Differences

This shows you the differences between two versions of the page.

--- sysadmin:security [2015/01/27 17:08] – [Miscellaneous] kobe
+++ sysadmin:security [Unknown date] (current) – removed - external edit (Unknown date) 127.0.0.1
@@ Line 1: / Line 1: @@
-====== Security ======
-Apriamo questa pagina per migliorare la sicurezza della nostra infrastruttura IT, in particolare sull'adozione dell'HTTPS per i servizi interni ed esterni.
-==== Premessa ====
-L'obiettivo e' quello di rendere piu' sicure le comunicazioni client-server, tuttavia ad oggi per far questo ci sono 2 possibilita':  affidarsi ad una certification authority, oppure crearsi un certificato autofirmato.  Questa seconda possibilita', seppur possa essere tranquillamente applicata per i nostri servizi interni, si potrebbe rilevare un po' troppo "invasiva" nei confronti di utenti esterni, che si ritroverebbero messaggi di avvertimento.  Allo stesso tempo, quella delle CA e' a tutti gli effetti una sorta di mafia, che tra l'altro non dovrebbe aumentare l'affidabilita' delle connessioni.
-Il punto di equilibrio potrebbe consistere nel fare affidamento ad una CA solo per servizi esterni particolarmente critici, ed usare certificati molto basilari, a bassissimo costo o del tutto gratuiti (vedi sotto).
-Recentemente e' stata lanciata una campagna da parte di Eletronic Frontier Foundation, Mozilla, Cisco, etc per costituire una sorta di CA che fornisce certificati gratuitamente.  L'[[https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web|iniziativa]] dovrebbe partire nell'estate 2015, mentre [[https://letsencrypt.org/howitworks/technology/|qui]] si trovano alcune info sul funzionamento.
-In un futuro piu' remoto, una possibilita' e' legata al concetto del cosiddetto [[https://it.wikipedia.org/wiki/Web_of_trust|Web Of Trust]], ovvero "decentralizzare l'autorita'"!!  :-)
-===== Risultati attesi =====
-  * Installazione temporanea di test (befair2/gf_secure, secure.gasistafelice.befair.it) con certificato autofirmato, entro inizio dicembre (PRONTA!)
-    * http://secure.gasistafelice.befair.it/ (redirect)
-    * https://secure.gasistafelice.befair.it/
-  * Gasista Felice (befair2/gf_prod, gasistafelice.befair.it) sotto HTTPS con certificato da CA ufficiale, entro fine 2014
-Futuri risultati (chi lo sa..):
-  * Servizi interni beFair (*.internal.befair.it)
-    * si.internal.befair.it
-  * Servizi esterni
-    * www.befair.it
-    * docs.befair.it
-    * pad.befair.it
-    * Gasista Felice (desmc/gf_desmc, ordini.desmacerata.it) sotto HTTPS con certificato da CA ufficiale
-===== Casi di utilizzo =====
-Servizi interni (*.internal.befair.it):
-  * livello di sicurezza alto:  https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility
-  * certificato wildcard, ovvero *.internal.befair.it
-  * Certification Authority:  beFair CA  :-)
-Servizi esterni:
-  * livello di sicurezza intermedio:  https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28default.29
-  * certificato per singolo dominio:
-    * free(ware): https://www.startssl.com/?app=40  (guida:  https://konklone.com/post/switch-to-https-now-for-free)
-    * 7EUR/year:  https://www.namecheap.com/security/ssl-certificates/domain-validation.aspx
-  * certificato wildcard (in futuro):
-    * 60USD/year:  https://www.startssl.com/?app=40
-===== Miscellaneous =====
-Servers:
-  * [[https://wiki.mozilla.org/Security/Server_Side_TLS|Mozilla Guidelines
-  * [[https://www.ssllabs.com/ssltest/|Test suite]]
-  * [[https://mozilla.github.io/server-side-tls/ssl-config-generator/|Mozilla config generator]]
-  * [[https://timtaubert.de/blog/2014/10/deploying-tls-the-hard-way/|Deploying TLS the hard way]]
-  * [[https://bjornjohansen.no/optimizing-https-nginx|HTTPS su Nginx]]
-  * [[https://www.eff.org/https-everywhere/deploying-https|Deploying HTTPS]]
-  * [[http://ibuildings.nl/blog/2013/03/4-http-security-headers-you-should-always-be-using|HTTP header advices]]
-  * [[https://telekomlabs.github.io/|Add security to your automation]]
-  * [[https://serversforhackers.com/battling-selinux/|SELinux]]
-Il compito di gestire le sessioni HTTPS dipende esclusivamente dal web server (NGiNX) e dalla libreria specifica (OpenSSL), sollevando cosi' da questo ruolo gli application server (uWSGI, Gunicorn, Unicorn, NodeJS, PHP-FPM, FCGIWrap..).  Su Wheezy abbiamo le seguenti versioni:
-  * OpenSSL 1.0.1e
-  * NGiNX 1.2.1
-In wheezy-backports (e jessie) e' disponibile NGiNX 1.6.2 che aggiunge le seguenti funzionalita':
-  * SPDY 3
-    * il protocollo piu' moderno tra quelli stabili e in produzione, introduce multiplexing, compressione..
-    * e' in produzione su diversi siti (google, fb, twitter, wordpress.com..)
-    * e' una sorta di "branch di sviluppo" di HTTP 2.0
-  * OCSP (da vedere)
-Clients:
-  * [[https://www.howsmyssl.com/|Test suite]]
-Vari livello di sicurezza (dal piu' basilare al piu' sodisticato)
-  -
-    * encryption of personal private keys
-  -
-    * 1ring/git chmod permissions
-    * 1ring/git chown permissions
-    * encryption of server private key
-  -
-    * autoupgrade (cron-apt)
-  -
-    * cambiare porte ssh
-  -
-    * accesso con altro utente + su root
-    * ansible accesso via utente dedicato + disabilitare root
-===== Cronologia ======
-Di seguito un elenco (in ordine cronologico decrescente) delle vulnerabilita' particolarmente gravi che richiedono un intervento immediato e/o una modifica di diversi software.  Negli articoli e' presente la descrizione del problema, la risoluzione e la verifica:
-  * ottobre 2014 - POODLE SSLv3  https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-poodle-sslv3-vulnerability
-  * settembre 2014 - Shellshock/Bash Bug  https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-shellshock-bash-vulnerability