Domanda Configurazione di un server in modo sicuro

Stato
Discussione chiusa ad ulteriori risposte.

qwerty1twotre

Utente Iron
14 Luglio 2022
39
7
2
12
Ciao a tutti,
vorrei chiedervi il modo per realizzare un server dinamico che andrà ad hostare un sito web in modo sicuro.
Voglio dire, sicuro dal punto di vista informatico, quindi servizi che offrino sicurezza e via dicendo.
Grazie.
 

JunkCoder

Moderatore
5 Giugno 2020
1,117
22
970
458
La sicurezza ha innumerevoli aspetti da considerare, non c'è una checklist di cose che una volta fatte ti mettono al sicuro, specialmente non per situazioni così generiche. Quello che può fare un utente che normalmente non lavora in questo campo è seguire delle best practices (fare sempre aggiornamenti, usare password sicure, per SSH usare solo autenticazione via chiave es. RSA4096). Per un webserver di solito il fattore più importante è la web application che intendi installarci sopra (un blog, un CMS, un ecommerce ecc): una volta messo in sicurezza pannello di controllo e accesso remoto, questa sarà la superficie d'attacco più ampia, quindi meglio scegliere applicativi ben collaudati e con aggiornamenti frequenti per ridurre il rischio (senza poterlo eliminare del tutto).
 

qwerty1twotre

Utente Iron
14 Luglio 2022
39
7
2
12
Grazie per la risposta.
Io pensavo di hostare il sito web della mia futura azienda di cybersecurity.
Apache ti sembra un servizio affidabile e sicuro?
Grazie
 

JunkCoder

Moderatore
5 Giugno 2020
1,117
22
970
458
Apache e nginx sono i webserver più diffusi, tienili aggiornati e nessuno entrerà in questo modo, su questo una certezza c'è: sono software così importanti che se qualcuno trovasse una falla bucherebbe target ben più profittevoli e prima di arrivare a te la vulnerabiltà sarà già ben nota e potrai fare l'aggiornamento. Come dicevo prima solitamente l'anello debole è la web application (e.g. WordPress e i suoi plugin, PrestaShop, sistemi "fatti in casa" ecc).
 
  • Mi piace
Reazioni: Alessandro2222

Mikmik

Utente Bronze
29 Novembre 2021
72
1
20
23
Come ha detto JunkCoder se usi l'architettura più diffusa e la tieni aggiornata non corri rischi, con le vulnerabilità non conosciute si intaccano siti dove il profitto è maggiore, queste poi vengono rese note e fixate dalla community prima di arrivare a te quindi non dovresti correre rischi. Wordpress è il Cms più utilizzato, seguito dal Web server Apache e dal database Mysql.
 

qwerty1twotre

Utente Iron
14 Luglio 2022
39
7
2
12
Ultima modifica:
Scusa se mi permetto, tu vuoi indicazioni su come "proteggere" il tuo server e lavori nel campo della cybersecurity?
Qualquadra non cosa .-.
No, non lavoro nel campo della cybersecurity, devo ancora arrivare a quel punto.
Sto studiando per farlo come lavoro, o meglio vorrei arrivare a fare penetration testing e dopo fondare una mia azienda.
Messaggio unito automaticamente:

Come vi sembra la configurazione di questo server?
 

Allegati

  • Screenshot_20220805-003548_Samsung Notes.jpg
    Screenshot_20220805-003548_Samsung Notes.jpg
    250.5 KB · Visualizzazioni: 8

Shini°

Utente Gold
26 Febbraio 2009
350
54
92
236
No, non lavoro nel campo della cybersecurity, devo ancora arrivare a quel punto.
Sto studiando per farlo come lavoro, o meglio vorrei arrivare a fare penetration testing e dopo fondare una mia azienda.
Messaggio unito automaticamente:

Come vi sembra la configurazione di questo server?

Secondo me è esagerato per quello che devi fare.
Basterebbe anche solo un rasperry per iniziare, spesa € 150,00
 

qwerty1twotre

Utente Iron
14 Luglio 2022
39
7
2
12
Sì ma se non vuoi troppe sbatte paga un qualsiasi servizio di hosting che secondo me con 10 euro al mese te la cavi
Un servizio di hosting avrei voluto evitare, perhcè se sono io che hosto il sito, almeno ho più controllo nella configurazione.
Ma poi pensandoci, dove vado a creare un database su un ruspbarry?
Grazie
 

Psychonaut

Utente Jade
17 Giugno 2012
1,362
85
615
744
M scusa, perchè non affitti un VPS? hai un server già pronto e che puoi amministrare.
Per quanto riguarda l'applicazione su cui puoi far girare un sito puoi usare Apache, apache tomcat, IIS su windows(anche tomcate e apache girano su WIN).
Un'altro fattore di cui devi tenere conto è il codice scritto per il FE, se il codice non è scritto a dovere rischi attacchi come sql injection(verso il BE) o XSS.

