Ho incontrato linux 1 anno fa (1 mese Mandrake poi Debian). Ora dopo
molta fatica (per documentarmi e per provare in casa) ho messo in rete
una macchina con Sarge con funzionalità di gateway-firewall,
file-server, server di posta, server web e server ftp. Finchè si
trattava di cose casalinghe non c'erano problemi ma il server in
questione lo uso nella mia piccola azienda. Questo lavora solo da 10
giorni ma con una media di una volta al giorno trovo sulla mia mailbox
posta inviatami da logcheck con centinaia di righe del tipo:
Oct 1 01:51:45 coplast sshd[13855]: Illegal user a from 82.89.167.208
Oct 1 01:51:49 coplast sshd[13857]: Illegal user b from 82.89.167.208
Oct 1 01:51:53 coplast sshd[13859]: Illegal user c from 82.89.167.208
Oct 1 01:51:57 coplast sshd[13861]: Illegal user d from 82.89.167.208
Oct 1 01:52:01 coplast sshd[13863]: Illegal user e from 82.89.167.208
Oct 1 01:52:06 coplast sshd[13865]: Illegal user f from 82.89.167.208
Oct 1 01:52:10 coplast sshd[13867]: Illegal user g from 82.89.167.208
Oct 1 01:52:14 coplast sshd[13869]: Illegal user h from 82.89.167.208
Oct 1 01:52:18 coplast sshd[13871]: Illegal user i from 82.89.167.208
Oct 1 01:52:22 coplast sshd[13873]: Illegal user j from 82.89.167.208
Oct 1 01:52:27 coplast sshd[13875]: Illegal user k from 82.89.167.208
Oct 1 01:52:31 coplast sshd[13877]: Illegal user l from 82.89.167.208
Oct 1 01:52:35 coplast sshd[13879]: Illegal user m from 82.89.167.208
Oct 1 01:52:39 coplast sshd[13881]: Illegal user n from 82.89.167.208
Oct 1 01:52:44 coplast sshd[13883]: Illegal user o from 82.89.167.208
Oct 1 01:52:48 coplast sshd[13885]: Illegal user p from 82.89.167.208
ma anche relative al servizio di posta o di server ftp.
La scorsa notte poi è capitato che immediatamente dopo l'evento
rappresentato dall'ultima riga, esattamente un secondo dopo, la
macchina si è riavviata. Logcheck riporta tutti i log di avvio ma non
mi suggerisce una causa. Non so chi o che cosa abbia causato il reboot
ma tutti questi segnali che ricevo ogni giorno mi preoccupano.
Questo server ha le seguenti porte aperte verso internet: 21, 22, 25,
80, 993, 995 e basta, solo quelle necessarie ai servizi che mi servono.
Non esistono utenti senza password; gli utenti del server ftp hanno
accesso ristretto alle loro home directory; il server di posta
richiede connessione criptata...
Io di sicurezza so molto poco perciò sebbene potrei elencare tutta una
serie di precauzioni che ho preso nel configurare i vari servizi non
potrei mai dire che la macchina è sicura.
Ora mi domando, è meglio se lascio perdere nel farmi i server da solo
e vado da una qualche azienda specializzata che mi chiederà un sacco
di soldi?
La rete globale internet è strapiena di delinquenti che non hanno
niente da fare?
Oppure hanno da fare ma tanto hanno vari server dove girano script a
raffica con l'obiettivo di bucare le macchine altrui?
Chiedo scusa a tutti se la mail è troppo lunga e se in questa lista si
dovrebbe parlare solo di Debian mentre io... ...
Ciao. Matteo.