Quali sono le best practice per proteggere il server Linux in esecuzione su Lightsail?

4 minuti di lettura
0

Sono un amministratore di sistema per le istanze Amazon Lightsail che eseguono Linux. Desidero conoscere le best practice di sicurezza dei server che posso utilizzare per proteggere i miei dati.

Soluzione

Di seguito sono riportate le best practice di base per la sicurezza dei server Linux. Non si tratta di un elenco completo. In qualità di amministratore di sistema locale, è necessario configurare molte impostazioni complesse in base ai requisiti e ai casi d’uso.

**Crittografa la comunicazione dei dati da e verso il server Linux **

Usa SCP, SSH, rsync o SFTP per i trasferimenti di file. Non utilizzare FTP e Telnet perché non sono sicuri. Per mantenere una connessione sicura (HTTPS), installa e configura un certificato SSL/TLS sul server.

**Riduci il software per minimizzare la vulnerabilità in Linux ed esegui regolarmente controlli di sicurezza **

Per evitare vulnerabilità dovute a software o pacchetti, non installare software non necessario. Se possibile, identifica e rimuovi tutti i pacchetti indesiderati.

**Mantieni aggiornati il kernel e il software Linux **

Le patch di sicurezza sono una parte importante della manutenzione dei server Linux. Linux fornisce tutti gli strumenti necessari per mantenere il sistema aggiornato. Puoi passare facilmente da una versione all'altra. Rivedi e applica tutti gli aggiornamenti di sicurezza non appena vengono rilasciati e assicurati di eseguire l'aggiornamento all'ultimo kernel disponibile. Per applicare tutti gli aggiornamenti di sicurezza, usa i gestori di pacchetti basati sulle distribuzioni di Linux, come yum, apt-get o dpkg.

**Usa le estensioni di sicurezza di Linux **

Linux è dotato di funzionalità di sicurezza che puoi usare per proteggerti da programmi mal configurati o compromessi. Se possibile, usa SELinux e altre estensioni di sicurezza Linux per imporre limitazioni sulla rete e su altri programmi.

Disattiva l’accesso root

Non accedere come utente root. Quando necessario, è consigliabile utilizzare sudo per eseguire comandi a livello root. Sudo migliora la sicurezza del sistema e non condivide credenziali con altri utenti e amministratori. Per ulteriori informazioni, consulta Disallowing root access sul sito Web di Red Hat.

**Usa SS o netstat per trovare le porte di rete in ascolto e chiudere o limitare tutte le altre porte **

Usa ss o netstat per trovare le porte in ascolto sulle interfacce di rete del sistema. Qualsiasi porta aperta potrebbe essere la prova di un'intrusione. Per ulteriori informazioni, consulta Linux networking: socket stats via ss e Linux networking: 13 uses of netstat sul sito Web di Red Hat.

Configura il firewall Lightsail e i firewall a livello di sistema operativo sui server Linux per una maggiore sicurezza

Usa il firewall Lightsail per filtrare il traffico e consentire solo il traffico necessario al server. Il firewall a livello di sistema operativo è un programma applicativo per lo spazio utente che consente di configurare i firewall forniti dal kernel Linux. A seconda della distribuzione di Linux, puoi usare iptables, ufw, firewalld e così via. Per ulteriori informazioni su iptables e firewalld, consulta Setting and Controlling IP sets using iptables e Using firewalls sul sito Web di Red Hat. Per ulteriori informazioni su ufw, consulta Security - Firewall sul sito Web di Ubuntu.

**Usa auditd per controllare il sistema **

Usa auditd per controllare il sistema. Auditd scrive i record di controllo sul disco. Monitora anche le attività di sistema, come gli accessi al sistema, le autenticazioni, le modifiche agli account e i dinieghi SELinux. Questi record consentono di identificare attività dannose o accessi non autorizzati. Per ulteriori informazioni, consulta Configure Linux system auditing with auditd sul sito Web di Red Hat. 

**Installa un IDS **

Usa fail2ban o denyhost come sistema di rilevamento delle intrusioni (IDS). Fail2ban e denyhost scansionano i file di log alla ricerca di troppi tentativi di accesso falliti e bloccano l'indirizzo IP che mostra segni di attività dannose.

Crea regolarmente dei backup

Per ulteriori informazioni, consulta Snapshots in Amazon Lightsail.

Evita le autorizzazioni di lettura, scrittura ed esecuzione (777) per file e directory a utenti, gruppi e altri

Puoi usare chmod per limitare l'accesso a file e directory, come la directory web-root o la directory root del documento. Per ulteriori informazioni, consulta Linux permissions: An introduction to chmod sul sito Web di Red Hat. Per fornire l'accesso solo agli utenti autorizzati, modifica le autorizzazioni. Per ulteriori informazioni, consulta How to manage Linux permissions for users, groups, and others sul sito Web di Red Hat.

Informazioni correlate

Security in Amazon Lightsail

Compliance validation for Amazon Lightsail

Infrastructure security in Lightsail

Best practices for securing Windows Server-based Lightsail instances

AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa