Domanda Configurazione di un server in modo sicuro

qwerty1twotre

Utente Iron
14 Luglio 2022
38
7
2
10
Ciao a tutti,
vorrei chiedervi il modo per realizzare un server dinamico che andrà ad hostare un sito web in modo sicuro.
Voglio dire, sicuro dal punto di vista informatico, quindi servizi che offrino sicurezza e via dicendo.
Grazie.
 

JunkCoder

Moderatore
5 Giugno 2020
1,018
19
852
428
La sicurezza ha innumerevoli aspetti da considerare, non c'è una checklist di cose che una volta fatte ti mettono al sicuro, specialmente non per situazioni così generiche. Quello che può fare un utente che normalmente non lavora in questo campo è seguire delle best practices (fare sempre aggiornamenti, usare password sicure, per SSH usare solo autenticazione via chiave es. RSA4096). Per un webserver di solito il fattore più importante è la web application che intendi installarci sopra (un blog, un CMS, un ecommerce ecc): una volta messo in sicurezza pannello di controllo e accesso remoto, questa sarà la superficie d'attacco più ampia, quindi meglio scegliere applicativi ben collaudati e con aggiornamenti frequenti per ridurre il rischio (senza poterlo eliminare del tutto).
 

JunkCoder

Moderatore
5 Giugno 2020
1,018
19
852
428
Apache e nginx sono i webserver più diffusi, tienili aggiornati e nessuno entrerà in questo modo, su questo una certezza c'è: sono software così importanti che se qualcuno trovasse una falla bucherebbe target ben più profittevoli e prima di arrivare a te la vulnerabiltà sarà già ben nota e potrai fare l'aggiornamento. Come dicevo prima solitamente l'anello debole è la web application (e.g. WordPress e i suoi plugin, PrestaShop, sistemi "fatti in casa" ecc).
 
  • Mi piace
Reazioni: Alessandro2222

Mikmik

Utente Iron
29 Novembre 2021
45
0
7
14
Come ha detto JunkCoder se usi l'architettura più diffusa e la tieni aggiornata non corri rischi, con le vulnerabilità non conosciute si intaccano siti dove il profitto è maggiore, queste poi vengono rese note e fixate dalla community prima di arrivare a te quindi non dovresti correre rischi. Wordpress è il Cms più utilizzato, seguito dal Web server Apache e dal database Mysql.
 

qwerty1twotre

Utente Iron
14 Luglio 2022
38
7
2
10
Ultima modifica:
Scusa se mi permetto, tu vuoi indicazioni su come "proteggere" il tuo server e lavori nel campo della cybersecurity?
Qualquadra non cosa .-.
No, non lavoro nel campo della cybersecurity, devo ancora arrivare a quel punto.
Sto studiando per farlo come lavoro, o meglio vorrei arrivare a fare penetration testing e dopo fondare una mia azienda.
Messaggio unito automaticamente:

Come vi sembra la configurazione di questo server?
 

Allegati

  • Screenshot_20220805-003548_Samsung Notes.jpg
    Screenshot_20220805-003548_Samsung Notes.jpg
    250.5 KB · Visualizzazioni: 3

Shini°

Utente Gold
26 Febbraio 2009
298
52
74
206
No, non lavoro nel campo della cybersecurity, devo ancora arrivare a quel punto.
Sto studiando per farlo come lavoro, o meglio vorrei arrivare a fare penetration testing e dopo fondare una mia azienda.
Messaggio unito automaticamente:

Come vi sembra la configurazione di questo server?

Secondo me è esagerato per quello che devi fare.
Basterebbe anche solo un rasperry per iniziare, spesa € 150,00
 

Psychonaut

Utente Jade
17 Giugno 2012
1,265
84
556
704
M scusa, perchè non affitti un VPS? hai un server già pronto e che puoi amministrare.
Per quanto riguarda l'applicazione su cui puoi far girare un sito puoi usare Apache, apache tomcat, IIS su windows(anche tomcate e apache girano su WIN).
Un'altro fattore di cui devi tenere conto è il codice scritto per il FE, se il codice non è scritto a dovere rischi attacchi come sql injection(verso il BE) o XSS.

