-system.en.html#s-custombootscripts section of the Debian Reference (Chapter 2 - Debian fundamentals).
You can remove these links manually or using
update-rc.d (see
update-rc.d(8)). For example, you can disable a service from executing in the multi-user runlevels by doing:
# update-rc.d name stop XX 2 3 4 5 .
Where
XX is a number that determines when the stop action for that service will be executed. Please note that, if you are
not using
file-rc,
update-rc.d -f service remove will not work properly, since
all links are removed, upon re-installation or upgrade of the package these links will be re-generated (probably not what you wanted). If you think this is not intuitive you are probably right (see
http://bugs.debian.org/67095). From the manpage:
If any files /etc/rcrunlevel.d/[SK]??name already exist then
update-rc.d does nothing. This is so that the system administrator
can rearrange the links, provided that they leave at least one
link remaining, without having their configuration overwritten.
Se usate file-rc, tutte le informazioni che riguardano l'avvio dei servizi verranno gestite da un file di configurazione comune e vengono conservate anche se i pacchetti sono disinstallati dal sistema.
È possibile usare la TUI (Text User Interface, cioè interfaccia utente in modalità testuale) fornita da
sysv-rc-conf per apportare queste modifiche facilmente (
sysv-rc-conf funziona sia con
file-rc che con i normali runlevel del System V). Si trovano anche interfacce grafiche simili per i sistemi desktop. Altrimenti potete anche usare la riga di comando di
sysv-rc-conf:
# sysv-rc-conf foobar off
Il vantaggio nell'usare questo programma è che i collegamenti in rc.d verranno ripristinati a com'erano prima della disattivazione con la chiamata 'off' nel caso vengano riabilitati con:
# sysv-rc-conf foobar on
Other (less recommended) methods of disabling services are:
Removing the
/etc/init.d/service_name script and removing the startup links using:
# update-rc.d name remove
Move the script file (/etc/init.d/service_name) to another name (for example /etc/init.d/OFF.service_name). This will leave dangling symlinks under /etc/rc${runlevel}.d/ and will generate error messages when booting up the system.
Remove the execute permission from the /etc/init.d/service_name file. That will also generate error messages when booting.
Edit the /etc/init.d/service_name script to have it stop immediately once it is executed (by adding an exit 0 line at the beginning or commenting out the start-stop-daemon part in it). If you do this, you will not be able to use the script to startup the service manually later on.
Nevertheless, the files under /etc/init.d are configuration files and should not get overwritten due to package upgrades if you have made local changes to them.
Unlike other (UNIX) operating systems, services in Debian cannot be disabled by modifying files in /etc/default/service_name.
FIXME: Aggiungere informazioni su come gestire i demoni con file-rc.
3.5.2. Disabilitare i servizi gestiti da inetd
Considerate bene se al giorno d'oggi avete davvero bisogno del demone inetd. Inetd è sempre stato un modo per rimediare a deficienze del kernel, che però sono state eliminate nei moderni kernel Linux. Contro inetd si possono effettuare degli attacchi di tipo "Denial of Service" (che possono aumentare considerevolmente il carico della macchina) e molti preferiscono usare demoni autonomi piuttosto che lanciare servizi tramite inetd. Comunque, se volete far girare un qualche tipo di servizio inetd, dovreste almeno passare a un demone Inet più configurabile, come xinetd, rlinetd o openbsd-inetd.
Sarebbe bene arrestare tutti i servizi non necessari nel proprio sistema, come echo, chargen, discard, daytime, time, talk, ntalk e gli r-services (rsh, rlogin e rcp) che vengono considerati MOLTO insicuri (meglio usare ssh al loro posto).
Potete disabilitare dei servizi modificando direttamente
/etc/inetd.conf, ma Debian fornisce un'alternativa migliore:
update-inetd (che commenta i servizi in modo che possano essere facilmente riattivati). Potete rimuovere il demone
telnet eseguendo il comando seguente, per cambiare il file di configurazione e riavviare il demone (in questo caso il servizio
telnet viene disabilitato):
/usr/sbin/update-inetd --disable telnet
Se davvero desiderate avere servizi in ascolto, ma non volete che stiano in ascolto su tutti gli indirizzi IP del vostro host, probabilmente vorrete utilizzare una funzione non documentata di inetd (sostituire il nome del servizio con una sintassi del tipo servizio@ip) o usare un demone inetd alternativo, come xinetd.
