La sicurezza in Gentoo Linux

Ned Ludd Autore
Kurt Lieber Autore
Thierry Carrez Autore
Walter Pisani Traduzione
Davide Cendron Traduzione

Aggiornato il 14 aprile 2009

1. La sicurezza in Gentoo Linux

La sicurezza è un punto principale in Gentoo Linux e garantire riservatezza e sicurezza alle proprie macchine è di massima importanza. Il Gentoo Linux Security Project ha il compito di fornire tempestivamente informazioni sulle vulnerabilità di sicurezza in Gentoo Linux, insieme alle patch per risolvere le vulnerabilità. I membri di q uesto progetto lavorano direttamente con i venditori, utenti finali e altri progetti OSS per garantire che tutti gli incidenti di sicurezza siano gestiti con velocità e professionalità.

È possibile trovare un documento che descrive le politiche del team di sicurezza che segue la gestione delle vulnerabilità trovate nella distribuzione Gentoo Linux alla pagina Politiche di gestione delle vulnerabilità.

Installare un sistema Gentoo sicuro

Il Manuale sulla sicurezza per Gentoo offre informazioni e consigli per costruire un sistema sicuro e rafforzare un sistema esistente.

Mantenere il proprio sistema Gentoo sicuro

Per essere aggiornati con le fix di sicurezza bisogna richiedere la ricezione delle GLSA e applicare le instruzioni GLSA ogniqualvolta si abbia un pacchetto affetto installato. In alternativa, sincronizzare il proprio portage tree e aggiornare ogni pacchetto dovrebbe mantenere aggiornata la sicurezza.

L'integrazione dei soli aggiornamenti di sicurezza negli strumenti di Portage è in preparazione. In questo momento, si può provare lo strumento glsa-check sperimentale (parte del pacchetto gentoolkit) che controlla se le specifiche GLSA sono applicate sul proprio sistema (opzione -p), elenca tutte le GLSA con lo stato applicato/affetto/non affetto (opzione -l) o applica determinate GLSA al proprio sistema (opzione -f).

2. Gentoo Linux Security Announcements (GLSA)

Gentoo Linux Security Announcements (ndT Annunci di Sicurezza Gentoo Linux) sono avvisi inviati alla comunità per informare sulle vulnerabilità di sicurezza relative a Gentoo Linux o sui pacchetti contenuti nell'insieme dei pacchetti di Portage.

Consultazioni Recenti

GLSA	Severity	Package	Description	Bug
200911-02	Normal	dev-java/sun-jre-bin (and 4 more)	Sun JDK/JRE: Multiple vulnerabilites	182824
200911-01	Normal	www-apps/horde (and 2 more)	Horde: Multiple vulnerabilities	285052
200910-03	Normal	app-text/acroread	Adobe Reader: Multiple vulnerabilities	289016
200910-02	High	net-im/pidgin	Pidgin: Multiple vulnerabilities	276000
200910-01	Normal	net-misc/wget	Wget: Certificate validation error	286058
200909-20	Normal	net-misc/curl	cURL: Certificate validation error	281515
200909-19	Normal	net-dns/dnsmasq	Dnsmasq: Multiple vulnerabilities	282653
200909-18	High	www-servers/nginx	nginx: Remote execution of arbitrary code	285162
200909-17	Normal	net-irc/znc	ZNC: Directory traversal	278684

Per la lista di tutte le pubblicazioni GLSA, visitare la pagine con l'indice delle GLSA.

Come ricevere le GLSA

Gli avvisi GLSA sono inviati alla mailing-list gentoo-announce@gentoo.org, e l'RDF è disponibile a http://www.gentoo.org/rdf/en/glsa-index.rdf.

3. Informazione di contatto del team di sicurezza

Gentoo Linux prende molto seriamente i rapporti delle vulnerabilità di sicurezza. Si prega di registrare i nuovi rapporti di vulnerabilità su Gentoo Bugzilla, assegnarli al prodotto Gentoo Security e al componente Vulnerabilities . Cliccare qui per inviare direttamente una nuova vulnerabilità di sicurezza. Il Team di sicurezza di Gentoo Linux assicura che tutti i rapporti di bug relativi alla sicurezza saranno gestiti in maniera opportuna.

Se vengono trovati errori o omissioni nelle pubblicazioni delle GLSA, bisogna registrare un bug in Gentoo Bugzilla nel prodotto Gentoo Security , ma con il componente GLSA Errors. Cliccare qui per inviare direttamente un nuovo GLSA bug.

Contatti Confidenziali

Ci sono due opzioni per inviare una vulnerabilità non pubblica al Team di Sicurezza di Gentoo Linux. Si può inviare un bug tramite Gentoo Bugzilla usando l'azione New-Expert e selezionando il checkbox Gentoo Security nella sezione SOnly users in all of the selected groups can view this bug. È anche possibile contattarli direttamente usando una mail criptata ad uno dei seguenti contatti di sicurezza:

Nome	Responsabilità	Email	GPG keyID (cliccare per recuperare la chiave pubblica)
Robert Buchholz	Co-responsabile operativo	rbu@gentoo.org	0xCE7E8339
Pierre-Yves Rofes	Co-responsabile operativo	py@gentoo.org	0x320A2398

Nota: La lista completa di tutti gli sviluppatori di Gentoo, inclusa la chiave GPG ID, è consultabile nella lista degli sviluppatori attivi

4. Risorse

Pagine di sicurezza

Indice delle GLSA -- Lista di tutte le pubblicazioni GLSA
GLSA RDFfeed -- GLSA RDF live feed. È possibile limitare il numero di GLSA accodando "?num=n" all'URL, dove "n" dev'essere sostituito con il numero di voce desiderate. Per esempio http://www.gentoo. org/rdf/en/glsa-index.rdf?num=20 elencherà le ultime 20 GLSA.
Politiche di gestione delle vulnerabilità -- Le politiche ufficiali del Team di sicurezza
Gentoo Linux Security Project -- La pagina del progetto di sicurezza

Links

Manuale sulla sicurezza per Gentoo -- Guida passo passo per rafforzare Gentoo Linux
Gentoo Hardened Project -- Sicurezza avanzata in Gentoo Linux
Gentoo Server Project -- Mettere a fuoco specifici problemi di un server, come la sicurezza e la stabilità
Lista Sviluppatori attivi -- Lista dei sviluppatori attivi, incluse le chiavi GPG che possono essere usate per verificare le GLSA

I contenuti di questo documento sono rilasciati sotto la licenza Creative Commons - Attribution / Share Alike.