è importante come detto da @JunkCoder che l'accesso al server sia controllato e limitato al solo Amministratore, puoi hostare il tuo sito su Cloudflare (occhio però, anche lì se non si prendono le giuste precauzioni e non si configura tutto benino benino c'è la possibilita di bypassarlo e arrivare all'indirizzo ip di origine, Esempio.).

Infatti nelle aziende di solito non trovi un'unica persona che si occupa del sito, ma più figure con diverse competenze, il consiglio che ti do è di iniziare a creare con un raspberry il sito sulla tua rete locale, così hai la possibilità di imparare e di fare dei test, quando avrai le competenze necessarie poi potrai hostarlo sulla rete con un VPS.
 

qwerty1twotre

Utente Iron
14 Luglio 2022
39
7
2
12
Ultima modifica:
Ma se mi affido ad un servizio vps e dopo volessi trasferite il mio database o comunque i dati del mio server su un altro server, magari mio fisico, posso farlo?
 

czonta96

Utente Gold
17 Gennaio 2022
268
73
164
289
Il passo più importante è autenticare il servizio con un cert SSL valido, altrimenti i browser quando vedono il tuo sito potrebbero cercare di impedire la navigazione ai visitatori. I servizi di hosting (VPS) te li danno già pronti i cert, se invece vuoi configurarlo da te puoi prelevarli da Let's Encrypt che li fornisce gratis se non ricordo male, e poi lo usi con Apache. Tim SafeWeb Plus ad esempio cerca di scoraggiare la visita di ogni sito web che non dispone di un certificato valido, quindi chiunque è con Tim consideralo già fuori dai numeri delle views. Il vantaggio principale di farti tutto da te è che hai tutto sotto controllo, ma se sei pigro vai di VPS. Ne trovi a bizzeffe su Google.
 

czonta96

Utente Gold
17 Gennaio 2022
268
73
164
289
1. Linux
2. Apache
3. MySQL (per il database)
4. Let's Encrypt
5. Assicurati che il server fa validation dei contenuti scritti nei form dei login, altrimenti basta scrivere nel form una cazzata del tipo "or"'=" e la mattina dopo ti svegli con una brutta sorpresa
 

JunkCoder

Moderatore
5 Giugno 2020
1,117
22
970
458
Grazie per le risposte.
Ma non ho capito, mi affido ad un servizio vps o no?
Grazie.

Per iniziare si, realisticamente all'inizio di un'attività avrai pochi visitatori e quindi basta un server con poca potenza, conviene sicuramente affittare un VPS da un grosso provider come OVH o AWS a pochi dollari al mese con protezione anti-DDoS inclusa e buona parte della configurazione di rete già in sicurezza.

In seguito quando l'azienda inizia ad espandersi ha senso installare dei server internamente e assumere dei sistemisti che si occupano della manutenzione se la spesa è giustificata.

Poi dipende sempre dalle tue esigenze specifiche, se comunque deve avere un carico elevato per via di processi in background potrebbe avere senso acquistare il server fin da subito, ma metti in conto le spese per hardware, raffreddamento e corrente.
 
  • Mi piace
Reazioni: qwerty1twotre

qwerty1twotre

Utente Iron
14 Luglio 2022
39
7
2
12
Per iniziare si, realisticamente all'inizio di un'attività avrai pochi visitatori e quindi basta un server con poca potenza, conviene sicuramente affittare un VPS da un grosso provider come OVH o AWS a pochi dollari al mese con protezione anti-DDoS inclusa e buona parte della configurazione di rete già in sicurezza.

In seguito quando l'azienda inizia ad espandersi ha senso installare dei server internamente e assumere dei sistemisti che si occupano della manutenzione se la spesa è giustificata.

Poi dipende sempre dalle tue esigenze specifiche, se comunque deve avere un carico elevato per via di processi in background potrebbe avere senso acquistare il server fin da subito, ma metti in conto le spese per hardware, raffreddamento e corrente.
È esattamente quello che avevo in mente di fare.
Grazie.
 
Stato
Discussione chiusa ad ulteriori risposte.