16 Consigli di Sicurezza per VPS per Prevenire Attacchi sul Tuo Server

La sicurezza del VPS e fondamentale per proteggere i tuoi dati e garantire il funzionamento continuo dei tuoi servizi. Hacker e malware sono sempre alla ricerca di vulnerabilita da sfruttare.

In questa guida, condividiamo 16 consigli pratici di sicurezza per VPS che ti aiuteranno a prevenire attacchi sul tuo server virtuale privato.

1. Usa Password Forti

Le password deboli sono la causa piu comune di violazioni della sicurezza. Assicurati di usare password che abbiano:

- Almeno 12 caratteri - Un mix di lettere maiuscole e minuscole - Numeri e caratteri speciali - Nessuna parola del dizionario o pattern comuni

Considera l'uso di un gestore di password per generare e memorizzare password complesse.

2. Cambiare la Porta SSH Predefinita

La porta SSH predefinita (22) e il primo obiettivo degli attaccanti. Cambiarla con una porta diversa puo ridurre significativamente gli attacchi brute force.

Modifica il file di configurazione SSH:

- Cross-Site Scripting (XSS): un attacco lato client in cui un hacker inserisce codice malevolo in un sito web.

- Mancanza di controllo a livello di funzione: quando i diritti di accesso a un server non vengono verificati correttamente, dando a utenti non autorizzati privilegi elevati.

- Autenticazione Compromessa: furto di identita dovuto a dati non crittografati, password deboli o tempi di sessione dell'applicazione mal configurati.

Trova la riga Port 22 e cambiala con un altro numero (ad esempio, 2222):

- Sicurezza dell'hosting VPS

- Software del server

- Connessione SSH

Riavvia il servizio SSH:

- Password e credenziali

- Firewall

- Connessione FTP

Ricorda di aggiornare le regole del firewall per consentire la nuova porta.

3. Disabilitare il Login Root via SSH

L'accesso root diretto via SSH e un rischio di sicurezza. Crea un utente regolare con privilegi sudo e disabilita il login root:

Questa sezione contiene 16 consigli di sicurezza per prevenire attacchi informatici sull'hosting VPS.

1. Ricerca la Sicurezza del Tuo Provider di Hosting VPS

Trova PermitRootLogin e cambialo in no:

A seconda del provider, le funzionalita di sicurezza variano. Su HolyHosting, applichiamo pratiche di sicurezza complete per tutti i nostri server VPS, tra cui:

- Firewall per applicazioni web: una funzionalita di sicurezza dedicata che analizza e filtra le richieste in arrivo in base a regole di sicurezza predefinite.

- Rafforzamento PHP Suhosin: un modulo che rafforza le applicazioni PHP contro le vulnerabilita comunemente sfruttate dai criminali informatici.

Riavvia SSH:

- Protezione completa del server BitNinja: un insieme di soluzioni di sicurezza con moduli per la reputazione IP, il rilevamento di malware e i meccanismi di difesa.

- Mitigazione avanzata DDoS: protezione contro gli attacchi distribuiti di negazione del servizio (DDoS).

- Antimalware Monarx: uno strumento di sicurezza che scansiona continuamente il tuo VPS alla ricerca di malware e attivita sospette.

4. Usare l'Autenticazione con Chiave SSH

Le chiavi SSH sono piu sicure delle password. Genera una coppia di chiavi sul tuo computer locale:

Questo e ideale per la maggior parte degli utenti e dei principianti, che dovrebbero scegliere un hosting VPS gestito quando possibile. Cio significa che il provider di hosting si occupa della sicurezza del server.

Tuttavia, gli utenti avanzati che desiderano piu flessibilita e controllo sulla sicurezza del VPS possono comunque beneficiare dell'hosting autogestito.

HolyHosting. Gli utenti ottengono accesso root ai server VPS e offriamo anche un team di supporto tecnico dedicato.

