Differenze tra le versioni di "Protezione relativa macchina Debian"

Da It Ikoula wiki.
Jump to navigation Jump to search
 
(17 versioni intermedie di un altro utente non mostrate)
Riga 1: Riga 1:
 +
<span data-link_translate_it_title="Protezione relativa macchina Debian"  data-link_translate_it_url="Protezione relativa macchina Debian"></span>[[:it:Protezione relativa macchina Debian]][[it:Protezione relativa macchina Debian]]
 +
<span data-link_translate_he_title="אבטחת הרכב דביאן שלה"  data-link_translate_he_url="%D7%90%D7%91%D7%98%D7%97%D7%AA+%D7%94%D7%A8%D7%9B%D7%91+%D7%93%D7%91%D7%99%D7%90%D7%9F+%D7%A9%D7%9C%D7%94"></span>[[:he:אבטחת הרכב דביאן שלה]][[he:אבטחת הרכב דביאן שלה]]
 +
<span data-link_translate_ru_title="Обеспечение его машины под управлением Debian"  data-link_translate_ru_url="%D0%9E%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5+%D0%B5%D0%B3%D0%BE+%D0%BC%D0%B0%D1%88%D0%B8%D0%BD%D1%8B+%D0%BF%D0%BE%D0%B4+%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5%D0%BC+Debian"></span>[[:ru:Обеспечение его машины под управлением Debian]][[ru:Обеспечение его машины под управлением Debian]]
 +
<span data-link_translate_ja_title="その Debian マシンを確保"  data-link_translate_ja_url="%E3%81%9D%E3%81%AE+Debian+%E3%83%9E%E3%82%B7%E3%83%B3%E3%82%92%E7%A2%BA%E4%BF%9D"></span>[[:ja:その Debian マシンを確保]][[ja:その Debian マシンを確保]]
 +
<span data-link_translate_ar_title="تأمين جهاز به دبيان"  data-link_translate_ar_url="%D8%AA%D8%A3%D9%85%D9%8A%D9%86+%D8%AC%D9%87%D8%A7%D8%B2+%D8%A8%D9%87+%D8%AF%D8%A8%D9%8A%D8%A7%D9%86"></span>[[:ar:تأمين جهاز به دبيان]][[ar:تأمين جهاز به دبيان]]
 +
<span data-link_translate_zh_title="确保其 Debian 的机器"  data-link_translate_zh_url="%E7%A1%AE%E4%BF%9D%E5%85%B6+Debian+%E7%9A%84%E6%9C%BA%E5%99%A8"></span>[[:zh:确保其 Debian 的机器]][[zh:确保其 Debian 的机器]]
 +
<span data-link_translate_ro_title="Asigurarea sa maşină de Debian"  data-link_translate_ro_url="Asigurarea+sa+ma%C5%9Fin%C4%83+de+Debian"></span>[[:ro:Asigurarea sa maşină de Debian]][[ro:Asigurarea sa maşină de Debian]]
 +
<span data-link_translate_pl_title="Zabezpieczanie swojej maszynie Debiana"  data-link_translate_pl_url="Zabezpieczanie+swojej+maszynie+Debiana"></span>[[:pl:Zabezpieczanie swojej maszynie Debiana]][[pl:Zabezpieczanie swojej maszynie Debiana]]
 +
<span data-link_translate_de_title="Sicherung ihrer Debian-Rechner"  data-link_translate_de_url="Sicherung+ihrer+Debian-Rechner"></span>[[:de:Sicherung ihrer Debian-Rechner]][[de:Sicherung ihrer Debian-Rechner]]
 +
<span data-link_translate_nl_title="Beveiligen zijn Debian machine"  data-link_translate_nl_url="Beveiligen+zijn+Debian+machine"></span>[[:nl:Beveiligen zijn Debian machine]][[nl:Beveiligen zijn Debian machine]]
 
<span data-link_translate_pt_title="Protegendo sua máquina Debian"  data-link_translate_pt_url="Protegendo+sua+m%C3%A1quina+Debian"></span>[[:pt:Protegendo sua máquina Debian]][[pt:Protegendo sua máquina Debian]]
 
<span data-link_translate_pt_title="Protegendo sua máquina Debian"  data-link_translate_pt_url="Protegendo+sua+m%C3%A1quina+Debian"></span>[[:pt:Protegendo sua máquina Debian]][[pt:Protegendo sua máquina Debian]]
 
<span data-link_translate_es_title="Su máquina Debian"  data-link_translate_es_url="Su+m%C3%A1quina+Debian"></span>[[:es:Su máquina Debian]][[es:Su máquina Debian]]
 
