Phenquestions
| Politica | Utente domestico | server |
| Disabilita SSH | ✔ | X |
| Disabilita l'accesso root SSH | X | ✔ |
| Cambia porta SSH | X | ✔ |
| Disabilita l'accesso con password SSH | X | ✔ |
| iptables | ✔ | ✔ |
| IDS (Sistema Antintrusione) | X | ✔ |
| Sicurezza del BIOS | ✔ | ✔ |
| Crittografia del disco | ✔ | x/✔ |
| Aggiornamento del sistema | ✔ | ✔ |
| VPN (rete privata virtuale) | ✔ | X |
| Abilita SELinux | ✔ | ✔ |
| Pratiche comuni | ✔ | ✔ |
- Accesso SSH
- Firewall (iptables)
- Sistema di rilevamento delle intrusioni (IDS)
- Sicurezza del BIOS
- Crittografia del disco rigido
- Aggiornamento del sistema
- VPN (rete privata virtuale)
- Abilita SELinux (Linux con protezione avanzata)
- Pratiche comuni
Accesso SSH
Utenti domestici:
Gli utenti domestici non usano davvero ssh, indirizzi IP dinamici e configurazioni NAT del router hanno reso le alternative con connessione inversa come TeamViewer più attraenti. Quando un servizio non è utilizzato la porta deve essere chiusa sia disabilitando o rimuovendo il servizio sia applicando regole restrittive del firewall.
Server:
Contrariamente ai lavoratori degli utenti domestici che accedono a server diversi, gli amministratori di rete sono utenti frequenti di ssh/sftp. Se devi mantenere il tuo servizio ssh abilitato puoi prendere le seguenti misure:
- Disabilita l'accesso root tramite SSH.
- Disattiva accesso con password.
- Cambia la porta SSH.
Opzioni di configurazione SSH comuni Ubuntu
iptables
Iptables è l'interfaccia per gestire netfilter per definire le regole del firewall. Gli utenti domestici possono scegliere UFW (Uncomplicated Firewall) che è un frontend per iptables per semplificare la creazione delle regole del firewall. Indipendentemente dall'interfaccia, il punto è che subito dopo la configurazione il firewall è tra le prime modifiche da applicare. A seconda delle esigenze del desktop o del server, i criteri più consigliati per problemi di sicurezza sono criteri restrittivi che consentono solo ciò di cui hai bisogno mentre bloccano il resto. Iptables verrà utilizzato per reindirizzare la porta SSH 22 a un'altra, per bloccare le porte non necessarie, filtrare i servizi e impostare regole per attacchi noti.
Per maggiori informazioni su iptables controlla: Iptables per principianti
Sistema di rilevamento delle intrusioni (IDS)
A causa delle elevate risorse che richiedono IDS non vengono utilizzati dagli utenti domestici ma sono un must sui server esposti agli attacchi. IDS porta la sicurezza al livello successivo permettendo di analizzare i pacchetti. Gli IDS più conosciuti sono Snort e OSSEC, entrambi precedentemente spiegati su LinuxHint. IDS analizza il traffico sulla rete alla ricerca di pacchetti dannosi o anomalie, è uno strumento di monitoraggio della rete orientato agli incidenti di sicurezza. Per istruzioni sull'installazione e la configurazione per le 2 soluzioni IDS più popolari, controlla: Configura Snort IDS e Crea regole
Iniziare con OSSEC (Sistema di rilevamento delle intrusioni)
Sicurezza del BIOS
Rootkit, malware e BIOS del server con accesso remoto rappresentano ulteriori vulnerabilità per server e desktop. Il BIOS può essere violato tramite codice eseguito dal sistema operativo o tramite canali di aggiornamento per ottenere l'accesso non autorizzato o dimenticare informazioni come i backup di sicurezza.
Mantieni aggiornati i meccanismi di aggiornamento del BIOS. Abilita la protezione dell'integrità del BIOS.
