| title | excerpt | updated |
|---|---|---|
Mettere in sicurezza un server dedicato |
Come impostare misure di sicurezza di base per proteggere il server dedicato da attacchi e accessi non autorizzati |
2024-02-20 |
[!primary] Questa traduzione è stata generata automaticamente dal nostro partner SYSTRAN. I contenuti potrebbero presentare imprecisioni, ad esempio la nomenclatura dei pulsanti o alcuni dettagli tecnici. In caso di dubbi consigliamo di fare riferimento alla versione inglese o francese della guida. Per aiutarci a migliorare questa traduzione, utilizza il pulsante "Contribuisci" di questa pagina.
Al momento dell'ordine del tuo server dedicato, puoi scegliere una distribuzione o un sistema operativo da preinstallare. Il server è quindi pronto per essere utilizzato dopo la consegna. Tuttavia, in qualità di amministratore, è compito dell'utente attuare misure che garantiscano la sicurezza e la stabilità del sistema.
Questa guida ti mostra come proteggere un server dedicato su GNU/Linux.
Warning
OVHcloud mette a disposizione i server, ma non è autorizzata ad accedervi e non si occupa quindi della loro amministrazione. Garantire quotidianamente la gestione software e la sicurezza di queste macchine è quindi responsabilità dell’utente. Questa guida ti aiuta a muovere i primi passi nell’utilizzo del tuo server. Tuttavia, in caso di difficoltà o dubbi relativi ad amministrazione e sicurezza, ti consigliamo di contattare un provider specializzato. Per maggiori informazioni consulta la sezione “Per saperne di più” di questa guida.
- Un server dedicato nel tuo account OVHcloud
- Avere un accesso amministratore (sudo) al server via SSH
[!primary]
Ricordate che questa guida generale si basa su un sistema operativo Ubuntu Server. Alcuni comandi devono essere adattati alla distribuzione utilizzata e alcuni trucchi ti invitano a utilizzare strumenti di terze parti. In caso di necessità, consulta la documentazione ufficiale relativa a queste applicazioni.
Per configurare il tuo primo server dedicato OVHcloud, consulta la nostra guida Iniziare a utilizzare un server dedicato.
Questi esempi presuppongono la connessione come utente con elevate autorizzazioni.
Gli sviluppatori di distribuzioni e di sistemi operativi propongono frequenti aggiornamenti di pacchetti, molto spesso per ragioni di sicurezza.
Garantire l'aggiornamento della distribuzione o del sistema operativo è un elemento essenziale per proteggere il server.
L'aggiornamento avverrà in due fasi.
- Aggiorna la lista dei pacchetti:
sudo apt update- L'aggiornamento dei pacchetti in quanto tale:
sudo apt upgradeQuesta operazione deve essere effettuata regolarmente per mantenere un sistema aggiornato.
Una delle prime operazioni da effettuare sul tuo server è la configurazione della porta di ascolto del servizio SSH. Di default, viene definita sulla porta 22, quindi i tentativi di hack del server da parte dei robot indirizzeranno questa porta in priorità. Modificare questo parametro a vantaggio di una porta diversa è una misura semplice per rafforzare la protezione del tuo server contro gli attacchi automatici.
Per farlo, modifica il file di configurazione del servizio con l'editor di testo scelto (nano è utilizzato in questo esempio):
sudo nano /etc/ssh/sshd_configDovrai trovare queste linee o equivalenti:
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0Sostituisci il numero 22 con il numero di porta che preferisci.
Ricordati di non inserire un numero di porta già utilizzato sul tuo sistema.
Per una maggiore sicurezza, utilizza un numero tra 49152 e 65535.
Salva e lascia il file di configurazione.
Se la riga è "commentata" (cioè preceduta da un "#") come nell'esempio precedente, assicurarsi di rimuovere il "#" prima di salvare il file, in modo che la modifica venga presa in considerazione. Esempio:
Porta 49152
#AddressFamily any
#ListenAddress 0.0.0.0Riavvia il servizio:
sudo systemctl restart sshdCiò dovrebbe essere sufficiente per attuare le modifiche. In caso contrario, riavvia il server (sudo reboot).
Per Ubuntu 23.04 e versioni successive
Per le ultime versioni di Ubuntu, la configurazione SSH viene gestita nel file ssh.socket.
Per aggiornare la porta SSH, modifica la riga Listenstream nel file di configurazione con un editor di testo a tua scelta (nano utilizzato in questo esempio):
sudo nano /lib/systemd/system/ssh.socket[Socket]
ListenStream=49152
Accept=noSalvare le modifiche ed eseguire i comandi seguenti:
sudo systemctl daemon-reloadsudo systemctl restart ssh.serviceSe è stato attivato il firewall del sistema operativo, assicurarsi di consentire la nuova porta secondo le regole del firewall.
Ricordati di indicare la nuova porta ad ogni richiesta di connessione SSH al tuo server:
ssh username@IPv4_server -p NewPortNumberEsempio:
ssh [email protected] -p 49152Warning
Ricorda che la modifica della porta di default di SSH o qualsiasi altro protocollo costituisce un potenziale rischio. Non è possibile configurare alcuni servizi per utilizzarli con porte non standard e, pertanto, se si modifica la porta di default non funzioneranno.