<span data-link_translate_es_title="Su máquina Debian"  data-link_translate_es_url="Su+m%C3%A1quina+Debian"></span>[[:es:Su máquina Debian]][[es:Su máquina Debian]]
Riga 5: Riga 15:
 
<br />
 
<br />
  
Il presente articolo stato tradotto tramite un software di traduzione automatica. possibile visualizzare l'origine articolo [[:fr:Sécuriser sa machine Debian|qui]].<br /><span data-translate="fr"></span>
+
Il presente articolo è stato tradotto tramite un software di traduzione automatica. È possibile visualizzare l'origine articolo [[:fr:Sécuriser sa machine Debian|qui]].<br /><span data-translate="fr"></span>
  
==Introduzion==
+
{{#seo:
Garantire che la sicurezza della sua macchina è un punto essenziale che Nn deve essere sottovalutato pena diventando il bersaglio di vari attacchi. L'attuale potere di computer oggi facendo intrusioni come le tecniche di attacco a forza bruta o  ''bruteforce'' molto semplice da implementare per ottenere l'accesso come amministratore al bersaglio in un breve periodo di tempo macchina.
+
|title=Protezione relativa macchina Debian
 +
|title_mode=append
 +
|keywords=these,are,your,keywords
 +
|description=Protezione relativa macchina Debian
 +
|image=Uploaded_file.png
 +
|image_alt=Wiki Logo
 +
}}
 +
 
 +
==Introduzione ==
 +
Garantire che la sicurezza della sua macchina è un punto essenziale che No. n deve essere sottovalutato pena diventando il bersaglio di vari attacchi. L'attuale potere di computer oggi facendo intrusioni come le tecniche di attacco a forza bruta o  ''bruteforce'' molto semplice da implementare per ottenere l'accesso come amministratore al bersaglio in un breve periodo di tempo macchina.
 
<br><br>
 
<br><br>
In questa pagina troverete un elenco non esaustivo dei brani al fine di proteggere il server Debian su diversi punti come l'accont di rad, accesso SS, firewall, ecc...
+
In questa pagina troverete un elenco non esaustivo dei brani al fine di proteggere il server [https://www.ikoula.it/it/server-dedicati/linux/debian Debian] su diversi punti come l'acco nt di radice , accesso SSH , firewall, ecc...
 
<div style="background-color: #FF9999;"> '''Avviso ''': Prima di apportare modifiche al vostro sistema sempre pianificare un backup dei file in caso di uso improprio. <br>
 
<div style="background-color: #FF9999;"> '''Avviso ''': Prima di apportare modifiche al vostro sistema sempre pianificare un backup dei file in caso di uso improprio. <br>
Su un server di produzione, assicurarsi di eseguire queste operazioni durante gli orari per ridurre al minimo l'impatto delle vostre a</div>
+
Su un server di produzione, assicurarsi di eseguire queste operazioni durante gli orari per ridurre al minimo l'impatto delle vostre azioni. </div>
  
==Prerequisi==
+
==Prerequisiti ==
 
Uno del prerequisito essenziale per la sicurezza del suo server è di mantenere i suoi pacchetti nella loro versione il più aggiornate possibile. Un numero significativo di difetti scoperti è rapidamente corretti dagli sviluppatori dei pacchetti e le applicazioni coinvolte, ovunque possibile dovrebbe sempre mantenere il suo sistema per aggiornare e quindi per evitare problemi di sicurezza.
 
Uno del prerequisito essenziale per la sicurezza del suo server è di mantenere i suoi pacchetti nella loro versione il più aggiornate possibile. Un numero significativo di difetti scoperti è rapidamente corretti dagli sviluppatori dei pacchetti e le applicazioni coinvolte, ovunque possibile dovrebbe sempre mantenere il suo sistema per aggiornare e quindi per evitare problemi di sicurezza.
Mantenere il sistema Debian aggiornato, assicurarsi che avete una lista di repository ufficiali per l'aggiornamento. È possibile trovare un elenco delle disponibili presso Ikoula repository e le istruzioni di installa [[:fr:Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| a questo indirizzo]].
+
Mantenere il sistema Debian aggiornato, assicurarsi che avete una lista di repository ufficiali per l'aggiornamento. È possibile trovare un elenco delle disponibili presso Ikoula repository e le istruzioni di installazione  [[:fr:Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| a questo indirizzo]].
  
