Discussione: Vulnerabilità vBulletin etc.etc..

Originariamente Scritto da Valerio80

però.. vedo che vi state ammazzando a rispondere

xD

Avevo cominciato con questo:

La sicurezza del server dipende sopratutto dalle conoscenze della persona che imposta un server web.

In linea generale è sufficiente un sistema operativo molto leggero, un firewall software o hardware, un software server di larga distribuzione, e una configurazione non troppo restrittiva - perché a forza di cercare la sicurezza, molti fanno anche troppo, e invece di essere sicuro, si perde il controllo.

Io ti posso solo raccontare ciò che è sicuro a livello di Windows, ma immagino che con qualche trasformazione di termini va bene anche per Linux.

Dunque - per un sistema leggero ma comunque funzionante intendo un Windows 2000, che con 2 GB di RAM è superdotato e gira veramente bene. Devi renderti conto che non ci sarà mai nessuno che entra nel tuo server, se non l'amministratore tramite un programma di gestione remota, come ad esempio VNC. In assenza di Windows 2000, va bene anche un XP Home, Professional, Windows Server 2003, ma più che si va avanti, più memoria è richiesta per la stessa funzionalità e stessa sicurezza. In caso estremo potrebbe anche funzionare un Windows 95/98, che richiedono però qualche software aggiuntivo per bloccare l'accesso non autorizzato al server.

Non so se e quando potrò continuare.

Originariamente Scritto da Valerio80

Quindi, non possono mettere dietro a qualche jpeg qualche shell?

@y2ksw

capisco..
In poche parole.. stai dicendo che mettendo un firewall.. non ci sono problemi.. giusto?

Stavo dicendo che fatto la configurazione base che impedisce l'ingresso alla macchina ai non autorizzati, la sicurezza è sufficiente per garantire anche la sicurezza in Internet. Poi a livello del server Web, DB, FTP ed EMail si aggiungono gli altri criteri che vanno più in dettaglio. Non è necessario tradurre i diritti di accesso a livello di sistema operativo, perché di fatto questi utenti non avranno mai accesso allo stesso, ma soltanto al Web. E' lì che molti sbagliano e quindi si complicano la vita con decine e centinaia di vincoli che non saranno mai applicati.

Io l'ho imparato in proprio, a forza di provare e paragonare. Quindi ho potuto concludere che molte volte i sistemi più semplici sono più sicuri, perché si capisce al volo dove mettere mano. Non c'è margine di errore.

Invece, mi sono trovato in difficoltà con certi sistemi di controllo e protezione. I pannelli Plesk e cPanel sono esempi di facilitare le cose nella norma, ma quando si tratta di ottimizzare le prestazioni e far sembrare un serveruccio con 2 GB come un server Quad Core con 16 GB, allora questi pannelli sono solo di ostacolo, e abbassano addirittura il livello di sicurezza.