Comprensione del processo di avvio - BIOS vs UEFI
Crittografia del disco rigido
Questa è una misura più rilevante per gli utenti desktop che potrebbero perdere il proprio computer o essere vittima di un furto, è particolarmente utile per gli utenti di laptop. Oggi quasi tutti i sistemi operativi supportano la crittografia di dischi e partizioni, distribuzioni come Debian consentono di crittografare l'hard disk durante il processo di installazione. Per istruzioni sulla verifica della crittografia del disco: Come crittografare un'unità su Ubuntu 18.04
Aggiornamento del sistema
Sia gli utenti desktop che l'amministratore di sistema devono mantenere aggiornato il sistema per evitare che versioni vulnerabili offrano accesso o esecuzione non autorizzati. Oltre all'utilizzo del gestore di pacchetti fornito dal sistema operativo per verificare la disponibilità di aggiornamenti, l'esecuzione di scansioni di vulnerabilità può aiutare a rilevare software vulnerabile che non è stato aggiornato su repository ufficiali o codice vulnerabile che deve essere riscritto. Di seguito alcuni tutorial sugli aggiornamenti:
- Come mantenere Ubuntu 17.10 fino ad oggi
- Linux Mint Come aggiornare il sistema
- Come aggiornare tutti i pacchetti su un sistema operativo elementare
VPN (rete privata virtuale)
Gli utenti di Internet devono essere consapevoli che gli ISP monitorano tutto il loro traffico e l'unico modo per permetterselo è utilizzare un servizio VPN. L'ISP è in grado di monitorare il traffico verso il server VPN ma non dalla VPN verso le destinazioni. I servizi a pagamento per problemi di velocità sono i più raccomandabili, ma ci sono buone alternative gratuite come https://protonvpn.com/.
- La migliore VPN per Ubuntu
- Come installare e configurare OpenVPN su Debian 9
Abilita SELinux (Linux con protezione avanzata)
SELinux è un insieme di modifiche al kernel Linux focalizzate sulla gestione degli aspetti di sicurezza relativi alle policy di sicurezza aggiungendo MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) e Multi Category Security (MCS). Quando SELinux è abilitato, un'applicazione può accedere solo alle risorse necessarie specificate su una politica di sicurezza per l'applicazione. L'accesso a porte, processi, file e directory è controllato tramite regole definite su SELinux che consentono o negano operazioni in base alle policy di sicurezza. Ubuntu usa AppArmor come alternativa.
- Tutorial SELinux su Ubuntu
Pratiche comuni
Quasi sempre i problemi di sicurezza sono dovuti a negligenza dell'utente. In aggiunta a tutti i punti numerati in precedenza, seguire le seguenti pratiche:
- Non usare root a meno che non sia necessario.
- Non usare mai X Windows o browser come root.
- Usa gestori di password come LastPass.
- Usa solo password forti e univoche.
- Prova a no per installare pacchetti non liberi o pacchetti non disponibili nei repository ufficiali.
- Disabilita i moduli inutilizzati.
- Sui server applicare password complesse e impedire agli utenti di utilizzare vecchie password.
- Disinstallare il software inutilizzato.
- Non utilizzare le stesse password per accessi diversi.
- Modifica tutti i nomi utente di accesso predefiniti.
| Politica | Utente domestico | server |
| Disabilita SSH | ✔ | X |
| Disabilita l'accesso root SSH | X | ✔ |
| Cambia porta SSH | X | ✔ |
| Disabilita l'accesso con password SSH | X | ✔ |
| iptables | ✔ | ✔ |
| IDS (Sistema Antintrusione) | X | ✔ |
| Sicurezza del BIOS | ✔ | ✔ |
| Crittografia del disco | ✔ | x/✔ |
| Aggiornamento del sistema | ✔ | ✔ |
| VPN (rete privata virtuale) | ✔ | X |
| Abilita SELinux | ✔ | ✔ |
| Pratiche comuni | ✔ | ✔ |
Spero che questo articolo ti sia stato utile per aumentare la tua sicurezza. Continua a seguire LinuxHint per ulteriori suggerimenti e aggiornamenti su Linux e il networking.