==Accesso rad==
+
==Accesso radice  ==
Consenti connessioni da account ''rad'' Dopo il primo utilizzo non è generalmente una buona idea. Infatti l'account  ''root'' ou ''superutente '' ha pieno accesso al sistema. <br>Se un utente malintenzionato viene fornito per accedere al con ''superutente '' Esso avrà il controllo totale della vostra macchina.
+
Consenti connessioni da account ''radice '' Dopo il primo utilizzo non è generalmente una buona idea. Infatti l'account  ''root'' ou ''superutente '' ha pieno accesso al sistema. <br>Se un utente malintenzionato viene fornito per accedere al conto  ''superutente '' Esso avrà il controllo totale della vostra macchina.
===Il comando sudo===
+
===Il comando sudo ===
 
Per ridurre il rischio è possibile, ad esempio, aggiungere un utente che, se necessario, otterrà i diritti dei nostri  ''superutente '' utilizzando il comando  ''sudo''.
 
Per ridurre il rischio è possibile, ad esempio, aggiungere un utente che, se necessario, otterrà i diritti dei nostri  ''superutente '' utilizzando il comando  ''sudo''.
 
;Abbiamo prima bisogno di creare un nuovo utente  :
 
;Abbiamo prima bisogno di creare un nuovo utente  :
Riga 34: Riga 53:
 
<syntaxhighlight lang="bash"> sudo cat /etc/password </syntaxhighlight>  
 
<syntaxhighlight lang="bash"> sudo cat /etc/password </syntaxhighlight>  
  
===Vietare il login di ro===
+
===Vietare il login di root ===
 
Ora che abbiamo un altro utente ad esempio possiamo prevenire collegamento al nostro sistema dall'account  ''root''.<br>
 
Ora che abbiamo un altro utente ad esempio possiamo prevenire collegamento al nostro sistema dall'account  ''root''.<br>
  
;In primo luogo è necessario modificare la configurazione del servizio ssh  
+
;In primo luogo è necessario modificare la configurazione del servizio ssh file
 
<syntaxhighlight lang="bash">  vi /etc/ssh/sshd_config </syntaxhighlight>
 
<syntaxhighlight lang="bash">  vi /etc/ssh/sshd_config </syntaxhighlight>
  
;Trovare e modificare la seguente riga nel file sshd_config, modificando la  ''S�'' da ''no''. Bisogno di decommentare la riga eliminando il simbolo  #.
+
;Trovare e modificare la seguente riga nel file sshd_config, modificando la  '''' da ''no''. Bisogno di decommentare la riga eliminando il simbolo  #.
 
<syntaxhighlight lang="bash">  PermitRootLogin no </syntaxhighlight>
 
<syntaxhighlight lang="bash">  PermitRootLogin no </syntaxhighlight>
  
 
Ricordate quindi salvare e chiudere il file di configurazione. <br>
 
Ricordate quindi salvare e chiudere il file di configurazione. <br>
 
;Quando verrà riavviato il servizio SSH è necessario che le modifiche avranno effetto.
 
;Quando verrà riavviato il servizio SSH è necessario che le modifiche avranno effetto.
<syntaxhighlight lang="bash"> systemctl restart ssh </syntaxhighlight>
+
<syntaxhighlight lang="bash"> /etc/init.d/ssh restart </syntaxhighlight>
 
<br>
 
<br>
<div style="background-color: #FFCC99;"> '''Consig''': Si consiglia di tenere il SSH sempre terminale come root per tutta la durata delle prove. Infatti maltrattamento renderebbe la connessione al vostro sistema Impossibile. <br>
+
<div style="background-color: #FFCC99;"> '''Consiglio ''': Si consiglia di tenere il SSH sempre terminale come root per tutta la durata delle prove. Infatti maltrattamento renderebbe la connessione al vostro sistema Impossibile. <br>
 
Si raccomanda pertanto l'apertura di un secondo terminale al fine di verificare la connessione e l'uso dei cambiamenti del nuovo utente. </div>
 
Si raccomanda pertanto l'apertura di un secondo terminale al fine di verificare la connessione e l'uso dei cambiamenti del nuovo utente. </div>
  
==SSH accesso==
+
==SSH accesso ==
 
Grazie alle soluzioni precedentemente il nostro sistema è già ben protetto, ma possiamo ancora migliorare questa sicurezza implementando un file di chiave di autenticazione. <br>
 
Grazie alle soluzioni precedentemente il nostro sistema è già ben protetto, ma possiamo ancora migliorare questa sicurezza implementando un file di chiave di autenticazione. <br>
 
Solitamente la connessione e l'autenticazione sul sistema viene eseguita tramite una coppia di login /password. Possiamo sostituire questo metodo che non è infallibile di autenticazione a chiave. <br>
 
Solitamente la connessione e l'autenticazione sul sistema viene eseguita tramite una coppia di login /password. Possiamo sostituire questo metodo che non è infallibile di autenticazione a chiave. <br>
 
Una volta che l'implementazione del cambiamento durante ogni nuovo sistema di connessione controllerà se l'utente tenta di connettersi è una chiave valida e se questo ha permesso di eseguire un login per l'utente. <br>
 
