Server dedicati: sicurezza, rischi, e come contenerli

Server dedicati: sicurezza, rischi, e come contenerli

Come gestire la sicurezza di un hosting dedicato, e perchè preferire i servizi managed (leggermente più costosi) a quelli unmanaged (più economici).

Security concept: Lock on digital screen

Le operazioni che spesso si effettuano basilarmente per quanto riguarda la sicurezza di un server dedicato sono le seguenti:

  1. anzitutto vi è la scelta di una password di sistema robusta;
  2. in secondo luogo, e non potrebbe essere altrimenti, si va a delinare una pianificazione costante degli aggiornamenti.

Questi primi requisiti potrebbero quindi essere discussi a lungo per quanto, come vedremo tra un attimo, siano solo condizioni necessarie ma non sufficenti per garantire un servizio di hosting qualitativamente elevato. Di fatto, è importante comunque tenere presente che:

  1. password condivise tra più account differenti (se venisse pubblica e scoperta, ci sarebbero discrete possibilità di propagare il problema su più account);
  2. la scelta di password banali o facili da indovinare (vedi le direttive complete sulle password da evitare) è una delle causa più comuni, ed al tempo stesso micidiali, legate alla mancata sicurezza di un sistema di hosting;
  3. d’altro canto, non aggiornare il sistema per molto tempo è un rischio che espone la macchina in maniera piuttosto variegata a seconda della versione del server presente. Per cui è certamente fondamentale effettuare degli upgrade, cosa che in Linux solitamente effettuiamo da sistema con:

sudo aptget update

Chiaramente, come sottolineato ad es. da Valentino Gagliardi in un bell’articolo sull’argomento, non finisce qui: i possibili attacchi possono essere di varia natura ed è proprio da qui che bisogna partire. Un attacco bruteforce, SQL-injection, remote file inclusion, exploit o-day, script kiddies e insider sono soltanto alcuni dei principali pericoli con cui gli hacker potrebbero minacciare il nostro dedicato, che andrebbe quindi in quest’ottica gestito in maniera rigorosamente managed. Non crediate che utilizzare un hosting dedicato non richieda la presenza di un sistemista preparato per la sicurezza, e non fatevi illudere da chi racconta che “non serve alcuna manutenzione” o che, peggio, un dedicato sia come “stare a casa propria” e dove si possa fare quello che si vuole indiscriminatamente: se compromettete per incompetenza o inconsapevolezza una qualsiasi macchina server, l’hosting dovrà prendere provvedimenti arrivando a volte, a ragione, ad oscurare il vostro sito. A tale riguardo segnaliamo come Keliweb, azienda di hosting italiana, offra un server dedicato unmanaged con la possibilità di disporre di assistenza “ad ore”, in modo tale da essere seguiti, quantomeno nella prima parte di configurazione del servizio web o del sito, da un sistemista specializzato.

Come si protegge un dedicato? I modi sono molto numerosi e variegati, e richiedono di solito la consulenza di un tecnico informatico o sistemista: ad esempio per evitare problemi come l’exploit o-day (che interessò Plesk nel febbraio 2012) andrebbe anzitutto evitato di trascurare completamente la sicurezza, cosa che in almeno un caso documentato è la causa dei maggiori problemi. La sottovalutazione del problema in questi casi è un’arma a doppio taglio perchè impone, di fatto, una serie di difficoltà che possono ripercuotersi sui clienti ma anche sui singoli visitatori del sito (diffusione di malware e backdoor). Di seguito riassumo i tre principali attacchi a cui è potenzialmente soggetta una macchina server:

  1. bruteforce: un attaccante prova in automatico più password sul sistema, basandosi sulle suddette liste pubbliche e finchè il sistema glielo permette.
  2. SQL-injection: un attaccante riesce, mediante manipolazione di stringhe, ad aggirare la sicurezza del sistema (ad esempio in PHP) ed in particolare eseguendo query arbitrarie sul sistema.
  3. remote file inclusion: un attaccante, tipicamente mediante manipolazione di form o di URL, riesce ad inviare in remoto un proprio file che poi potrà eseguire da remoto (ad esempio faiquellochevoglio.php).

Photo credit: © maxkabakov – Fotolia.com

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.