Compro un server, installo i pacchetti più comuni come Apache, Php e Mysql e lo sistemo online. Tutto questo può apparire molto semplice, ma considerando tutte le variabili in gioco, in realtà non lo è.
Attivare un server richiede spesso poche ore e la notevole disponibilità di documentazione online relativa all’installazione degli applicativi più comuni ha reso alla portata di tutti o quasi la possibilità di muovere i primi passi su un server Linux. Le capacità richieste per amministrare e rendere sicuro un sistema vanno però al di là di ciò che può essere il contenuto degli howto e delle guide disponibili in rete. Per rendere più chiari i concetti abbiamo individuato una serie di punti chiave da cui il lettore può trarre spunto per sviluppare consapevolezza e cognizione di causa nell’ambito di un’ambiente server. La totalità delle operazioni presentate deve essere delegata ad un professionista della gestione, una figura che può prendere in carico le procedure di protezione, manutenzione e ottimizzazione di un sistema.
- monitoraggio dei demoni, i demoni sono i servizi essenziali di un server. Apache è un demone, Mysql è un demone, Postfix è un demone. Immaginate di aver passato un’ottima nottata di sonno e di aprire al risveglio il browser per dirigervi su uno dei siti ospitati a bordo del server che avete appena acquistato. I siti non rispondono e Firefox vi avvisa con un messaggio di “Connessione annullata”. Siete nel panico più totale e ignari di cosa possa essere accaduto. E’ questo uno dei primi ostacoli su cui l’utente medio si imbatte. Monitorare i demoni significa verificare in modo costante che essi siano attivi e pronti a soddisfare connessioni. Un sistemista che monitora il vostro server potrà aiutarvi ad eliminare il pericolo di risvegliarsi con i siti “spenti” e completamente inutilizzabili.
- auditing dei log, i log di sistema sono dei particolari registri che vengono utilizzati dai demoni per immagazzinare informazioni circa il funzionamento di questi ultimi. I log vengono utilizzati inoltre dal sistema stesso per scrivere uno storico di tutte le operazioni eseguite dal server. All’interno dei log potremo verificare se un attaccante ha tentato in qualche modo di accedere al server o se Apache ha smesso di funzionare perchè i processi aperti non riuscivano a soddisfare tutte le richieste HTTP.
- rilevamento delle intrusioni, un server nuovo di zecca collegato in rete e attivo da pochi minuti diventa immediatamente bersaglio di attaccanti e tool di scanning diretti a sfruttare eventuali falle di sicurezza per guadagnare un accesso root alla macchina. Server trascurati e gestiti da personale non competente diventano nel giro di poco tempo veicolo di spam e possono essere inglobati all’interno di una botnet.
- aggiornamenti software e di sistema, mantenere un sistema aggiornato significa mettersi al riparo dagli exploit 0day. Gli exploit 0day sono falle di sicurezza che vengono individuate su particolari versioni di sistemi operativi o software generici e successivamente sfruttate attraverso script liberamente distribuiti in rete che possono fornire anche ad un utente privo di particolare capacità tecniche la possibilità di compromettere un numero molto vasto di server. Ricordate l’exploit sul kernel Linux di qualche giorno fa?
- ottimizzazione, bene il tuo server gira a meraviglia, i tuoi siti collezionano visite e gli utenti che approdano sui tuoi blog aumentano sempre di più. Dopo qualche giorno però inizi a notare un calo di prestazioni molto consistente e i lettori lamentano il fatto che per visitare le pagine dei tuoi siti viene richiesto un notevole tempo di attesa. E’ giunto il momento di ottimizzare il tuo server e si tratta di un passo necessario. Ottimizzare un sistema significa riuscire ad ottenere performance migliori intervenendo sui valori di default dei demoni, per consentire agli applicativi di sfruttare al meglio le caratteristiche del sistema stesso.
- hardening, l’hardening di un server è quel processo che innalza il livello di sicurezza della macchina, limando imperfezioni e rischi che potrebbero essere sfruttati come porta d’ingresso per eventuali operazioni non lecite o per provocare un’interruzione del servizio. Anche l’hardening è una procedura necessaria e fondamentale dato l’assunto che per default nessun sistema nasce completamente sicuro ed inattaccabile. L’hardening coinvolge i servizi attivi sul server in modo totale. A titolo di esempio, Apache ha la possibilità di essere dotato di moduli che accrescono il grado di sicurezza del web server come mod_defensible, mod_antiloris, mod_evasive o mod_security.