Una volta che l'implementazione del cambiamento durante ogni nuovo sistema di connessione controllerà se l'utente tenta di connettersi è una chiave valida e se questo ha permesso di eseguire un login per l'utente. <br>
Anche se nessun metodo è infallibile file di chiave di autenticazione richiede la persona che vogliono entrare nel sistema che ha questo file. Così, possiamo rafforzare la protezione contro una password che può essere indovinata da  ''forza brut''<br>
+
Anche se nessun metodo è infallibile file di chiave di autenticazione richiede la persona che vogliono entrare nel sistema che ha questo file. Così, possiamo rafforzare la protezione contro una password che può essere indovinata da  ''forza bruta ''<br>
 
Diversi inconvenienti, tuttavia, sono presenti quando è selezionato questo metodo, è indispensabile avere il file di chiave indipendentemente dalla posizione della connessione, ad esempio tra computer al lavoro e a casa. <br>
 
Diversi inconvenienti, tuttavia, sono presenti quando è selezionato questo metodo, è indispensabile avere il file di chiave indipendentemente dalla posizione della connessione, ad esempio tra computer al lavoro e a casa. <br>
 
È inoltre necessario aggiunto manualmente ogni nuovo file di chiave che sarà consentito l'accesso al sistema, nel caso ad esempio di aggiungere un nuovo utente o l'accesso da una persona autorizzata al sistema.
 
È inoltre necessario aggiunto manualmente ogni nuovo file di chiave che sarà consentito l'accesso al sistema, nel caso ad esempio di aggiungere un nuovo utente o l'accesso da una persona autorizzata al sistema.
  
=== Modificare la porta predef ===
+
=== Modificare la porta predefinita  ===
 
Uno dei modi più efficaci per interrompere i test automatico lanciato contro server è cambiare la porta SSH predefinito sulla vostra macchina.
 
Uno dei modi più efficaci per interrompere i test automatico lanciato contro server è cambiare la porta SSH predefinito sulla vostra macchina.
Per fare questo modifica il tuo fi '''sshd_config'''
+
Per fare questo modifica il tuo file  '''sshd_config'''
 
<syntaxhighlight lang="bash"> vi /etc/ssh/sshd_config </syntaxhighlight>
 
<syntaxhighlight lang="bash"> vi /etc/ssh/sshd_config </syntaxhighlight>
 
; Trovare e modificare la riga successiva del file modificando il valore di quello scelto  
 
; Trovare e modificare la riga successiva del file modificando il valore di quello scelto  
Riga 66: Riga 85:
 
Port 22
 
Port 22
 
</syntaxhighlight>
 
</syntaxhighlight>
; Riavviare il servizio SSH
+
; Riavviare il servizio SSH  
 
<syntaxhighlight lang="bash"> /etc/init.d/ssh restart </syntaxhighlight>
 
<syntaxhighlight lang="bash"> /etc/init.d/ssh restart </syntaxhighlight>
<div style="background-color: #FFCC99;"> '''Not''': Ora connettersi alla vostra macchina sarà specificando la nuova porta SSH : SSH user @IPAddress -p Votre_port</div>
+
<div style="background-color: #FFCC99;"> '''Nota ''': Ora connettersi alla vostra macchina sarà specificando la nuova porta SSH : SSH user @IPAddress -p Votre_port</div>
 
<br>
 
<br>
=== Generare una coppia di chi ===
+
=== Generare una coppia di chiavi  ===
 
==== Windows ====
 
==== Windows ====
 
[[File:puttygen.png|thumb|right|PuTTYgen sous Windows]]
 
[[File:puttygen.png|thumb|right|PuTTYgen sous Windows]]
Riga 76: Riga 95:
 
<br>
 
<br>
 
==== Linux ====
 
==== Linux ====
Sotto linux è possibile digitare il seguente co :
+
Sotto linux è possibile digitare il seguente comando  :
 
<syntaxhighlight lang="bash"> ssh-keygen </syntaxhighlight>
 
<syntaxhighlight lang="bash"> ssh-keygen </syntaxhighlight>
  
=== Copiare una coppia di c ===
+
=== Copiare una coppia di chiavi  ===
 
Quando viene generata la coppia ora dobbiamo indicare il server quali sono persone autorizzate a connettersi al nostro nuovo utente.
 
Quando viene generata la coppia ora dobbiamo indicare il server quali sono persone autorizzate a connettersi al nostro nuovo utente.
 
Per fare questo ogni utente del nostro sistema dispone di un file  '''ssh/authorized_keys''' presenti nella directory locale.
 
