Abilitate la password del BIOS

Disabilitate l'avvio da floppy/cdrom/ ...

Impostate una password per GRUB o LILO (rispettivamente /etc/lilo.conf o /boot/grub/menu.lst); verificate che i file di configurazione di LILO o GRUB siano protetti da scrittura.

Separate i dati scrivibili dagli utenti, i dati non di sistema e i dati run-time che cambiano velocemente, in partizioni distinte.

Impostate le opzioni di mount nosuid,noexec,nodev in /etc/fstab per partizioni ext2/3 che non dovrebbero bloccare binari come /home o /tmp.

Assegnate a root una buona password.

Installate ed utilizzate PAM.

Impostate i limiti /etc/security/limits.conf (notate che /etc/limits non viene utilizzato se usate PAM).

Limitate i permessi al file /etc/login.defs; inoltre, se avete abilitato MD5 e/o PAM, assicuratevi di fare i cambiamenti corrispondenti.

Tighten up /etc/pam.d/login

Disabilitate l'accesso root via ftp in /etc/ftpusers.

Disable network root login; use su(1) or sudo(1). (consider installing sudo)

Usate PAM per rendere più sicuri gli accessi con login?

Adattamenti del kernel (vedete in Sezione 4.18.1, «Configurare le caratteristiche di rete del kernel»).

Patch per il kernel (vedete in Sezione 4.14, «Includere le patch nel kernel»).

Rendete più restrittivi i permessi ai file di log (/var/log/{last,fail}log, i log di Apache)

Verificate che il controllo SETUID sia abilitato in /etc/checksecurity.conf.

Considerate la possibilità di rendere alcuni file di log append-only e alcuni file di configurazione immutabili con il comando chattr (solo per il file system ext2/3).

Set up file integrity (see Sezione 4.17.3, «Controllare l'integrità del file system»). Install debsums

Loggare tutto su una stampante locale?

Scrivere su un CD avviabile la propria configurazione e fare il boot da CD?

Disabilitare i moduli del kernel?

Installate e configurate ssh (si suggerisce di impostare a No le voci PermitRootLogin e PermitEmptyPasswords nel file /etc/ssh/sshd_config; notate anche gli altri suggerimenti nel testo).

Considerate la possibilità di disabilitare o rimuovere in.telnetd, se installato.

In linea di massima, disabilitate i servizi inutili in /etc/inetd.conf usando update-inetd --disable (oppure disabilitate inetd completamente, o ancora usate un sostituto come ad esempio xinetd o rlinetd).

Disabilitate altri servizi di rete inutili; ftp, DNS, WWW etc. non dovrebbero essere eseguiti se non sono necessari e peraltro, tenuti regolarmente sotto controllo.

Per i servizi di cui avete bisogno, non vi limitate ad usare i programmi più comuni ma cercatene versioni più sicure contenute all'interno di Debian (o di altre fonti). Qualsiasi cosa finiate per eseguire, assicuratevi di capirne i rischi.

Impostate gabbie chroot per utenti e demoni esterni.

Configure firewall and tcpwrappers (i.e. hosts_access(5)); note trick for /etc/hosts.deny in text.

Se eseguite ftp, impostate il server ftpd per essere eseguito sempre in chroot nella home directory dell'utente.

Se usate X, disabilitate l'autenticazione xhost ed usate ssh come sostituto; ancora meglio, disabilitate, se possibile, la possibilità di autenticarsi in X da remoto (aggiungete -nolisten tcp alla riga di comando di X e disabilitate XDMCP nel file /etc/X11/xdm/xdm-config impostando a 0 la requestPort).

Disabilitate l'accesso dall'esterno alle stampanti.

Effettuate il tunneling di qualsiasi sezione POP o IMAP attraverso SSL o ssh; installate stunnel se volete fornire questo servizio agli utenti remoti del servizio di posta.

Impostate un log host e configurate tutti gli altri host a spedire i log a questo host (/etc/syslog.conf).

Rendete sicuri BIND, Sendmail e altri demoni complessi (eseguiteli in una gabbia chroot; eseguiteli come pseudo-utente non-root).

Installate tiger o un simile strumento di logging.

Install snort or a similar network intrusion detection tool.v

Se possibile, fate a meno di NIS ed RPC (disabilitate portmap).

Educate gli utenti a comprendere i perché ed i come delle vostre politiche. Quando proibite qualcosa che è regolarmente disponibile su altri sistemi, fornite documentazione che spieghi come raggiungere i risultati voluti utilizzando altri mezzi più sicuri.

Proibite l'uso di protocolli che usano password in chiaro (telnet, rsh e simili; ftp, imap, http, ...).

Proibite i programmi che usano SVGAlib.

Usate la gestione delle quote disco.

Iscrivetevi a mailing list di sicurezza.

Configure apt for security updates -- add to /etc/apt/sources.list an entry (or entries) for http://security.debian.org/

Ricordatevi anche di eseguire periodicamente apt-get update; apt-get upgrade (potreste farlo eseguire ad un job cron?) come spiegato in Sezione 4.2, «Eseguire un aggiornamento per la sicurezza».