Copia la chiave pubblica sul server:Cambia la Porta SSH Predefinita

Se usi ancora la porta 22 per accedere al tuo server virtuale tramite una connessione SSH, e probabile che ci siano tentativi di hacking. Questo perche molti bot automatizzati scansionano questa porta.

Raccomandiamo di cambiare la porta di ascolto SSH predefinita per proteggere i tuoi dati dagli attacchi automatizzati. Ecco come cambiare la porta SSH:

Dopo aver confermato che l'autenticazione con chiave funziona, disabilita l'autenticazione con password:

- Esegui il seguente comando per modificare il file di configurazione del servizio:

`nano /etc/ssh/sshd_config`

- Trova la riga che dice "Port 22".

Cambia PasswordAuthentication in no:

- Salva le modifiche ed esci dall'editor.

- Inserisci il seguente comando per riavviare il servizio:

- Per Debian e Ubuntu

5. Mantenere il Sistema Aggiornato

Gli aggiornamenti regolari correggono le vulnerabilita di sicurezza. Esegui regolarmente:

`systemctl restart sshd.service`

- Accedi tramite SSH usando la nuova porta per verificare che le modifiche siano state applicate correttamente.

3. Configura gli aggiornamenti di sicurezza automatici:

I server Linux VPS hanno un utente root che possiede i privilegi piu elevati nel sistema operativo e puo modificare qualsiasi aspetto del server.

Disabilitare questo account aiuta a migliorare la sicurezza dell'accesso root, proteggendo il tuo server dagli attacchi di forza bruta. Tuttavia, raccomandiamo di creare un utente alternativo con privilegi sudo prima di disabilitare root.

Segui i passaggi seguenti per disabilitare il login come root:

6. Configurare un Firewall

UFW (Uncomplicated Firewall) e un modo semplice per gestire le regole del firewall su Ubuntu:

`nano /etc/ssh/sshd_config`

- Trova il seguente parametro e cambialo in no per disabilitare il login come root:

`PermitRootLogin=no`

Consenti le porte necessarie:

- Per Debian e Ubuntu

`service ssh restart`

- Per CentOS e Red Hat Enterprise Linux (RHEL)

Attiva il firewall:

4. Usa Password Forti

Le password che contengono informazioni sulla tua identita o frasi semplici sono facili da indovinare. Per evitare attacchi di forza bruta riusciti, crea password forti e uniche.

7. Installare Fail2Ban

Fail2Ban protegge dagli attacchi brute force bloccando gli IP che falliscono nei tentativi di login:

5. Inizia a Usare le Chiavi SSH

Se usi ancora una password per accedere al tuo account SSH, potresti essere bersaglio di attacchi di sniffing. Per evitarlo, usa le chiavi SSH al posto delle password.

Fail2Ban viene fornito con impostazioni predefinite ragionevoli. Puoi personalizzarlo modificando:

Le chiavi SSH sono composte da due insiemi: pubblica e privata. La prima e memorizzata sul server, mentre la seconda e memorizzata sulla macchina dell'utente.

Ecco come generare una chiave SSH su un server Linux:

- Apri l'applicazione Terminal e accedi tramite SSH.

8. Disabilitare le Porte Non Utilizzate

Controlla quali porte sono aperte sul tuo server:

- Quando appare una risposta, premi Invio.

- Ti verra chiesto di inserire una passphrase due volte. Se non ne hai una, premi Invio due volte.

- Le tue chiavi privata e pubblica saranno salvate correttamente.

Chiudi le porte non utilizzate usando UFW o iptables.9. Configurare Backup Regolari

I backup regolari sono essenziali per il ripristino in caso di disastro. Configura backup automatici dei tuoi dati e configurazioni.

10. Monitorare i Log del Server

Monitora regolarmente i log del tuo server per attivita sospette:

- Apri il Terminal e accedi tramite SSH.

