Quali sono le best practice per proteggere il mio server Linux in esecuzione su Lightsail?

Ultimo aggiornamento: 28-10-2021

Sono un amministratore di sistema per le istanze Amazon Lightsail che eseguono Linux. Quali sono alcune best practice per la sicurezza dei server che posso utilizzare per proteggere i miei dati?

Risoluzione

Di seguito sono riportate le best practice di base per la sicurezza dei server Linux. Sebbene queste siano considerazioni importanti per la sicurezza dei server Linux, tieni presente che non si tratta di un elenco completo. Esistono molte impostazioni complesse che devono essere configurate e gestite dal team di amministratori di sistema locale in base ai requisiti specifici e al caso d'uso.

  • Crittografa la comunicazione dei dati da e verso il tuo server Linux.
    Usa SCP, SSH, rsync oSFTP per i trasferimenti di file. Evita di utilizzare servizi come FTP, Telnet e così via, poiché non sono sicuri. Per mantenere una connessione sicura (HTTPS), installa e configura un certificato SSL sul tuo server.
  • Riduci al minimo il software per minimizzare la vulnerabilità in Linux ed eseguire verifiche su base regolare.
    Non installare nessun software non necessario, così da evitare di introdurre vulnerabilità da software o pacchetti. Se possibile, identifica e rimuovi tutti i pacchetti indesiderati.
  • Mantieni aggiornati il kernel e il software Linux.
    L'applicazione di patch di sicurezza è una parte importante della manutenzione del server Linux. Linux fornisce tutti gli strumenti necessari per mantenere aggiornato il sistema. Linux consente inoltre di eseguire facilmente gli aggiornamenti tra le versioni. Esamina e applica tutti gli aggiornamenti di sicurezza il prima possibile e assicurati di eseguire l'aggiornamento all'ultimo kernel disponibile. Usa i rispettivi gestori di pacchetti basati sulle tue distribuzioni Linux, come yum, apt-get o dpkg, per applicare tutti gli aggiornamenti di sicurezza.
  • Usa le estensioni di sicurezza di Linux.
    Linux è dotato di varie funzioni di sicurezza che è possibile utilizzare per proteggersi da programmi mal configurati o compromessi. Qualora possibile, utilizza SELinux e altre estensioni di sicurezza Linux per imporre limitazioni alla rete e ad altri programmi. Ad esempio, SELinux fornisce una serie di policy di sicurezza per il kernel Linux.
  • Disabilita l'accesso root.
    La best practice prevede di non accedere come utente root. Dovresti usare sudo per eseguire comandi a livello di root quando necessario. Sudo migliora notevolmente la sicurezza del sistema senza condividere le credenziali con altri utenti e amministratori.
  • Trova le porte di rete in ascolto utilizzando SS o netstat e chiudi o limita tutte le altre porte.
    È importante prestare attenzione alle porte in ascolto sulle interfacce di rete del sistema. Questo può essere fatto tramitess o netstat. Qualsiasi porta aperta potrebbe indicare un’avvenuta intrusione.
  • Configura sia il firewall Lightsail che i firewall a livello di sistema operativo sui server Linux per un ulteriore livello di sicurezza.
    Usa il firewall Lightsail per filtrare il traffico e permettere solo il traffico necessario al tuo server. Il firewall a livello di sistema operativo è un programma applicativo per lo spazio utente che consente di configurare i firewall forniti dal kernel Linux. Puoi utilizzare iptables, ufw, firewalld ecc., a seconda della distribuzione Linux.
  • Usa auditd per monitorare le attività di sistema.
    Linux fornisce auditd per il controllo del sistema. Auditd scrive i registri di controllo sul disco. Inoltre, monitora varie attività del sistema, come accessi di sistema, autenticazioni, modifiche dell'account e negazioni di SELinux. Questi registri aiutano gli amministratori a identificare attività dannose o accessi non autorizzati.
  • Installa un sistema di rilevamento delle intrusioni (IDS).
    Usa fail2ban o denyhost come IDS. Fail2ban e denyhost scansionano i file di registro alla ricerca di troppi tentativi di accesso non riusciti e bloccano l'indirizzo IP che mostra segni di attività dannose.
  • Crea backup su base regolare.
    Per ulteriori informazioni, consulta Snapshot in Amazon Lightsail.
  • Evita di fornire autorizzazioni di lettura, scrittura ed esecuzione (777) per file e directory a utenti, gruppi e altri utenti.
    Puoi utilizzarechmod per limitare l'accesso a file e directory, come la directory web-root, document-root e così via. Modifica le autorizzazioni per consentire l'accesso solo agli utenti autorizzati.