10 consigli per migliorare la sicurezza di un server Linux

Vuoi mettere in sicurezza il tuo server Linux, ma non sai da dove iniziare? Ti suggerisco 10 azioni facilissime per garantirti la massima sicurezza

Hai appena attivato il tuo nuovo server dedicato, un nuovo VPS o un fiammante cloud server con distribuzione Linux CentOS e vuoi mettere tutto in sicurezza.

Effettivamente, mettere in sicurezza Linux sul tuo server (di qualsiasi natura esso sia!) ti aiuta a prevenire gli attacchi perpetrati ai danni delle macchine Internet da abili hacker, sempre alla ricerca di dati sensibili e di servizi Web da monitorare e sfruttare per i propri scopi illeciti (leggi BOT).

Di seguito, ti svelo 10 trucchetti che puoi subito mettere in pratica per porre in sicurezza il tuo server Linux senza troppa fatica.10 consigli per migliorare la sicurezza di un server Linux

Ricordati che mi riferirò a un’installazione CentOS (o RHEL – Red Hat Enterprise Linux), ma, al di là dei comandi che ti suggerisco, i consigli che sto per darti valgono per qualsiasi distribuzione Linux.

Sei pronto? E allora bando alle ciance e buona lettura!

La sicurezza di un server Linux passa attraverso la password di root

La prima operazione da compiere è quella di autenticarti sul tuo server e cambiare la password di root, soprattutto se non usi una chiave SSH per accedere al tuo sistema Linux. Per ottenere questo risultato, usa il comando:

passwd

e ricordati di utilizzare una password davvero efficace.

Siucrezza server Linux e nuovo utente

Oltre all’utente root presente di default in qualsiasi installazione Linux, crea un nuovo utente per il tuo accesso al server, in questo modo:

useradd <username>
passwd <password>

La password del server Linux non deve valere in eterno!

Per migliorare la sicurezza, cambia la validità della password, in modo che tu sia costretto a trovarne sempre una nuova dopo un certo periodo di tempo:

chage –M 60 –m 7 –w 7 <username>

dove:

  • M: numero di giorni minimo che deve passare fra un cambio password e un altro
  • m: numero di giorni massimo di validità della password
  • w: numero di giorni prima che la password avverta della prossima scadenza

Sicurezza server Linux? Usare sempre sudo!

Smettila di usare su e ricorri sempre più spesso all’utilizzo di sudo. Sudo è molto più sicuro perché consente di tenere traccia dei comandi eseguiti, memorizzandoli nel file di log raggiungibile al percorso /var/log/secure.

Sicurezza server Linux solo via SSH

Non andare alla ricerca della sicurezza per il tuo server se continui a usare protocolli come telnet o rlogin che non supportano i comandi criptati. Meglio usare sempre la Secure Shell SSH, sia per il login remoto sia per il trasferimento dati, in quanto supporta la crittazione delle informazioni durante la comunicazione. Inoltre, ti conviene modificare la porta di comunicazione che di default è impostata a 22 e limitare l’opportunità di effettuare SSH in qualità di utenza root, in questo modo:

  • Esegui vi /etc/ssh/sshd_config
  • Cerca #PermitRootLogin yes e cambialo con PermitRootLogin no
  • Esegui service sshd restart

Gli aggiornamenti garantiscono il massimo della sicurezza del server Linux

Ricordati di aggiornare sempre il kernel e il software con le patch necessarie a garantire il massimo della sicurezza al tuo server Linux. Per tenere sempre tutto aggiornato utilizza il comando:

yum update

Server Linux pulito, server Linux sicuro

La sicurezza passa anche attraverso un sistema sempre pulito e ordinato. Per questo è importante rimuovere sempre il software che non usi, riducendo così la superficie di attacco ed evitando eventuali vulnerabilità. Per ottenere questo risultato, puoi usare i comandi:

yum list installed
yum list <package-name>
yum remove <package-name-to-remove>

Per un server Linux sicuro, usa sempre SELinux

Utilizza sempre SELinux (Security Extension) per avvantaggiarti del flessibile MAC (Mandatory Access Control), proteggendo così il sistema da applicazioni malevoli che possono danneggiare o distruggere la tua installazione. Per verificare se il SELinux è attivo, usa il comando:

sestatus

Un server Linux sicuro che ti dà il benvenuto

Offri sempre il benvenuto a tutti gli utenti remoti che si collegano al tuo server Linux, inserendo nel messaggio di accoglienza un avviso che tutto quello che faranno sarà comunque tenuto sotto controllo. Questo deterrente potrebbe già essere sufficiente per tenere alla larga almeno gli hacker alle primissime armi. Per modificare il messaggio di benvenuto, ricorriamo a MOTD (Message Of The Day), così:

vi /etc/motd

Tieni sempre sotto controllo i log!

Un server Linux in sicurezza è un server in cui l’amministratore (cioè tu!) tiene sempre sotto controllo almeno questi file di log:

  • Log di avvio: /var/log/boot.log
  • Log di autenticazione: /var/log/secure
  • File di record dei login: /var/log/utmp o /var/log/wtmp
  • Log delle attività correnti: /var/log/message
  • Log di autenticazione: /var/log/auth.log
  • Log del kernel: /var/log/kern.log
  • Log delle attività pianificate (cron job): /var/log/cron.log
  • Log del mail server: /var/log/maillog
  • A volte è davvero questione di poco, anche solo una password troppo semplice può compromettere l’intero sistema. Oltre che ragionare di sistemi di sicurezza avanzati, non ci scordiamo dei fondamentali. Per affrontare un progetto web con tranquillità occorre innanzitutto un servizio hosting solido e affidabile, magari anche scelto con parsimonia e ponderazione, ma innanzitutto protetto dal buon senso.

    • internetpost

      Ciao Francesco
      hai sicuramente ragione. Un servizio hosting affidabile offre in partenza un livello di sicurezza maggiore: se a questo affianchiamo anche l’uso generale del buon senso (come dicevi persino una password troppo semplice può compromettere un progetto online) da parte degli user, è possibile limitare al minimo i rischi per il nostro server