Per fare questo ogni utente del nostro sistema dispone di un file  '''ssh/authorized_keys''' presenti nella directory locale.
Riga 86: Riga 105:
 
<syntaxhighlight lang="bash"> ssh-copy-id votre_utilisateur@IP_VotreServeur </syntaxhighlight>
 
<syntaxhighlight lang="bash"> ssh-copy-id votre_utilisateur@IP_VotreServeur </syntaxhighlight>
  
;In alternativa è possibile aggiungere manualmente la chiave pubblica nel file di persone auto
+
;In alternativa è possibile aggiungere manualmente la chiave pubblica nel file di persone autorizzate
 
Se la cartella di SSH non esiste nella cartella locale dei nostri utenti lo creiamo  
 
Se la cartella di SSH non esiste nella cartella locale dei nostri utenti lo creiamo  
 
<syntaxhighlight lang="bash">mkdir .ssh
 
<syntaxhighlight lang="bash">mkdir .ssh
 
chmod 700 .ssh
 
chmod 700 .ssh
 
</syntaxhighlight>
 
</syntaxhighlight>
;Ora abbiamo bisogno di creare un file  '''authorized_keys''' nella nostra cartella.
+
;Ora abbiamo bisogno di creare un file  '''authorized_keys''' nella nostra cartella. ssh
 
<syntaxhighlight lang="bash"> vi .ssh/authorized_keys
 
<syntaxhighlight lang="bash"> vi .ssh/authorized_keys
 
</syntaxhighlight>
 
</syntaxhighlight>
; La chiave pubblica viene quindi aggiunto al file, il risultato dovrebbe essere simile a questo
+
; La chiave pubblica viene quindi aggiunto al file, il risultato dovrebbe essere simile a questo esempio
 
<syntaxhighlight lang="bash"> ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale </syntaxhighlight>
 
<syntaxhighlight lang="bash"> ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale </syntaxhighlight>
 
Salva e chiude il file.
 
Salva e chiude il file.
Riga 103: Riga 122:
  
  
==Firewal==
+
==Firewall ==
 
Utilizzo di un firewall è consigliabile per proteggere il vostro sistema. <br>
 
Utilizzo di un firewall è consigliabile per proteggere il vostro sistema. <br>
 +
Il firewall è spesso la prima linea di difesa della vostra macchina contro l'esterno, infatti è colui che analizzerà il traffico che passa tra la macchina e l'esterno. <br>
 +
Grazie il firewall si è in grado di bloccare o consentire l'accesso al computer dall'esterno di determinati protocolli o porte, garantendo così la sicurezza del vostro sistema.
 +
===Criteri di protezione ===
 +
Nel caso di un firewall è necessario definire un criterio di protezione da attuare. Senza una definizione efficace la scelta del blocco o autorizzazione di protocolli e le porte sarebbe abbastanza casuale. <br>
 +
È pertanto necessario definire in anticipo una chiara politica per la sicurezza della sua rete di computer o la sua macchina. <br>
 +
<br>
 +
Le varie politiche comunemente usate includono condizioni  '''whitelist ''' e de  '''la blacklist '''.
 +
====Whitelist ====
 +
Il principio della politica della  '''whitelist ''' è per bloccare tutto il traffico in ingresso senza eccezione e consentire in modo esplicito solo le porte e i protocolli che siamo assolutamente certi della loro sicurezza.
 +
Questo criterio di protezione ha molti vantaggi rispetto alla  '''Blacklist '''. Infatti tutto il traffico non esplicitamente consentito verrà bloccato, questo eviterà la maggior parte dei tentativi di connessione che abbiamo non avere necessariamente il riflesso per garantire. <br>
 +
Uno degli svantaggi di questa politica è l'obbligo di dover definire ogni porte o protocolli utilizzati per non bloccare l'esecuzione dei nostri servizi  ( ad esempio il protocollo  ''http'' sulla porta  80 )Dobbiamo pertanto conoscere ogni porta usata dalla macchina e mantenere le regole durante l'aggiunta o l'eliminazione di un servizio.
 +
Relativa in uscita nella maggior parte dei casi che non è considerato rischioso per tutti autorizzati, anzi si suppone di conoscere il traffico lasciando la macchina o la rete. Tuttavia, si consiglia di mantenere una traccia di protezione recapito esterno.
 +
====Blacklist ====
 +
Il principio della politica della  '''Blacklist ''' è di consentire tutto il traffico in ingresso senza eccezione e bloccare in modo esplicito solo le porte e protocolli, che siamo sicuri che essi rappresentano un rischio per la sicurezza. <br>
 +
Questo criterio di protezione ha molti svantaggi rispetto alla  '''whitelist '''. Infatti consentire tutto il traffico in ingresso senza alcuna restrizione non è raccomandato, blocco coinvolti solo nel caso di una porta o protocollo esplicitamente stabilito.
 +
Relativa in uscita nella maggior parte dei casi che non è considerato rischioso per tutti autorizzati, anzi si suppone di conoscere il traffico lasciando la macchina o la rete. Tuttavia, si consiglia di mantenere una traccia di protezione recapito esterno.
 +
===IPTables ===
 
IPTables è sicuramente il più famoso firewall software disponibile per Debian.
 
