skip to Main Content
Come Rendere Sicuro Un Server Linux

Come rendere sicuro un server Linux

Mettere in sicurezza il proprio server Linux è molto importante per svolgere la propria attività online con successo. Senza un livello di sicurezza elevato è possibile che la continuità del servizio e l’integrità dei dati sia compromessa arrecando un danno al proprio business. Noi di Hualma vi consigliamo 10 passaggi da seguire per mettere in sicurezza il proprio server o VPS basato su sistema linux.

Avere un server sempre aggiornato

La prima cosa da fare per iniziare ad ottimizzare la sicurezza del proprio server è quella di avere una macchina sempre aggiornata.

 

Chiavi SSH

Per effettuare connessioni al server Linux in estrema sicurezza bisogna implementare l’uso delle chiavi SSH. Il modo più comune per connettersi ad un server via SSH è quella di utilizzare username e password. Per aumentare il livello di sicurezza ed impedire accessi non autorizzati, possiamo utilizzare l’accesso con chiave pubblica privata.

La chiave pubblica sarà impostata nel server e quella privata nel proprio PC. Questa operazione evita accessi di terze parti non autorizzate. Per effettuare la creazione delle chiavi sara necessario digitare il seguente comando:

ssh-keygen - rsa -C  "you@example.com"

Ora siamo pronti per copiare nel server remoto la chiave pubblica:

ssh-copy-id root@host.servername.com

Se l’operazione è riuscita, sarà possibile collegarsi al server digitando:

ssh host.servername.com

 

Impostazione Firewall

Nei sistemi Linux Debian based è possibile gestire la configurazione firewall tramite tool ufw, che va installato. Per verificare la configurazione è possibile utilizzare i seguenti comandi:

 

root@server:~# ufw app list
Available applications:
OpenSSH root@server:~# ufw status
Status: active
To Action From
-- ------ ----
22/tcp ALLOW Anywhere
22 ALLOW Anywhere
8080/tcp ALLOW Anywhere
80/tcp ALLOW Anywhere
Anywhere DENY 58.218.92.34
80 DENY 202.54.1.5
22 (v6) ALLOW Anywhere (v6)
22/tcp (v6) ALLOW Anywhere (v6)
8080/tcp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)

Configurazione Porte

Una volta avviato il server, l’utente può specificare quali servizi o porte abilitare sul proprio server oltre a quelli abilitati di default.

root@server:~# /home# netstat -tulpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address   Foreign Address State PID/Program name
tcp        0 0 0.0.0.0:22              0.0.0.0:* LISTEN   69941/sshd
tcp6       0 0 :::22                   :::* LISTEN   69941/ss

 

Autenticazione a due fattori

Per avere un livello maggiore di sicurezza è possibile abilitare un sistema di autenticazione a due fattori come quello di Google. Questa opzione va abilitata con grande attenzione, in quanto può compromettere l’accesso al server stesso. L’abilitazione di questa funzione è molto semplice accediamo al nostro server tramite SSH e digitiamo il comando per avviare l’installazione di Google Authenticator :

apt-get install libpam-google-authenticator

Poi eseguire il comando google-authenticator per creare una chiave segreta:

google-authenticator

Modificare il file sshd_config:

vim /etc/ssh/sshd_config
Per utilizzare PAM (PAM  pluggable authentication module):
UsePAM yes
ChallengeResponseAuthentication yes
  • Salvare e chiudere il file ( utilizzando :wq in VIM) e in seguito riavviare SSH.
systemctl restart ssh
  • Modificare il file in cui si trovano le regole PAM per SSH:
vim /etc/pam.d/sshd
  • Aggiungere l’ entry seguente alla fine del file:
auth required pam_google_authenticator.so
  • Salvare e chiudere il file.

Da questo momento SSH utilizzerà Google Authenticator.

 

Disabilitare IPv6

Se il protocollo IPv6 non viene utilizzato, è consigliabile disabilitarlo nella sezione configurazione di rete inserendo la seguente riga :

vim /etc/sysconfig/network
NETWORKING_IPV6=no
IPV6INIT=no

 

Effettuare backup del vostro server Linux o VPS

I backup rappresentano lo strumento essenziale per proteggere i dati più importanti, averli è molto importante. Il nostro consiglio è quello di conservare i dati in almeno due archivi, uno interno al server e uno esterno come un cloud.

 

 

Che cos’è Gzip? E come attivarlo sul nostro provider

Che cos’è Gzip? E come attivarlo sul nostro provider

Rimuovere i contenuti AMP da Google