- controllo dell’integrità dei file, la cosa peggiore e più temuta per il possessore di un server è il rischio che un attaccante riesca ad ottenere l’accesso root alla macchina. Generalmente si tratta di situazioni senza via d’uscita che richiedono il ripristino totale di un server per eliminare qualsiasi rischio per la sicurezza. Più in basso nella scala dei rischi troviamo il pericolo di veder compromesso un account utente di tipo comune. Poniamo l’esempio di un accesso ftp/shell di cui l’attaccante indovina la password o se ne appropria con una qualsiasi tecnica di ingegneria sociale. Il cracker ha accesso alla home dell’utente e forte delle sue skill da via ad una serie di operazioni di privilege escalation volte a guadagnare l’accesso root. Generalmente iniziano ad essere colpiti i file vitali del sistema e qui entra in gioco la difesa fornita dal controllo dell’integrità dei file. Pur con privilegi molto limitati, il cracker può sfruttare tool ed exploit per alterare i file vitali del sistema quali possono essere /etc/password, /etc/group o /etc/shadow. Un controllo dell’integrità dei file permette di rilevare questo tipo di modifiche e di avvertire in tempo l’amministratore circa le attività sospette presenti sul server.
- firewall, la presenza di un firewall è veramente essenziale. L’attivazione di questa importante protezione consente di difendere il server da port scanning, attacchi DoS di saturazione dei demoni e in generale da molte tipologie di attacco che possono essere bloccate preventivamente implementando sistemi di real time blacklisting a livello firewall.
- antispam, se il server deve farsi carico del ruolo di mail server è essenziale dotare il sistema di meccanismi antispam. Tra i più efficaci vi è il greylisting di cui abbiamo parlato ampiamente su questo blog. La gestione della posta e di tutte le dinamiche ad essa associate non possono essere trascurate ma devono essere delegate a personale competente e ben formato.
- antivirus, su Linux il rischio di contrarre infezioni virus dirette è veramente molto limitato. Il pericolo risiede piuttosto nel ruolo che il server occupa, essendo mezzo di trasmissione per le informazioni, per i messaggi di posta elettronica e per qualsiasi comunicazione utente – utente. Un virus può essere propagato attraverso gli allegati dei messaggi di posta o attraverso l’infezione delle pagine web contenute sul server. Diventa perciò molto importante dotare il sistema di un buon sistema di scansione antivirus come Clamav o DrWeb.
- rotazione log, un server può riservare sorprese non solo quando Apache smette di funzionare portando in down i siti web ma anche quando la tua directory /var/log diventa così pesante da provocare l’arresto del sistema. La rotazione dei log permette di “spezzare” e comprimere in un archivio i log di sistema diminuendo la quantità di spazio occupata su disco eliminando il rischio di ritrovarsi con un server inutilizzabile.
- protezione brute force, abbiamo ribadito come uno dei rischi principali per un server possa essere la violazione degli account root e utente. Un meccanismo di protezione contro i brute force consente di respingere gli attacchi di questo tipo, bloccando alla porta i tentativi di accesso indesiderati.
- backup, il backup è considerato un argomento molto spinoso per l’utente medio, che spesso ha difficoltà ad impostare procedure di salvataggio dei dati razionali e costanti. Il backup del server e dei dati residenti su di esso è fondamentale e necessario per garantire continuità del servizio e sicurezza.
Prevenzione
Rendere un server sicuro ed immune dai più comuni tipi di attacco significa prevenire guai grossi. Eseguire backup regolari consente di garantire la sicurezza dei dati. La strategia più sicura si accompagna alla prevenzione ed alla pianificazione di interventi di protezione e manutenzione costanti per il server che garantiranno tranquillità e pochi rischi.
Servermanaged.it è composta da un team che opera da circa 10 anni nei settori dell’amministrazione di sistema e del supporto tecnico per infrastrutture server. Con la moltiplicazione degli ambienti server virtuali e dedicati, a portata di utente, lo staff ha trasformato l’assistenza on-site in assistenza remota, globalizzando il raggio d’azione. Per saperne di più leggi la nostra faq o contattaci.
