6 strumenti indispensabili per rendere sicuro il tuo server Linux
Attenzione
Questo articolo è stato pubblicato più di un anno fa, potrebbero esserci stati sviluppi.
Ti preghiamo di tenerne conto.
Su internet, nei blog, nei gruppi mail, nei forum e sui social network si legge spesso che Linux sia assolutamente sicuro e impenetrabile agli attacchi. Lasciando perdere i discorsi da fanboy, sebbene sia vero che Linux sia pensato in modo molto diverso rispetto ai concorrenti, la sicurezza è attivabile. Per “sicurezza” intendo tutta una serie di misure che dovremo prendere per ridurre il rischio di attacchi, di fail e altro. Azzerare il rischio è impossibile, infatti – come diceva qualcuno – per rendere sicuro un computer occorre scollegarlo dalla rete… e non è detto che sia ancora sicuro.
In questo articolo parliamo di server Linux e sicurezza, in pratica un computer pensato per essere collegato e comunicare con i client, che difficilmente verrà scollegato dalla rete.
Quindi quella che segue è una lista non esaustiva di tutti gli strumenti che dovrebbero essere installati su un server Linux per incrementarne la sicurezza (molti dovrebbero essere abilitati anche nei PC). Vediamoli insieme.
ClamAV – antivirus / antimalware
ClamAV è un antivirus / antimalware di proprietà di Cisco specifico per Linux, ma installabile anche su Winows e Mac. Sebbene Linux sia immune ai virus ClamAV è particolarmente indicato ad esempio per i server di posta in coppia con SpamAssassin, per assicurare anche ai client differenti di non ricevere virus o altro codice malevolo.
ClamAV di norma richiede di essere interfacciato con il terminale testuale, il che potrebbe essere un ostacolo per l’utente che sia approccia la prima volta con questo software. Esistono interfacce grafiche sia per Windows (ClamWin) che per Linux (Clam TK) per l’utilizzo domestico.
ClamAV è installabile su PC tramite repository, mentre sul sito ufficiale sono disponibili (oltre alle versioni sorgente) i pacchetti già compilati per RPM e DEB.
Nikto – scanner di vulnerabilità per server remoti
Nikto è un semplice programma in perl che scansiona un server Linux in LAN o in internet. Effettua dei test alla ricerca di versioni software obsolete, problemi legati a versioni specifiche dei programmi installati e altro. Include 6700 definizioni di programmi potenzialmente malevoli, oltre 1250 problemi di versione su 270 server.
Per una lista completa delle possibilità offerte da Nikto rimando al sito ufficiale.
Le istruzioni per la compilazione sono sul GitHub del progetto. Anche gli aggiornamenti agli script vengono rilasciati come update al progetto GIT. Il progetto non è orientato all’utente occasionale, infatti è tutto a riga di comando.
Nmap – scanner di rete
Come Nikto anche Nmap è uno scanner… ma di rete. Nmap scansiona tutta la rete a cui è connesso in cerca di vulnerabilità. Con questo strumento l’amministratore di rete può esaminare i dispositivi attivi nel dettaglio, scoprire nuovi host, trovare rischi per la sicurezza della rete e identificare le porte aperte.
Nmap è uno dei software più importanti e completi del suo genere. Oltre ad essere uno strumento accademico ordinario è diventato oggetto della ricerca stessa. Vista la sua abilità di analizzare i pacchetti di rete nel dettaglio e restituire informazioni tecniche sugli host, si può star certi che Nmap sia lo strumento numero uno di tutti i tecnici di rete.
Zenmap è una interfaccia grafica per Nmap, mentre WebMap è una interfaccia web per gestire Nmap.
Uno strumento web più completo (che comprende Nmap) è invece IVRE (si interfaccia a Nmap, Masscan, ZGrab2, ZDNS e Zeek).
Rkhunter – scanner rootkit
Quest’altro invece è uno scanner per rootkit basato su Linux. Il software è attivo in background e informa l’utente di eventuali attacchi nel momento in cui vengono avviati sulla macchina.
Viene usato per proteggere il computer da rootkit, exploit locali sia sui server che sui desktop.
Snort – sistema di prevenzione intrusioni
Snort è un sistema di prevenzione delle intrusioni. È rilasciato da Cisco e disponibile in tre diverse versioni:
- Community (regole intrusione scritte dalla community – GPL/open source),
- Registered (regole della community integrate dalle “Proprietary Snort Rules” – licenza proprietaria ad uso non commerciale),
- Subscriber (stessi contenuti della “Registered”, ma utilizzo commerciale consentito – licenza proprietaria).
La sua ampia community e la grande base di utenti e sviluppatori fanno di Snort il software di prevenzione intrusioni più diffuso al mondo.
Wireshark – analizzatore di pacchetti
Con Wireshark è possibile analizzare i pacchetti in entrata / uscita in tempo reale.
Wireshark è supportato da una grande community di esperti di reti, ingegneri e sviluppatori, è aggiornato regolarmente e supporta svariati metodi di crittografia.
Wireshark è un programma così completo e adottato da aziende di sicurezza in ambito professionale da essere probabilmente l’unico monitor di traffico che ti possa servire se lo sai usare bene.
Ed eccoci al capolinea. Questi sono i sei strumenti più importanti di cui tu possa mai aver bisogno per testare la sicurezza del tuo server / del tuo computer. Installandoli il server non diventerà magicamente più sicuro, ma iniziare a conoscere questi strumenti è il primo passo per capire come aumentare la sicurezza.
Ho dimenticato qualcosa? Fammelo sapere nei commenti qui sotto.
0 commenti