IPTables è sicuramente il più famoso firewall software disponibile per Debian.
  
Qui ci sono alcuni comandi pratici riguardanti software  :
+
Qui ci sono alcuni comandi pratici riguardanti :
;Installazione di iptab
+
;Installazione di iptables
 
<syntaxhighlight lang="bash"> sudo apt-get install iptables </syntaxhighlight>
 
<syntaxhighlight lang="bash"> sudo apt-get install iptables </syntaxhighlight>
; Elencare le regole attualmente stabilite
+
; Elencare le regole attualmente stabilite  
 
<syntaxhighlight lang="bash"> sudo iptables -L </syntaxhighlight>
 
<syntaxhighlight lang="bash"> sudo iptables -L </syntaxhighlight>
; Le regole stabilite di spur
+
; Le regole stabilite di spurgo
 
<syntaxhighlight lang="bash">
 
<syntaxhighlight lang="bash">
 
sudo iptables -F
 
sudo iptables -F
 
sudo iptables -X
 
sudo iptables -X
 
</syntaxhighlight>
 
</syntaxhighlight>
;Aggiungere una re
+
;Aggiungere una regola
 
<syntaxhighlight lang="bash">
 
<syntaxhighlight lang="bash">
# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip 10.0.0.1 par exemple
+
# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s 10.0.0.1 -j ACCEPT
+
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT
 
</syntaxhighlight>
 
</syntaxhighlight>
<div style="background-color: #FFCC99;"> '''Not''': Attenzione nel caso di un indirizzo IP fisso, come cambierà il tuo IP non sarà possibile accedere in SSH sul vostro server. </div>
+
<div style="background-color: #FFCC99;"> '''Nota ''': Attenzione nel caso di un indirizzo IP dinamico, come cambierà il tuo IP non sarà possibile accedere in SSH sul vostro server !<br>
 +
Usare cautela quando si assegna un indirizzo IP che potrebbe essere dinamica, per esempio quello del vostro internet box a casa. </div>
 
;Eliminare una regola
 
;Eliminare una regola
 
<syntaxhighlight lang="bash">
 
<syntaxhighlight lang="bash">
Riga 131: Riga 168:
 
[[Category:Server_dedicato]]
 
[[Category:Server_dedicato]]
 
[[Category:Linux]]
 
[[Category:Linux]]
 
 
<br />
 
<br />
 
<comments />
 
<comments />

Versione attuale delle 14:43, 12 ott 2021

it:Protezione relativa macchina Debian he:אבטחת הרכב דביאן שלה ru:Обеспечение его машины под управлением Debian ja:その Debian マシンを確保 ar:تأمين جهاز به دبيان zh:确保其 Debian 的机器 ro:Asigurarea sa maşină de Debian pl:Zabezpieczanie swojej maszynie Debiana de:Sicherung ihrer Debian-Rechner nl:Beveiligen zijn Debian machine pt:Protegendo sua máquina Debian es:Su máquina Debian en:Securing its Debian machine fr:Sécuriser sa machine Debian

Il presente articolo è stato tradotto tramite un software di traduzione automatica. È possibile visualizzare l'origine articolo qui.

Introduzione

Garantire che la sicurezza della sua macchina è un punto essenziale che No. n deve essere sottovalutato pena diventando il bersaglio di vari attacchi. L'attuale potere di computer oggi facendo intrusioni come le tecniche di attacco a forza bruta o bruteforce molto semplice da implementare per ottenere l'accesso come amministratore al bersaglio in un breve periodo di tempo macchina.

In questa pagina troverete un elenco non esaustivo dei brani al fine di proteggere il server Debian su diversi punti come l'acco nt di radice , accesso SSH , firewall, ecc...

Avviso : Prima di apportare modifiche al vostro sistema sempre pianificare un backup dei file in caso di uso improprio.
Su un server di produzione, assicurarsi di eseguire queste operazioni durante gli orari per ridurre al minimo l'impatto delle vostre azioni.

