Domanda Configurazione di un server in modo sicuro

[qwerty1twotre]

Ciao a tutti,
vorrei chiedervi il modo per realizzare un server dinamico che andrà ad hostare un sito web in modo sicuro.
Voglio dire, sicuro dal punto di vista informatico, quindi servizi che offrino sicurezza e via dicendo.
Grazie.

 

[JunkCoder]

La sicurezza ha innumerevoli aspetti da considerare, non c'è una checklist di cose che una volta fatte ti mettono al sicuro, specialmente non per situazioni così generiche. Quello che può fare un utente che normalmente non lavora in questo campo è seguire delle best practices (fare sempre aggiornamenti, usare password sicure, per SSH usare solo autenticazione via chiave es. RSA4096). Per un webserver di solito il fattore più importante è la web application che intendi installarci sopra (un blog, un CMS, un ecommerce ecc): una volta messo in sicurezza pannello di controllo e accesso remoto, questa sarà la superficie d'attacco più ampia, quindi meglio scegliere applicativi ben collaudati e con aggiornamenti frequenti per ridurre il rischio (senza poterlo eliminare del tutto).

 

[qwerty1twotre]

Grazie per la risposta.
Io pensavo di hostare il sito web della mia futura azienda di cybersecurity.
Apache ti sembra un servizio affidabile e sicuro?
Grazie

 

[JunkCoder]

Apache e nginx sono i webserver più diffusi, tienili aggiornati e nessuno entrerà in questo modo, su questo una certezza c'è: sono software così importanti che se qualcuno trovasse una falla bucherebbe target ben più profittevoli e prima di arrivare a te la vulnerabiltà sarà già ben nota e potrai fare l'aggiornamento. Come dicevo prima solitamente l'anello debole è la web application (e.g. WordPress e i suoi plugin, PrestaShop, sistemi "fatti in casa" ecc).

 

[Mikmik]

Come ha detto JunkCoder se usi l'architettura più diffusa e la tieni aggiornata non corri rischi, con le vulnerabilità non conosciute si intaccano siti dove il profitto è maggiore, queste poi vengono rese note e fixate dalla community prima di arrivare a te quindi non dovresti correre rischi. Wordpress è il Cms più utilizzato, seguito dal Web server Apache e dal database Mysql.

 

[Shini°]

Grazie per la risposta.
Io pensavo di hostare il sito web della mia futura azienda di cybersecurity.
Apache ti sembra un servizio affidabile e sicuro?
Grazie

Scusa se mi permetto, tu vuoi indicazioni su come "proteggere" il tuo server e lavori nel campo della cybersecurity?
Qualquadra non cosa .-.

 

[qwerty1twotre]

Scusa se mi permetto, tu vuoi indicazioni su come "proteggere" il tuo server e lavori nel campo della cybersecurity?
Qualquadra non cosa .-.

No, non lavoro nel campo della cybersecurity, devo ancora arrivare a quel punto.
Sto studiando per farlo come lavoro, o meglio vorrei arrivare a fare penetration testing e dopo fondare una mia azienda.

Messaggio unito automaticamente: 5 Agosto 2022

Come vi sembra la configurazione di questo server?

 

[Shini°]

No, non lavoro nel campo della cybersecurity, devo ancora arrivare a quel punto.
Sto studiando per farlo come lavoro, o meglio vorrei arrivare a fare penetration testing e dopo fondare una mia azienda.

Messaggio unito automaticamente: 5 Agosto 2022

Come vi sembra la configurazione di questo server?

Secondo me è esagerato per quello che devi fare.
Basterebbe anche solo un rasperry per iniziare, spesa € 150,00

 

[qwerty1twotre]

Dici di andare solo di un raspberry pi?
Anche lì mi servono componenti come ups, router ecc?
Grazie

 

[Shini°]

Dici di andare solo di un raspberry pi?
Anche lì mi servono componenti come ups, router ecc?
Grazie

Sì ma se non vuoi troppe sbatte paga un qualsiasi servizio di hosting che secondo me con 10 euro al mese te la cavi

 

[qwerty1twotre]

Sì ma se non vuoi troppe sbatte paga un qualsiasi servizio di hosting che secondo me con 10 euro al mese te la cavi

Un servizio di hosting avrei voluto evitare, perhcè se sono io che hosto il sito, almeno ho più controllo nella configurazione.
Ma poi pensandoci, dove vado a creare un database su un ruspbarry?
Grazie

 

[Shini°]

Un servizio di hosting avrei voluto evitare, perhcè se sono io che hosto il sito, almeno ho più controllo nella configurazione.
Ma poi pensandoci, dove vado a creare un database su un ruspbarry?
Grazie

Apache, phpMyAdmin

 

[qwerty1twotre]

Ok, ma dico supporta 1tb di hard disk esterno?