In genere, i compiti che non richiedono privilegi root devono essere eseguiti tramite un utente standard. Per maggiori informazioni, consulta questa guida.
Le distribuzioni GNU/Linux correnti sono fornite con un servizio di firewall chiamato iptables, che di default non dispone di regole attive. Per verificarlo, esegui il comando:
iptables -LPer maggiori informazioni su iptables, consulta la nostra guida dedicata.
Ti consigliamo di creare e adattare le regole del firewall in base alle tue necessità. Per maggiori informazioni sulle diverse operazioni, consulta la documentazione ufficiale della distribuzione utilizzata.
Fail2ban è un framework di prevenzione contro le intrusioni il cui scopo è bloccare gli indirizzi IP da cui i robot o gli aggressori cercano di accedere al tuo sistema.
Questo pacchetto è indispensabile, in alcuni casi, per proteggere il tuo server dagli attacchi di tipo Brute Force o Denial of Service.
Per installare il pacchetto software, utilizza questo comando:
sudo apt install fail2banPuoi personalizzare i file di configurazione Fail2ban per proteggere i servizi esposti a Internet pubblico dai ripetuti tentativi di connessione.
Come raccomandato da Fail2ban, crei un file di configurazione locale dei tuoi servizi copiando il file "jail.conf":
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.localApri il file con un editor di testo:
sudo nano /etc/fail2ban/jail.localLeggi le informazioni in alto nel file, in particolare i commenti sotto [DEFAULT].
I parametri [DEFAULT] sono globali e si applicheranno quindi a tutti i servizi definiti per essere attivati (enabled) in questo file.
È importante sapere che i parametri globali saranno presi in considerazione solo se nel file non ci sono valori diversi definiti nelle sezioni di servizio (JAILS).
Prendiamo ad esempio queste linee sotto [DEFAULT]:
bantime = 10m
maxretry = 5
enabled = falseQuesto significa che un indirizzo IP a partire dal quale un host tenta di connettersi sarà bloccato per dieci minuti dopo il quinto tentativo di apertura della sessione non andato a buon fine.
Inoltre, tutti i parametri specificati da [DEFAULT] e nelle sezioni seguenti rimangono disattivati a meno che la linea enabled = true non sia aggiunta per un servizio (come indicato qui di seguito # JAILS).
Come esempio di utilizzo, avere queste linee nella sezione [sshd] attiverà restrizioni solo per il servizio OpenSSH:
[sshd]
enabled = true
port = ssh
filter = sshd
maxretry = 3
findtime = 5m
bantime = 30mIn questo esempio, se un tentativo di connessione SSH fallisce tre volte in cinque minuti, il periodo di divieto degli IP sarà di 30 minuti.
Se l'hai modificato, puoi sostituire "ssh" con il numero di porta reale.
L'approccio migliore consiste nell'attivare Fail2ban solo per i servizi eseguiti sul server. Ogni parametro personalizzato aggiunto con # JAILS avrà priorità sui valori predefiniti.
Una volta terminate le modifiche, salva il file e chiudi l'editor.
Riavvia il servizio per assicurarti che venga eseguito con le personalizzazioni applicate:
sudo service fail2ban restartFail2ban dispone di numerosi parametri e filtri di personalizzazione e di opzioni predefinite, ad esempio quando vuoi aggiungere uno strato di protezione a un server web Nginx.
Per maggiori informazioni e raccomandazioni su Fail2ban, consulta la documentazione ufficiale{.external} di questo tool.
Le soluzioni OVHcloud includono la possibilità di attivare un firewall al punto di ingresso dell'infrastruttura, il Network Firewall. La corretta configurazione di questo firewall permette di bloccare le connessioni prima che arrivino sul tuo server.
Per attivare il Network Firewall, consulta la guida Configurare il Network Firewall.
Il concetto di sicurezza non si limita esclusivamente alla protezione di un sistema dagli attacchi. La messa in sicurezza dei tuoi dati è un elemento fondamentale ed è per questo che OVHcloud ti offre uno spazio di backup di 500 GB incluso con il tuo server, che puoi attivare direttamente dal tuo Spazio Cliente ed eseguire l’accesso utilizzando i seguenti protocolli:
- FTP
- FTPS
- NFS
- CIFS
Per copiare i tuoi dati e trasferirli nel tuo spazio di backup, avrai bisogno di una soluzione di backup esterna.
Per ulteriori informazioni sulle nostre soluzioni di backup, consulta la guida Backup storage.
Configura il firewall su Windows
Se avete bisogno di formazione o di assistenza tecnica per implementare le nostre soluzioni, contattate il vostro rappresentante o cliccate su questo link per ottenere un preventivo e richiedere un'analisi personalizzata del vostro progetto da parte dei nostri esperti del team Professional Services.
Contatta la nostra Community di utenti all’indirizzo https://community.ovh.com/en/.