- Esegui il seguente comando per installare iptables:

`sudo apt-get install iptables`

Considera l'uso di strumenti di monitoraggio come Logwatch o Grafana per analisi piu dettagliate.

11. Installare Software Antivirus

Sebbene Linux sia piu sicuro di altri sistemi operativi, non e immune al malware. Installa ed esegui regolarmente una scansione antivirus:

[Captura de pantalla de reglas actuales de iptables]

7. Configura il Tuo Firewall UFW

12. Usare Connessioni SFTP invece di FTP

SFTP crittografa i dati durante il trasferimento, mentre FTP li invia in testo semplice. Usa sempre SFTP per il trasferimento di file.

13. Limitare l'Accesso degli Utenti

Concedi solo i privilegi minimi necessari a ogni utente. Usa gruppi e permessi dei file per controllare l'accesso.

14. Configurare la Protezione DDoS

Gli attacchi DDoS possono abbattere il tuo server. Considera l'uso di servizi di protezione DDoS come Cloudflare o la configurazione di regole di limitazione del tasso nel tuo firewall.

15. Abilitare l'Autenticazione a Due Fattori (2FA)

Il 2FA aggiunge un ulteriore livello di sicurezza. Installa e configura Google Authenticator:

- Verifica lo stato del firewall con il seguente comando:

`sudo ufw status`

- In alternativa, utilizza il nostro Firewall VPS integrato in hPanel. Seleziona il tuo VPS e scegli Firewall:

16. Eseguire Audit di Sicurezza Regolari

Esegui audit di sicurezza regolari per identificare e correggere le vulnerabilita. Usa strumenti come Lynis per scansioni di sicurezza automatizzate:Aggiorna Regolarmente il Software del Server

Mantenere aggiornati il sistema operativo e il software e fondamentale per garantire che tutte le vulnerabilita di sicurezza vengano affrontate. I criminali informatici sfruttano frequentemente falle note.

Programma aggiornamenti regolari per il tuo sistema operativo e qualsiasi software server che stai utilizzando. I sistemi basati su Debian, come Ubuntu, possono usare i seguenti comandi:

Conclusione

La sicurezza del VPS e un processo continuo che richiede attenzione costante. Implementando questi 16 consigli, ridurrai significativamente il rischio di attacchi sul tuo server.

Ricorda che la sicurezza e un viaggio, non una destinazione. Rimani aggiornato sulle migliori pratiche di sicurezza e adatta le tue configurazioni di conseguenza.

Speriamo che questa guida ti sia stata utile. Se hai domande, contatta il nostro supporto.

9. Utilizza Connessioni SSH Sicure

Il protocollo SSH fornisce una connessione sicura al tuo server, ma puoi ancora migliorare la sicurezza seguendo alcune best practice. Assicurati di utilizzare una crittografia forte e di disabilitare i protocolli obsoleti.

Per apportare queste modifiche, modifica il file di configurazione SSH con il seguente comando:

- `nano /etc/ssh/sshd_config`

Cerca la riga `PasswordAuthentication` e cambiala in `no` per disabilitare l'autenticazione basata su password.

Inoltre, abilita l'autenticazione basata su chiave aggiungendo la seguente riga allo stesso file:

- `PubkeyAuthentication yes`

Salva le modifiche e riavvia il servizio SSH.

10. Configura l'Accesso Limitato per IP

Limitare l'accesso al tuo server solo a indirizzi IP specifici riduce il rischio di attacchi di forza bruta e previene connessioni non autorizzate. Modifica il file di configurazione SSH:

- `nano /etc/ssh/sshd_config`

Aggiungi gli indirizzi IP consentiti alla fine del file nel seguente formato:

- `AllowUsers username@IP`

Sostituisci `username` con il tuo nome utente e `IP` con l'indirizzo IP autorizzato. Salva le modifiche e riavvia il servizio SSH.