 

[Shini°]

Ok, ma dico supporta 1tb di hard disk esterno?

Certamente

 

[qwerty1twotre]

Certamente

A posto allora

 

[Psychonaut]

M scusa, perchè non affitti un VPS? hai un server già pronto e che puoi amministrare.
Per quanto riguarda l'applicazione su cui puoi far girare un sito puoi usare Apache, apache tomcat, IIS su windows(anche tomcate e apache girano su WIN).
Un'altro fattore di cui devi tenere conto è il codice scritto per il FE, se il codice non è scritto a dovere rischi attacchi come sql injection(verso il BE) o XSS.

è importante come detto da @JunkCoder che l'accesso al server sia controllato e limitato al solo Amministratore, puoi hostare il tuo sito su Cloudflare (occhio però, anche lì se non si prendono le giuste precauzioni e non si configura tutto benino benino c'è la possibilita di bypassarlo e arrivare all'indirizzo ip di origine, Esempio.).

Infatti nelle aziende di solito non trovi un'unica persona che si occupa del sito, ma più figure con diverse competenze, il consiglio che ti do è di iniziare a creare con un raspberry il sito sulla tua rete locale, così hai la possibilità di imparare e di fare dei test, quando avrai le competenze necessarie poi potrai hostarlo sulla rete con un VPS.

 

[qwerty1twotre]

Ma se mi affido ad un servizio vps e dopo volessi trasferite il mio database o comunque i dati del mio server su un altro server, magari mio fisico, posso farlo?

 

[Shini°]

Ma se mi affido ad un servizio vps e dopo volessi trasferite il mio database o comunque i dati del mio server su un altro server, magari mio fisico, posso farlo?

Assolutamente sì

 

[qwerty1twotre]

Grazie per la risposta.
Quale vps mi consigliate?
Grazie

 

[Netcat]

Il passo più importante è autenticare il servizio con un cert SSL valido, altrimenti i browser quando vedono il tuo sito potrebbero cercare di impedire la navigazione ai visitatori. I servizi di hosting (VPS) te li danno già pronti i cert, se invece vuoi configurarlo da te puoi prelevarli da Let's Encrypt che li fornisce gratis se non ricordo male, e poi lo usi con Apache. Tim SafeWeb Plus ad esempio cerca di scoraggiare la visita di ogni sito web che non dispone di un certificato valido, quindi chiunque è con Tim consideralo già fuori dai numeri delle views. Il vantaggio principale di farti tutto da te è che hai tutto sotto controllo, ma se sei pigro vai di VPS. Ne trovi a bizzeffe su Google.

 

[qwerty1twotre]

Io inizialmente dicevo che volevo fare per me, ma dopo altri mi hanno consigliato di usare una vps.

 

[Netcat]

1. Linux
2. Apache
3. MySQL (per il database)
4. Let's Encrypt
5. Assicurati che il server fa validation dei contenuti scritti nei form dei login, altrimenti basta scrivere nel form una cazzata del tipo "or"'=" e la mattina dopo ti svegli con una brutta sorpresa

 

[qwerty1twotre]

Grazie per le risposte.
Ma non ho capito, mi affido ad un servizio vps o no?
Grazie.

 

[JunkCoder]

Grazie per le risposte.
Ma non ho capito, mi affido ad un servizio vps o no?
Grazie.

Per iniziare si, realisticamente all'inizio di un'attività avrai pochi visitatori e quindi basta un server con poca potenza, conviene sicuramente affittare un VPS da un grosso provider come OVH o AWS a pochi dollari al mese con protezione anti-DDoS inclusa e buona parte della configurazione di rete già in sicurezza.

In seguito quando l'azienda inizia ad espandersi ha senso installare dei server internamente e assumere dei sistemisti che si occupano della manutenzione se la spesa è giustificata.

Poi dipende sempre dalle tue esigenze specifiche, se comunque deve avere un carico elevato per via di processi in background potrebbe avere senso acquistare il server fin da subito, ma metti in conto le spese per hardware, raffreddamento e corrente.

 

[qwerty1twotre]

Per iniziare si, realisticamente all'inizio di un'attività avrai pochi visitatori e quindi basta un server con poca potenza, conviene sicuramente affittare un VPS da un grosso provider come OVH o AWS a pochi dollari al mese con protezione anti-DDoS inclusa e buona parte della configurazione di rete già in sicurezza.

In seguito quando l'azienda inizia ad espandersi ha senso installare dei server internamente e assumere dei sistemisti che si occupano della manutenzione se la spesa è giustificata.

Poi dipende sempre dalle tue esigenze specifiche, se comunque deve avere un carico elevato per via di processi in background potrebbe avere senso acquistare il server fin da subito, ma metti in conto le spese per hardware, raffreddamento e corrente.

È esattamente quello che avevo in mente di fare.
Grazie.