è importante come detto da @JunkCoder che l'accesso al server sia controllato e limitato al solo Amministratore, puoi hostare il tuo sito su Cloudflare (occhio però, anche lì se non si prendono le giuste precauzioni e non si configura tutto benino benino c'è la possibilita di bypassarlo e arrivare all'indirizzo ip di origine, Esempio.).

Infatti nelle aziende di solito non trovi un'unica persona che si occupa del sito, ma più figure con diverse competenze, il consiglio che ti do è di iniziare a creare con un raspberry il sito sulla tua rete locale, così hai la possibilità di imparare e di fare dei test, quando avrai le competenze necessarie poi potrai hostarlo sulla rete con un VPS.
 

qwerty1twotre

Utente Iron
14 Luglio 2022
38
7
2
10
Ultima modifica:
Ma se mi affido ad un servizio vps e dopo volessi trasferite il mio database o comunque i dati del mio server su un altro server, magari mio fisico, posso farlo?
 

wesker1998

Utente Electrum
17 Gennaio 2022
127
40
73
114
Il passo più importante è autenticare il servizio con un cert SSL valido, altrimenti i browser quando vedono il tuo sito potrebbero cercare di impedire la navigazione ai visitatori. I servizi di hosting (VPS) te li danno già pronti i cert, se invece vuoi configurarlo da te puoi prelevarli da Let's Encrypt che li fornisce gratis se non ricordo male, e poi lo usi con Apache. Tim SafeWeb Plus ad esempio cerca di scoraggiare la visita di ogni sito web che non dispone di un certificato valido, quindi chiunque è con Tim consideralo già fuori dai numeri delle views. Il vantaggio principale di farti tutto da te è che hai tutto sotto controllo, ma se sei pigro vai di VPS. Ne trovi a bizzeffe su Google.
 

wesker1998

Utente Electrum
17 Gennaio 2022
127
40
73
114
1. Linux
2. Apache
3. MySQL (per il database)
4. Let's Encrypt
5. Assicurati che il server fa validation dei contenuti scritti nei form dei login, altrimenti basta scrivere nel form una cazzata del tipo "or"'=" e la mattina dopo ti svegli con una brutta sorpresa
 

JunkCoder

Moderatore
5 Giugno 2020
1,018
19
852
428
Grazie per le risposte.
Ma non ho capito, mi affido ad un servizio vps o no?
Grazie.

Per iniziare si, realisticamente all'inizio di un'attività avrai pochi visitatori e quindi basta un server con poca potenza, conviene sicuramente affittare un VPS da un grosso provider come OVH o AWS a pochi dollari al mese con protezione anti-DDoS inclusa e buona parte della configurazione di rete già in sicurezza.

In seguito quando l'azienda inizia ad espandersi ha senso installare dei server internamente e assumere dei sistemisti che si occupano della manutenzione se la spesa è giustificata.

Poi dipende sempre dalle tue esigenze specifiche, se comunque deve avere un carico elevato per via di processi in background potrebbe avere senso acquistare il server fin da subito, ma metti in conto le spese per hardware, raffreddamento e corrente.
 
  • Mi piace
Reazioni: qwerty1twotre

qwerty1twotre

Utente Iron
14 Luglio 2022
38
7
2
10
Per iniziare si, realisticamente all'inizio di un'attività avrai pochi visitatori e quindi basta un server con poca potenza, conviene sicuramente affittare un VPS da un grosso provider come OVH o AWS a pochi dollari al mese con protezione anti-DDoS inclusa e buona parte della configurazione di rete già in sicurezza.

In seguito quando l'azienda inizia ad espandersi ha senso installare dei server internamente e assumere dei sistemisti che si occupano della manutenzione se la spesa è giustificata.

Poi dipende sempre dalle tue esigenze specifiche, se comunque deve avere un carico elevato per via di processi in background potrebbe avere senso acquistare il server fin da subito, ma metti in conto le spese per hardware, raffreddamento e corrente.
È esattamente quello che avevo in mente di fare.
Grazie.