La sicurezza in Gentoo Linux

1. La sicurezza in Gentoo Linux

La sicurezza è un punto principale in Gentoo Linux e garantire riservatezza e sicurezza alle proprie macchine è di massima importanza. Il Gentoo Linux Security Project ha il compito di fornire tempestivamente informazioni sulle vulnerabilità di sicurezza in Gentoo Linux, insieme alle patch per risolvere le vulnerabilità. I membri di q uesto progetto lavorano direttamente con i venditori, utenti finali e altri progetti OSS per garantire che tutti gli incidenti di sicurezza siano gestiti con velocità e professionalità.

È possibile trovare un documento che descrive le politiche del team di sicurezza che segue la gestione delle vulnerabilità trovate nella distribuzione Gentoo Linux alla pagina Politiche di gestione delle vulnerabilità.

Installare un sistema Gentoo sicuro

Il Manuale sulla sicurezza per Gentoo offre informazioni e consigli per costruire un sistema sicuro e rafforzare un sistema esistente.

Mantenere il proprio sistema Gentoo sicuro

Per essere aggiornati con le fix di sicurezza bisogna richiedere la ricezione delle GLSA e applicare le instruzioni GLSA ogniqualvolta si abbia un pacchetto affetto installato. In alternativa, sincronizzare il proprio portage tree e aggiornare ogni pacchetto dovrebbe mantenere aggiornata la sicurezza.

L'integrazione dei soli aggiornamenti di sicurezza negli strumenti di Portage è in preparazione. In questo momento, si può provare lo strumento glsa-check sperimentale (parte del pacchetto gentoolkit) che controlla se le specifiche GLSA sono applicate sul proprio sistema (opzione -p), elenca tutte le GLSA con lo stato applicato/affetto/non affetto (opzione -l) o applica determinate GLSA al proprio sistema (opzione -f).

2. Gentoo Linux Security Announcements (GLSA)

Gentoo Linux Security Announcements (ndT Annunci di Sicurezza Gentoo Linux) sono avvisi inviati alla comunità per informare sulle vulnerabilità di sicurezza relative a Gentoo Linux o sui pacchetti contenuti nell'insieme dei pacchetti di Portage.

Consultazioni Recenti

GLSA	Severity	Package	Description	Bug
201304-01	High	x11-drivers/nvidia-drivers	NVIDIA Drivers: Privilege escalation	429614
201301-07	Normal	www-apps/dokuwiki	DokuWiki: Multiple vulnerabilities	301310
201301-06	Normal	net-misc/dhcp	ISC DHCP: Denial of Service	362453
201301-05	Normal	app-arch/bzip2	bzip2: User-assisted execution of arbitrary code	338215
201301-04	High	net-misc/dhcpcd	dhcpcd: Arbitrary code execution	362459
201301-03	Normal	net-misc/tor	Tor: Multiple vulnerabilities	432188
201301-02	High	net-proxy/haproxy	HAProxy: Arbitrary code execution	417079
201301-01	High	www-client/firefox (and 13 more)	Mozilla Products: Multiple vulnerabilities	180159
201211-01	Normal	www-apps/mantisbt	MantisBT: Multiple vulnerabilities	348761

Per la lista di tutte le pubblicazioni GLSA, visitare la pagine con l'indice delle GLSA.

Come ricevere le GLSA

Gli avvisi GLSA sono inviati alla mailing-list gentoo-announce@gentoo.org, e l'RDF è disponibile a http://www.gentoo.org/rdf/en/glsa-index.rdf.

3. Informazione di contatto del team di sicurezza

Gentoo Linux prende molto seriamente i rapporti delle vulnerabilità di sicurezza. Si prega di registrare i nuovi rapporti di vulnerabilità su Gentoo Bugzilla, assegnarli al prodotto Gentoo Security e al componente Vulnerabilities . Cliccare qui per inviare direttamente una nuova vulnerabilità di sicurezza. Il Team di sicurezza di Gentoo Linux assicura che tutti i rapporti di bug relativi alla sicurezza saranno gestiti in maniera opportuna.

Se vengono trovati errori o omissioni nelle pubblicazioni delle GLSA, bisogna registrare un bug in Gentoo Bugzilla nel prodotto Gentoo Security , ma con il componente GLSA Errors. Cliccare qui per inviare direttamente un nuovo GLSA bug.

Contatti Confidenziali

Ci sono due opzioni per inviare una vulnerabilità non pubblica al Team di Sicurezza di Gentoo Linux. Si può inviare un bug tramite Gentoo Bugzilla usando l'azione New-Expert e selezionando il checkbox Gentoo Security nella sezione SOnly users in all of the selected groups can view this bug. È anche possibile contattarli direttamente usando una mail criptata ad uno dei seguenti contatti di sicurezza:

Nome	Responsabilità	Email	GPG keyID (cliccare per recuperare la chiave pubblica)
Alex Legler	Co-responsabile operativo	a3li@gentoo.org	0x12EE3000
Tobias Heinlein	Co-responsabile operativo	keytoaster@gentoo.org	0xDC33B0EE

Nota: La lista completa di tutti gli sviluppatori di Gentoo, inclusa la chiave GPG ID, è consultabile nella lista degli sviluppatori attivi

4. Risorse

Pagine di sicurezza

Indice delle GLSA -- Lista di tutte le pubblicazioni GLSA
GLSA RDFfeed -- GLSA RDF live feed. È possibile limitare il numero di GLSA accodando "?num=n" all'URL, dove "n" dev'essere sostituito con il numero di voce desiderate. Per esempio http://www.gentoo. org/rdf/en/glsa-index.rdf?num=20 elencherà le ultime 20 GLSA.
Politiche di gestione delle vulnerabilità -- Le politiche ufficiali del Team di sicurezza
Gentoo Linux Security Project -- La pagina del progetto di sicurezza

Links

Manuale sulla sicurezza per Gentoo -- Guida passo passo per rafforzare Gentoo Linux
Gentoo Hardened Project -- Sicurezza avanzata in Gentoo Linux
Gentoo Server Project -- Mettere a fuoco specifici problemi di un server, come la sicurezza e la stabilità
Lista Sviluppatori attivi -- Lista dei sviluppatori attivi, incluse le chiavi GPG che possono essere usate per verificare le GLSA

I contenuti di questo documento sono rilasciati sotto la licenza Creative Commons - Attribution / Share Alike.

Stampa

Aggiornato il 1 settembre 2010

Oggetto: Questa pagina è il punto di inizio per tutti i problemi di sicurezza in Gentoo Linux

Ned Ludd
Autore

Kurt Lieber
Autore

Thierry Carrez
Autore

Walter Pisani
Traduzione

Davide Cendron
Traduzione

Donate to support our development efforts.