Prerequisiti

Uno del prerequisito essenziale per la sicurezza del suo server è di mantenere i suoi pacchetti nella loro versione il più aggiornate possibile. Un numero significativo di difetti scoperti è rapidamente corretti dagli sviluppatori dei pacchetti e le applicazioni coinvolte, ovunque possibile dovrebbe sempre mantenere il suo sistema per aggiornare e quindi per evitare problemi di sicurezza. Mantenere il sistema Debian aggiornato, assicurarsi che avete una lista di repository ufficiali per l'aggiornamento. È possibile trovare un elenco delle disponibili presso Ikoula repository e le istruzioni di installazione a questo indirizzo.

Accesso radice

Consenti connessioni da account radice Dopo il primo utilizzo non è generalmente una buona idea. Infatti l'account root ou superutente ha pieno accesso al sistema.
Se un utente malintenzionato viene fornito per accedere al conto superutente Esso avrà il controllo totale della vostra macchina.

Il comando sudo

Per ridurre il rischio è possibile, ad esempio, aggiungere un utente che, se necessario, otterrà i diritti dei nostri superutente utilizzando il comando sudo.

Abbiamo prima bisogno di creare un nuovo utente
 adduser votre_utilisateur

In seguito, riempire i campi, nonché la password che preferibilmente sarà costituita di lettere minuscole, lettere maiuscole e numeri.

Ci verrà ora installato sudo
 apt-get install sudo
Ora che il nostro utente è creato e che sudo è installato dovrà essere nel gruppo di utilizzare il comando sudo
 usermod -a -G sudo votre_utilisateur

Da ora il nostro utente, se necessario, far precedere il comando desiderato sudo per eseguire con autorizzazioni di superutente .
Password verrà chiesto prima di eseguire qualsiasi comando. 

 sudo cat /etc/password

Vietare il login di root

Ora che abbiamo un altro utente ad esempio possiamo prevenire collegamento al nostro sistema dall'account root.

In primo luogo è necessario modificare la configurazione del servizio ssh file
  vi /etc/ssh/sshd_config
Trovare e modificare la seguente riga nel file sshd_config, modificando la da no. Bisogno di decommentare la riga eliminando il simbolo #.
  PermitRootLogin no

Ricordate quindi salvare e chiudere il file di configurazione.

Quando verrà riavviato il servizio SSH è necessario che le modifiche avranno effetto.
 /etc/init.d/ssh restart


Consiglio : Si consiglia di tenere il SSH sempre terminale come root per tutta la durata delle prove. Infatti maltrattamento renderebbe la connessione al vostro sistema Impossibile.
Si raccomanda pertanto l'apertura di un secondo terminale al fine di verificare la connessione e l'uso dei cambiamenti del nuovo utente.

SSH accesso

Grazie alle soluzioni precedentemente il nostro sistema è già ben protetto, ma possiamo ancora migliorare questa sicurezza implementando un file di chiave di autenticazione.
Solitamente la connessione e l'autenticazione sul sistema viene eseguita tramite una coppia di login /password. Possiamo sostituire questo metodo che non è infallibile di autenticazione a chiave.
Una volta che l'implementazione del cambiamento durante ogni nuovo sistema di connessione controllerà se l'utente tenta di connettersi è una chiave valida e se questo ha permesso di eseguire un login per l'utente.
Anche se nessun metodo è infallibile file di chiave di autenticazione richiede la persona che vogliono entrare nel sistema che ha questo file. Così, possiamo rafforzare la protezione contro una password che può essere indovinata da forza bruta
Diversi inconvenienti, tuttavia, sono presenti quando è selezionato questo metodo, è indispensabile avere il file di chiave indipendentemente dalla posizione della connessione, ad esempio tra computer al lavoro e a casa.
È inoltre necessario aggiunto manualmente ogni nuovo file di chiave che sarà consentito l'accesso al sistema, nel caso ad esempio di aggiungere un nuovo utente o l'accesso da una persona autorizzata al sistema.

Modificare la porta predefinita

Uno dei modi più efficaci per interrompere i test automatico lanciato contro server è cambiare la porta SSH predefinito sulla vostra macchina. Per fare questo modifica il tuo file sshd_config 

 vi /etc/ssh/sshd_config
Trovare e modificare la riga successiva del file modificando il valore di quello scelto
# What ports, IPs and protocols we listen for
Port 22
Riavviare il servizio SSH
 /etc/init.d/ssh restart
Nota : Ora connettersi alla vostra macchina sarà specificando la nuova porta SSH : SSH user @IPAddress -p Votre_port


Generare una coppia di chiavi

Windows

PuTTYgen sous Windows

È possibile generare la chiave da PuTTYgen software disponibile per Windows.

