Come rendere inattaccabile il proprio server dedicato

Set 24, 2012 |

Le buone pratiche per far sì che gli attacchi degli hacker siano destinati a fallire: è necessario soprattutto che gli amministratori non perdano mai di vista gli accessi al sistema e non installino software di dubbia origine.

Quando si sceglie un server dedicato, in un certo senso si è “da soli”: le competenze che di norma sono demandate ai fornitori del servizio sono invece affidate agli amministratori, ed è quindi una buona idea che questi ricorrano ad alcuni accorgimenti per evitare spiacevoli sorprese.

Per prima cosa, nei server dedicati è sempre meglio installare versioni minime del sistema operativo, senza programmi di terze parti o disinstallando questi ultimi se ci si trova ad amministrare un server che li ha già operativi. Poi è necessario disabilitare tutti i servizi che non si intendono usare (che siano le mail o l’ftp), così come i protocolli che non servono (su Windows, ad esempio, IPSec o NetBios). L’importante è valutare con attenzione l’uso che si farà del server senza aver paura di eliminare servizi anche standard. Di norma su un sistema Linux per un server dedicato funzionale, autosufficiente ma ben “corazzato” contro gli attacchi esterni non serve molto di più di un daemon ssh, un firewall e un web server.

Basta account inutili

Un’altra buona pratica è la rimozione di tutti gli account che non si prevede di usare; per quelli esistenti, è necessario sempre cambiare con regolarità username e password (privilegiando finché è possibile la lunghezza della stessa, invece di cercare codici troppo complicati) e provvedere ad auditing regolari degli utenti che hanno accesso al servizio. Non dimenticate anche di scrivere delle guide dettagliate per non perdere mai il controllo degli utenti iscritti: spesso sono proprio gli account dimenticati da tempo a rappresentare una golosa opportunità per gli hacker intenzionati a entrare nel sistema.

Uno sguardo al filesystem

Date sempre un’occhiata al filesystem: su Linux, cambiando partizione se necessario a /tmp e /var per evitare danni causati da Denial of Service; su Windows, optando sempre un filesystem NTFS, più sicuro. E poi, non lo si ricorderà mai abbastanza, backup continui e abbondanti, in modo che ci sia sempre la possibilità di recuperare i dati archiviati. Ricordate inoltre che alcuni software, anche molto popolari, sono tradizionalmente aperti agli attacchi degli hacker, come Joomla; bisogna pertanto installare solo software sicuro, stabile e testato per non vanificare gli accorgimenti di cui si è parlato finora.

Tra script e update

Fate girare regolarmente degli script (e i cron-jobs di Linux) che passino in rassegna rootkit o file cgi o mail sospette per verificare l’esistenza di falle nella sicurezza. Gli script possono anche essere usati per verificare l’integrità dei file di configurazione più importanti.

Una buona idea è anche quella di installare dei software di monitoring per i propri server dedicati dove studiare statistiche e log degli accessi. Inoltre non bisogna mai dimenticare di installare il prima possibile gli update critici del sistema in materia di sicurezza (ad esempio quelli di Windows), nati proprio per contrastare le ultime falle di sistema.

Posted in: Comunicati | Tags:

Comments are closed.