Informazioni importanti per la sicurezza del tuo server Linux (seconda parte)

In questo articolo puoi trovare alcune informazioni generali per la sicurezza del tuo server, consigli per una configurazione sicura e misure di sicurezza da prendere per aumentare il livello di sicurezza del tuo server Linux.

Per impostazione predefinita, l'utente root viene creato come primo utente su ogni sistema Linux ed è quello che ha i diritti maggiori. Con l'utente root, hai accesso a tutti i comandi e file e ai diritti completi di lettura, scrittura ed esecuzione. Se questo account utente viene utilizzato in modo improprio, questo può avere un impatto significativo sul server. Pertanto, è necessario utilizzare questo utente solo per configurare il server dopo la sua creazione.

Poiché il nome utente root viene spesso utilizzato come nome utente predefinito per l'utente root, questo rappresenta spesso un bersaglio per gli attacchi esterni. Per questo motivo, ti consigliamo di configurare un altro account utente e di disattivare l'accesso root SSH. Quando configuri l'account utente, assicurati che questo possa ottenere i diritti utente root inserendo il comando sudo. In alternativa, puoi disattivare  l'autenticazione della password per l'utente root nel file /etc/ssh/sshd_config inserendo la voce PermitRootLogin prohibit-password. In questo caso, l'utente root può accedere al server solo utilizzando l'autenticazione a chiave pubblica SSH.

In questo articolo puoi trovare ulteriori informazioni a riguardo: Disattivare l'accesso root SSH

Per impostazione predefinita, per stabilire una connessione SSH, viene utilizzata la porta 22. Questa porta viene inserita automaticamente durante l'installazione del sistema operativo.

Per ridurre il numero di attacchi di forza bruta, è possibile configurare un'altra porta per l'accesso SSH.

Puoi trovare ulteriori informazioni a proposito in questo articolo: Modificare una porta SSH

Per monitorare l'attività remota, è necessario impostare una notifica via e-mail per segnalare l'avvenuto accesso tramite SSH. Questa notifica via e-mail può essere utilizzata per determinare se è in corso un accesso non autorizzato al server. È sufficiente un semplice script di shell che invia automaticamente un'e-mail di notifica al tuo indirizzo ogni volta che viene eseguito l'accesso al tuo server da remoto.

Fail2Ban è un software che scansiona i file di log come /var/log/pwdfail o /var/log/apache/error_log e blocca temporaneamente gli indirizzi IP che hanno eseguito troppi tentativi di accesso falliti. In questo modo, Fail2Ban può rilevare e respingere gli attacchi di forza bruta.

Puoi scaricare Fail2Ban qui.

Un Intrusion Detection System è un sistema con il quale è possibile rilevare tempestivamente gli attacchi su un server o su una rete. I sistemi di rilevamento delle intrusioni più noti sono Tripwire, Aide e Psad.

Nmap è un software open source che consente di eseguire controlli di sicurezza. Con questo software open source, è possibile determinare quali host sono disponibili in rete. Inoltre, puoi utilizzare Nmap per identificare le porte aperte di un host e identificare i servizi che rispondono alle porte aperte.

All'indirizzo seguente puoi trovare maggiori informazioni su Nmap: http://nmap.org.

Per indurire in modo ottimale il sistema operativo del tuo server contro gli attacchi esterni, ti consigliamo di consultare le Hardening Guides, offerte dai rispettivi provider di distribuzione.

CentOS 7

https://wiki.centos.org/HowTos/OS_Protection

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/index

Ubuntu

https://ubuntu.com/security?_ga=2.263273356.1615448989.1569829053-453270342.1569829053

Debian

https://www.debian.org/doc/manuals/debian-faq/index.it.html

Se sospetti che il tuo server sia compromesso nonostante tutte le misure di sicurezza adottate, dovresti controllare i processi in corso. Per verificare la presenza di processi sospetti sul server, procedi come segue:

Ubuntu

• Accedi al server come amministratore.

• Per visualizzare un elenco dei processi in esecuzione, inserisci il seguente comando:

  root@localhost:~# ps aux

  In alternativa, puoi reindirizzare i processi in esecuzione su un file utilizzando il seguente comando:

  ps aux > processes.txt
  less processes.txt

CentOS 7

• Accedi al server come amministratore.

• Per visualizzare un elenco dei processi in esecuzione, inserisci il seguente comando:

  root@localhost:~# ps aux

  In alternativa, puoi reindirizzare i processi in esecuzione su un file utilizzando il seguente comando:

  ps aux > processes.txt
  less processes.txt

Presta attenzione ai programmi che si trovano in directory inusuali. Esempi:

/usr/local/bin
/var/wwwww
/tmp

Se noti un processo che non riesci ad identificare, ti consigliamo di verificare prima di tutto se il processo è in esecuzione di default sul tuo sistema operativo o su un'applicazione installata. Inoltre, scansiona il tuo server alla ricerca di malware e virus utilizzando uno scanner di malware e un programma antivirus.

Proteggi o rinomina le sottodirectory delle applicazioni

Gli hacker spesso ricercano le sottodirectory di alcune applicazioni, come ad es. /phpmyadmin. Quando trovano quello che stanno cercando, tentano con tutte le falle di sicurezza per ottenere l'accesso all'applicazione. Se non puoi proteggere queste sottodirectory, è necessario rinominarle.

Se non hai bisogno di queste applicazioni, sarebbe meglio disinstallarle per motivi di sicurezza.

Esegui il backup dei database

Se utilizzi un database come MySQL o MariaDB, devi assicurarti di averne eseguito il backup. Di seguito ti riportiamo alcune importanti misure di sicurezza:

• Assicurati che l'utente locale "root" abbia bisogno di un'autenticazione per accedere al database.

• Utilizza gli algoritmi di hashing più potenti disponibili per l'autenticazione.

• Verifica che la strategia di backup sia implementata correttamente e testa il ripristino del database. Un normale backup dei file potrebbe non essere sufficiente. Per questo motivo, è necessario creare un'esportazione del database con strumenti come mysqldump o pg_dump.

Qui può trovare la prima parte di questo articolo: Informazioni importanti per la sicurezza del tuo server Linux (prima parte)