Ti do il mio punto di vista, dato che di server in produzione ne ho una ventina.<div><br></div><div>- Disabilita assolutamente l'accesso SSH per l'utente root. Accedi come utente</div><div> non privilegiato, e poi usa sudo / su quando ti servono i permessi. Questo e'</div>
<div> fondamentale.</div><div><br></div><div>- Sposta SSH dalla porta 22. Essendo "security through obscurity" non rende il</div><div> server piu' "sicuro", ma eviti i tool automatizzati che provano password per</div>
<div> giorni e ti riempiono i log ;)</div><div><br></div><div>- Disabilita l'accesso tramite password per tutti gli utenti. Crea una chiave usando</div><div> ssh-keygen, lascia la chiave pubblica in ~/.ssh/authorized_keys e proteggi la</div>
<div> chiave privata sul tuo pc con una password (che ti verra' chiesta ogni volta che</div><div> usi la chiave).</div><div><br></div><div> Puo' sembrare poco pratico, ma ti ci abitui velocemente. Personalmente tengo</div>
<div> le due o tre chiavi che mi possono servire per manutenzione in ogni momento in</div><div> Dropbox. Sono protette da password, ma se ho bisogno urgente di accedere</div><div> da un pc non mio posso sempre scaricarle da <a href="http://dropbox.com">dropbox.com</a>. Le uso senza</div>
<div> problemi da Linux e Mac (ssh), Windows (putty) ed Android (connectbot/irssi).</div><div><br></div><div> Se devi dare accesso ad altre persone, puoi mettere tutte le loro chiavi pubbliche</div><div> in ~/.ssh/authorized_keys, per cui ciascuno accede con la propria. La chiave</div>
<div> vale anche per SFTP ovviamente.</div><div><br></div><div>- Prendi l'abitudine di leggere, ogni volta che ti connetti, la riga "Last login: ", e</div><div> indaga immediatamente se noti un IP / orario che non ti e' familiare.</div>
<div><br></div><div><br></div><div>Detto questo, se qualcuno ha acceduto al tuo server, e' molto importante che tu</div><div>lo formatti e riparta da capo, trasferendo strettamente solo i dati che ti servono.</div><div>
E' pratica molto comune lasciare almeno una backdoor per poter accedere in</div><div>seguito al server, quindi non puoi avere la certezza di averlo rimesso in sicurezza</div><div>se non ripartendo da zero.</div><div><br>
</div><div>Buon lavoro! :)</div><div><br></div><div>Martino<br>
<br><br><div class="gmail_quote">2012/10/11 Freeze NorthPole <span dir="ltr"><<a href="mailto:freeze782@gmail.com" target="_blank">freeze782@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Ciao a tutti,<br>
prima di ogni cosa vi ringrazio per le vostre pronte risposte<br>
come vi accennavo ho spento il server e "tranquillizato" sia il mio<br>
provider che i proprietari dei 2 server attaccati<br>
sono già in movimento per salvare il salvabile e reinstallare una<br>
versione "pulita" dell' OS<br>
a questo punto devo proteggermi per il futuro, sto leggendo con<br>
interesse tutte i suggerimenti che mi state dando ma non vi nascondo<br>
la mia ignoranza in materia, per cui mi servirebbe qualche "guru" che<br>
mi segua nei primi passi (alla peggio intervenga direttamente) per<br>
essere sicuro di non fare ulteriori danni....<br>
<br>
qualcuno di voi sarebbe disponibile ?<br>
<br>
Grazie Mille acnora a tutti<br>
Freeze<br>
<br>
2012/10/11 Yusef Maali <<a href="mailto:contact@yusefmaali.net">contact@yusefmaali.net</a>>:<br>
<div class="HOEnZb"><div class="h5">> On 11/10/2012 12:39, Simone Soldateschi wrote:<br>
>><br>
>> se stiamo parlando di irrobustire un server allora le misure da<br>
>> intraprendere<br>
>> non sono mai abbastanza, ed anche quando pensi di aver fatto tutto il<br>
>> possibile<br>
>> devi continuamente esaminare i log<br>
><br>
><br>
> Vero, diciamo che questa è la regola 0.<br>
><br>
><br>
>><br>
>> se usi qualsiasi dispositivo con *nix (android compreso) non ci sono<br>
>> problemi a<br>
>> fare knocking ed usare certificati digitali<br>
>><br>
>> diverso e' il discorso se stiamo parlando di un server casalingo a cui<br>
>> vuoi<br>
>> accedere da qualsiasi dispositivo e da qualsiasi posto<br>
><br>
><br>
> Per la mia esperienza, vale l'esatto contrario.<br>
> Se usi un server in produzione (aka per lavoro), puoi avere la necessità di<br>
> dover accederci con macchine non tue, con qualsiasi OS, da reti blindate,<br>
> ecc...<br>
> Un server in produzione deve essere versatile, a meno che non abbia una<br>
> finalità precisa su cui puoi fare scelte e tagli drastici.<br>
><br>
> E proprio sul server casalingo, monoutente, su cui ti puoi divertire ad<br>
> integrare le tecnologie più fighe (e restrittive) :)<br>
><br>
> In ogni caso dipende sempre dalle proprie necessità, ovviamente ;)<br>
><br>
> _______________________________________________<br>
> Tecnica mailing list<br>
> <a href="mailto:Tecnica@liste.siena.linux.it">Tecnica@liste.siena.linux.it</a><br>
> <a href="http://liste.siena.linux.it/cgi-bin/mailman/listinfo/tecnica" target="_blank">http://liste.siena.linux.it/cgi-bin/mailman/listinfo/tecnica</a><br>
_______________________________________________<br>
Tecnica mailing list<br>
<a href="mailto:Tecnica@liste.siena.linux.it">Tecnica@liste.siena.linux.it</a><br>
<a href="http://liste.siena.linux.it/cgi-bin/mailman/listinfo/tecnica" target="_blank">http://liste.siena.linux.it/cgi-bin/mailman/listinfo/tecnica</a><br>
</div></div></blockquote></div><br></div>