Linux

Sotto linux è possibile digitare il seguente comando : 

 ssh-keygen

Copiare una coppia di chiavi

Quando viene generata la coppia ora dobbiamo indicare il server quali sono persone autorizzate a connettersi al nostro nuovo utente. Per fare questo ogni utente del nostro sistema dispone di un file ssh/authorized_keys presenti nella directory locale.

Se si sono attualmente genera la coppia di chiavi sul vostro sistema Debian è possibile utilizzare il comando seguente per copiare automaticamente la chiave nel file.
 ssh-copy-id votre_utilisateur@IP_VotreServeur
In alternativa è possibile aggiungere manualmente la chiave pubblica nel file di persone autorizzate

Se la cartella di SSH non esiste nella cartella locale dei nostri utenti lo creiamo 

mkdir .ssh
chmod 700 .ssh
Ora abbiamo bisogno di creare un file authorized_keys nella nostra cartella. ssh
 vi .ssh/authorized_keys
La chiave pubblica viene quindi aggiunto al file, il risultato dovrebbe essere simile a questo esempio
 ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale

Salva e chiude il file.

Per motivi di sicurezza abbiamo limiterà l'accesso al nostro file
 chmod 600 .ssh/authorized_keys

Da oggi il nostro utente è consentito connettersi alla macchina.


Firewall

Utilizzo di un firewall è consigliabile per proteggere il vostro sistema.
Il firewall è spesso la prima linea di difesa della vostra macchina contro l'esterno, infatti è colui che analizzerà il traffico che passa tra la macchina e l'esterno.
Grazie il firewall si è in grado di bloccare o consentire l'accesso al computer dall'esterno di determinati protocolli o porte, garantendo così la sicurezza del vostro sistema.

Criteri di protezione

Nel caso di un firewall è necessario definire un criterio di protezione da attuare. Senza una definizione efficace la scelta del blocco o autorizzazione di protocolli e le porte sarebbe abbastanza casuale.
È pertanto necessario definire in anticipo una chiara politica per la sicurezza della sua rete di computer o la sua macchina.

Le varie politiche comunemente usate includono condizioni whitelist e de la blacklist .

Whitelist

Il principio della politica della whitelist è per bloccare tutto il traffico in ingresso senza eccezione e consentire in modo esplicito solo le porte e i protocolli che siamo assolutamente certi della loro sicurezza. Questo criterio di protezione ha molti vantaggi rispetto alla Blacklist . Infatti tutto il traffico non esplicitamente consentito verrà bloccato, questo eviterà la maggior parte dei tentativi di connessione che abbiamo non avere necessariamente il riflesso per garantire.
Uno degli svantaggi di questa politica è l'obbligo di dover definire ogni porte o protocolli utilizzati per non bloccare l'esecuzione dei nostri servizi ( ad esempio il protocollo http sulla porta 80 )Dobbiamo pertanto conoscere ogni porta usata dalla macchina e mantenere le regole durante l'aggiunta o l'eliminazione di un servizio. Relativa in uscita nella maggior parte dei casi che non è considerato rischioso per tutti autorizzati, anzi si suppone di conoscere il traffico lasciando la macchina o la rete. Tuttavia, si consiglia di mantenere una traccia di protezione recapito esterno.

Blacklist

Il principio della politica della Blacklist è di consentire tutto il traffico in ingresso senza eccezione e bloccare in modo esplicito solo le porte e protocolli, che siamo sicuri che essi rappresentano un rischio per la sicurezza.
Questo criterio di protezione ha molti svantaggi rispetto alla whitelist . Infatti consentire tutto il traffico in ingresso senza alcuna restrizione non è raccomandato, blocco coinvolti solo nel caso di una porta o protocollo esplicitamente stabilito. Relativa in uscita nella maggior parte dei casi che non è considerato rischioso per tutti autorizzati, anzi si suppone di conoscere il traffico lasciando la macchina o la rete. Tuttavia, si consiglia di mantenere una traccia di protezione recapito esterno.

IPTables

IPTables è sicuramente il più famoso firewall software disponibile per Debian.

Qui ci sono alcuni comandi pratici riguardanti :

Installazione di iptables
 sudo apt-get install iptables
Elencare le regole attualmente stabilite
 sudo iptables -L
Le regole stabilite di spurgo
sudo iptables -F
sudo iptables -X
Aggiungere una regola
# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT
Nota : Attenzione nel caso di un indirizzo IP dinamico, come cambierà il tuo IP non sarà possibile accedere in SSH sul vostro server !
Usare cautela quando si assegna un indirizzo IP che potrebbe essere dinamica, per esempio quello del vostro internet box a casa.
Eliminare una regola
# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2



Non si dispone dei permessi necessari per inviare commenti.

Estratto da "https://it-wiki.ikoula.com/index.php?title=Protezione_relativa_macchina_Debian&oldid=10587"