Alla sicurezza di un server viene spesso data la massima priorità solo quando è troppo tardi. Tuttavia, un server può essere protetto dall'accesso non autorizzato con mezzi relativamente semplici. In questa voce ti presentiamo alcune opzioni con le quali puoi aumentare sostanzialmente la sicurezza del tuo server.
Passwörter
Innanzitutto dovresti assicurarti di utilizzare solo password che seguono determinati standard in modo da rendere difficile indovinare le password. Le password devono contenere almeno 16 caratteri, non contenere parole o sequenze ripetute (ad esempio "asdfasdf") e consistere di lettere maiuscole e minuscole, numeri e caratteri speciali. Una password dovrebbe anche essere utilizzata solo per uno scopo e non essere utilizzata più volte. Questi standard possono essere facilmente applicati con un generatore di password e un gestore di password.
Aggiornamenti e servizi
Uno dei problemi più comuni che consente agli aggressori di accedere a un server è lo sfruttamento delle falle di sicurezza nei servizi o nei sistemi operativi. Gli aggiornamenti regolari sono quindi essenziali per un server sicuro. Gli aggiornamenti di sicurezza dovrebbero essere installati il prima possibile.
I tuoi server dovrebbero contenere solo i servizi di cui hai effettivamente bisogno. Controlla il software installato sui tuoi server e disinstalla i servizi sconosciuti e non necessari. È anche importante che i servizi siano sempre eseguiti da un utente separato con diritti limitati e non dall'utente root.
Restrizione dell'accesso remoto
Dovresti mantenere l'accesso ai tuoi server tramite SSH o RDP il più limitato possibile.
Con SSH, l'accesso diretto come utente root dovrebbe essere proibito e dovrebbe essere utilizzato anche un utente senza permessi speciali. Per amministrare il server, questo utente può utilizzare il programma sudo diritti superiori assegnati temporaneamente. Si consiglia inoltre di vietare l'accesso con password e di utilizzare solo certificati. A tal fine viene utilizzata una cosiddetta procedura a chiave pubblica. Ciò significa che ogni client e ogni server deve avere sia una chiave pubblica con la quale possono essere crittografati altri messaggi al client o al server, sia una chiave privata con la quale questi messaggi possono essere nuovamente decrittografati. Dovresti sempre tenere la chiave privata al sicuro. In caso di autenticazione SSH senza password, la chiave pubblica di ogni client a cui deve essere consentito di connettersi al server viene memorizzata sul server.
Con RDP dovresti accettare solo connessioni sicure. Ciò garantisce che venga utilizzato il protocollo NLA (Network Level Authentication Protocol), che controlla l'autenticazione del client prima che venga stabilita una sessione.
Ove possibile, è consigliato anche l'uso dell'autenticazione bidirezionale, in cui, oltre ai dati di accesso effettivi, viene utilizzato per l'autenticazione un codice di accesso, che viene inviato a un dispositivo autorizzato, spesso uno smartphone, ad esempio.
Protezione contro la forza bruta
Con il servizio fail2ban, gli attacchi Broteforce, ovvero gli attacchi in cui si vuole ottenere l'accesso a un sistema provando frequentemente diverse combinazioni, possono essere rilevati e bloccati per i singoli servizi. Questo è particolarmente consigliato per SSH; può essere utilizzato per tutti i servizi che registrano i tentativi di accesso non riusciti nei log.
firewall
Infine, puoi utilizzare un firewall per limitare le connessioni in entrata e in uscita. A tal fine è sufficiente un firewall software, come iptables o il firewall di Windows. Normalmente, dovrebbero essere consentite solo le connessioni in entrata che sono necessarie e tutte le altre connessioni sono bloccate.
Con questi semplici passaggi puoi proteggere il tuo server ei tuoi dati da usi impropri e accessi non autorizzati. I passaggi seguenti dipendono dall'utilizzo del server e possono comprendere, ad esempio, la configurazione speciale di singoli servizi o il rilevamento di intrusioni.
Non ci sono commenti