11. Esegui Backup Regolari

I backup sono la tua ancora di salvezza in caso di perdita di dati dovuta a un attacco, errore umano o qualsiasi altro problema. Programma backup regolari dei tuoi dati e configurazioni.

Puoi utilizzare soluzioni integrate, come il backup hPanel di HolyHosting, o strumenti di terze parti. Assicurati che i backup siano archiviati in una posizione sicura e separata.

12. Monitora i Log del Server

Controlla regolarmente i log del server per rilevare attivita insolite o possibili tentativi di intrusione. I log, come `/var/log/auth.log`, forniscono informazioni preziose.

Usa il comando `tail` per seguire in tempo reale i log specifici:

- `tail -f /var/log/auth.log`

Configura avvisi per notificare anomalie e considera l'installazione di strumenti di monitoraggio dei log per facilitare l'analisi.

13. Installa un Certificato SSL

Anche la sicurezza del sito web e fondamentale. Installa un certificato SSL per crittografare la comunicazione tra il tuo server e i visitatori del sito. Questo e particolarmente importante per i siti che gestiscono dati sensibili.

Puoi ottenere certificati SSL gratuiti da Let's Encrypt e configurarli facilmente sul tuo

server web.

14. Abilita la Protezione DDoS

Gli attacchi distribuiti di negazione del servizio (DDoS) possono sovraccaricare il tuo server con traffico falso, causando un'interruzione del servizio. Utilizza servizi di protezione DDoS per mitigare questi attacchi.

HolyHosting fornisce protezione DDoS avanzata su tutti i server VPS, che aiuta a mantenere il tuo sito online anche durante attacchi pesanti.

15. Utilizza un Sistema di Rilevamento delle Intrusioni (IDS)

I sistemi di rilevamento delle intrusioni monitorano e analizzano il traffico alla ricerca di pattern malevoli. Configura un IDS sul tuo server per rilevare e rispondere alle minacce.

Snort e Suricata sono opzioni IDS popolari per Linux. Personalizza le regole secondo le tue esigenze e controlla regolarmente i report generati da questi strumenti.

16. Consulta Esperti di Sicurezza

Se non sei sicuro di come implementare determinate misure di sicurezza o hai bisogno di consulenza aggiuntiva, considera di consultare esperti di sicurezza.

Ricorda che la sicurezza e uno sforzo continuo. Mantieniti aggiornato sulle ultime minacce e best practice di sicurezza e adatta la tua configurazione di conseguenza.

Conclusioni Finali

Proteggere il tuo server VPS e un impegno costante che richiede attenzione e sforzo. Seguendo questi 16 consigli di sicurezza, rafforzerai notevolmente le difese del tuo server.

- Formazione Continua:Mantieniti informato sulle ultime tendenze nella sicurezza informatica e sulle tecniche di attacco. La formazione continua e fondamentale per adattarsi alle nuove minacce.

- Implementazione Proattiva:Invece di aspettare che si verifichino problemi di sicurezza, adotta un approccio proattivo. Configura misure di sicurezza solide prima che sorgano problemi.

- Monitoraggio Regolare:La sorveglianza costante dei log del server e l'implementazione di avvisi automatici ti permetteranno di identificare e affrontare rapidamente qualsiasi attivita sospetta.

- Collaborazione con Esperti:Quando possibile, cerca la consulenza di professionisti della sicurezza informatica. La loro esperienza puo essere inestimabile per rafforzare le difese del server.

- Risposta Rapida:In caso di un incidente di sicurezza, tieni pronto un piano di risposta rapido.

La capacita di isolare e risolvere rapidamente i problemi puo minimizzare l'impatto di un attacco.

Ricorda che la sicurezza e un processo continuo e che ogni server puo avere requisiti specifici. Personalizza questi consigli in base alle tue esigenze e mantieniti vigile.

Tieni presente che questi consigli sono pensati per fornire una guida generale ed e importante adattare le raccomandazioni alle caratteristiche specifiche del tuo server e ambiente.