Una semplice ma importante guida per ottenere da subito un server virtuale sicuro dopo che è stato attivato, in maniera semplice ma efficace.
Quando si acquista un server virtuale, questo viene fornito con l’installazione di base del sistema operativo selezionato, in questa situazione però il sistema non è al sicuro da attacchi continui di Hacker, che agiscono spesso tramite sistemi automatizzati.
Gli esempi di questa guida sono basati sulla distribuzione CentOS 7, ma sono facilmente applicabili anche ad altre con piccole variazioni.
1. Impostare una password sicura
La prima cosa da fare, durante la fase di acquisto del server virtuale o subito dopo l’attivazione, è di impostare una password di root “robusta”.
Gli attacchi del tipo “brute force dictionary” si basano sul fatto che molti utenti utilizzano delle password comuni, come ad esempio: “1234”, “12345”, “password”, “amore”, “dio” ecc…
Questo tipo di attacco, infatti, testa l’accesso con dizionari di password più diffuse, e riescono spesso ad ottenere il controllo del server in pochissimi minuti.
Consigliamo quindi di creare la vostra password rispettando le seguenti caratteristiche:
- lunga almeno 16 caratteri
- includere dei simboli, ad esempio @ # $ %
- includere lettere minuscole a maiuscole in modo casuale
- includere sia lettere sia numeri in maniera casuale
Ecco un esempio di password sicura f,W{E/mCKg2NGHDx, ma voi naturalmente non usatela!
Per cambiare la password di root eseguite il seguente comando e inserite la password quando richiesto:
passwd root
NB. la stessa regola per le password è utile anche per tutti gli utenti diversi da root, e per gli utenti degli altri servizi come account email, account FTP ecc.
2 . Modificare la porta SSH
Gli attacchi, in genere, vengono eseguiti sulle porte di default dei servizi e il servizio SSH, in automatico, risponde alla porta 22, perciò è buona norma modificare anche questa porta.
Dobbiamo ricordarci che tutte le successive connessioni al server tramite il servizio SSH dovranno essere eseguite specificando la nuova porta.
Per modificare la porta SSH da 22 a 44011 (anche in questo caso, non utilizzate questa porta ma una porta a vostra scelta)
Editate il file di configurazione di SSH:
vi /etc/ssh/sshd_config
Premete il tasto [ i ] per editare il file e de-commentare la linea con #Port 22 modificandola con la nuova porta Port 44011
Per Salvare il file premere in sequenza [esc] [ : ] [ w ] [ q ]
Riavviare il servizio SSH con il seguente comando:
systemctl restart sshd
Tutte le prossime connessioni dovranno essere specificate utilizzando questa porta, ad esempio utilizzando Putty la configurazione deve essere la seguente:
3 . Configurare un Firewall e IPS
Per avere un sistema sicuro, inoltre, è poi fondamentale impostare delle regole del firewall che impediscano agli utenti malintenzionati di accedere al server tramite porte aperte involontariamente e su servizi che non devono essere esposti all’esterno.
Impostare manualmente le regole del potente firewall che Linux mette a disposizione in quasi tutte le distribuzioni può essere complesso, per questo consigliamo di utilizzare un tool che si occupa di farlo per noi e che mette a disposizione molte altre funzioni supplementari come:
- Intrusion Detection
- Stateful Packet Inspection
- SSH login notification
- POP3/IMAP login tracking to enforce logins per hour
- Excessive connection blocking
- Suspicious process reporting
- SYN Flood protection
- Port Scan tracking and blocking
- Permanent and Temporary (with TTL) IP blocking
Per una lista completa visitate il sito http://configserver.com/cp/csf.html
Passiamo all’installazione:
Installiamo i pacchetti necessari al funzionamento del software con questo comando:
yum install perl-libwww-perl -y
Lanciamo poi in sequenza i seguenti comandi:
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
Ora impostiamo il flag testing a 0, per farlo editiamo il file di configurazione:
vi /etc/csf/csf.conf
Premere il tasto [ i ] per editare il file e troviamo la riga con:
TESTING = “1”
Modifichiamo la riga in:
TESTING = “0”
Successivamente lanciamo il seguente comando per abilitare il firewall allo startup del server:
chkconfig --level 235 csf on
service csf restart
Per gestire nel dettaglio il software consigliamo di installare webmin e il relativo modulo CSF, andando nel menu
Webmin > Webmin Configuration > Webmin Modules >From local file > /usr/local/csf/csfwebmin.tgz > Install Module
È importante configurare correttamente le porte TCP_IN e TCP_OUT per i soli servizi necessari.
4 . Eseguire il Backup
Altra buona pratica è quella di eseguire regolari backup del server in modo da poter rispristinare i dati precedenti nel caso di cancellazioni accidentali, oppure nel caso volessimo ripristinare uno stato precedente di specifiche configurazioni.
L’argomento del backup è molto ampio, e i sistemi di backup sono molti, da un semplice backup via FTP (ecco una semplice guida: http://www.cyberciti.biz/faq/linux-unix-autologin-cron-ftp-script/ ), a software di CDP (Continuos data protection) .
A voi la scelta della soluzione migliore e, nel caso abbiate bisogno di aiuto, il nostro staff è a disposizione per supportarvi nella scelta e nell’implementazione della soluzione più adatta alle vostre esigenze
5 . Mantenere il sistema aggiornato
Le principali distribuzioni Linux rilasciano regolarmente aggiornamenti alla propria distribuzione, molti dei quali servono a risolvere possibili vulnerabilità del sistema, per questo è buona pratica verificare e aggiornare regolarmente il sistema, soprattutto dopo la prima installazione.
Vediamo ora i comandi principali:
Verifica se sono presenti aggiornamenti:
yum check-update
Aggiorna i pacchetti:
yum upgrade
Conclusioni
Con questa guida avete completato i passi fondamentali per avere un server virtuale sicuro e potrete utilizzare la stessa guida per rendere sicuro anche per un server dedicato.
Per concludere, mettere in sicurezza il server non finisce qui. Infatti, la sicurezza deve essere mantenuta proteggendo anche le applicazioni installate e monitorando l’esposizione del server chiudendo le porte esterne relative ai servizi non utilizzati.
