Alcuni articoli
| Cos'è Linux
| Sicurezza
| VPN
| Email
| Maildeliver
| Groupware
| SMS
| Fax
| Centralino telefonico
| Case History Asterisk
| Proxy
| Crittografia
| Statistiche
| Thin clients
Storage ridondante
RAID1, RAID5, RAID6
A seconda della tipologia di server installato, vengono creati volumi RAID al fine di garantire il funzionamento del sistema anche nel caso di rottura di un disco (RAID1 e RAID5) oppure di due dischi (RAID6).Il sistema installato consente la gestione efficiente del RAID a prescindere dal controller utilizzato, anzi è preferita la realizzazione del RAID software perchè più versatile e facilmente controllabile. Realizzare un RAID con dischi SATA ed un normalissimo controller SATA è una soluzione efficiente e conveniente.
Il sistema così creato consentirà inoltre, in un secondo momento, di aggiungere dischi ed effettuare il resize dei volumi, aggiungendo spazio allo storage, risultando pertanto in un sistema scalabile nel tempo.
Per i sistemi che richiedono maggiore affidabilità vengono montati uno o più spare disks (dischi liberi) che normalmente rimangono fermi fintantoché la rottura di un disco determinerà il successivo riallineamento automatico del RAID utilizzando lo spare disk.
Un sistema di monitoraggio della situazione dei dischi avviserà per email uno o più amministratori qualora si presenti una situazione di emergenza (disallineamento del raid, rottura di un disco, ricostruzione automatica dell'array utilizzando uno spare disk, eccetera).
Journaling filesystem
Tutti i volumi di storage vengono equipaggiati con filesystem di tipo journalized, quali EXT3FS e XFS: si tratta di un sistema molto affidabile che consente il mantenimento dell'integrità del sistema anche rimuovendo l'alimentazione al server in modo brutale, in quanto tutti i dati vengono comunque temporaneamente scritti in un'area contigua del disco per essere poi trasferiti, entro qualche decina di secondi, definitivamente nell'area corretta del disco.In questo modo si realizzano alcuni punti fondamentali per un filesystem ottimale:
- I/O asincrono per massimizzare la velocità del sistema riducendo i tempi di latenza: le operazioni di scrittura su disco vengono fatte istantaneamente in un'area contigua del disco chiamato journal (e quindi in modo molto veloce), e poi verranno riportate nell'area di destinazione finale quando il computer risulterà "libero", tipicamente entro 30 secondi;
- integrità, in quanto nel caso di spegnimento o riavvio a freddo del server, il sistema di controllo del filesystem sarà in grado di recuperare tutti i dati scritti nello journal per riportarli sul disco, completando pertanto le operazioni che non erano state eseguite dal sistema in quanto spento/riavviato brutalmente;
- minimizzazione del tempo di disservizio nel caso di spegnimento/riavvio a freddo: il controllo del filesystem risulta infatti estremamente veloce (qualche secondo per l'analisi dello journal di ciascun filesystem), consentendo il riavvio veloce del sistema.
Protezione della rete
Firewall
Il firewall è una protezione che agisce esclusivamente a livello di rete filtrando e loggando connessioni anomale o indesiderate.Attraverso il firewall si stabilisce ad esempio che il server aziendale consente di ricevere connessioni di tipo web e mail, negando invece l'accesso a tutti gli altri servizi quali le condivisioni file e stampanti, eccetera.
Inoltre attraverso il firewall si possono stabilire regole di accesso dalla rete aziendale verso internet, consentendo o negando ad utenti la possibilità di accedere a servizi esterni come siti web, ftp, server di posta elettronica,...
Infine, il firewall può consentire di redirigere chiamate dirette a certi servizi verso altre macchine presenti nella LAN (port forwarding o destination NAT).
Linux integra il firewall già all'interno del sistema operativo, consentendo pertanto di ottenere un elevato grado di sicurezza ed una semplice configurabilità.
Quality of Service
E' possibile aggiungere delle regole affinché si garantisca una banda minima ai servizi di tipo realtime (VoIP in particolare), e si privilegino servizi interattivi (ad esempio la consultazione web) a discapito di altri servizi quali la posta elettronica.In questo modo è possibile sfruttare al meglio la propria connessione internet rendendo il traffico fluido ed impedendo che grossi trasferimenti di file o mail possano determinare il temporaneo collasso della rete.
Questo tipo di soluzione si chiama Quality of Service e viene gestita correttamente da Linux.
Verifica integrità del sistema
Controllo rootkit
Linux non risulta immune da problemi di sicurezza che a volte dovuti in particolare ad errori di programmazione dei servizi internet oppure ad applicazioni web (script).Una semplice applicazione, schedulata ogni notte, consente di verificare la presenza di eventuali rootkit, ovvero set di applicazioni installate da remoto sfruttando una vulnerabilità del sistema.
chkrootkit è l'applicazione che riconosce diversi tipi di attacchi ed inoltre risulta ben istruito per individuare l'installazione di possibili applicazioni esterne.
Controllo integrità
Nel caso di un attacco, vengono solitamente installati delle applicazioni che consentono di aprire porte di accesso (backdoor, che solitamente risultano inefficaci grazie alla presenza del firewall), spedire dati ad altri server (sniffing) oppure effettuare attacchi ad altri server (Distributed Attack o Distributed Denial of Service).AIDE è un'applicazione che, eseguita ogni notte, verifica l'integrità di ciascuna applicazione presente nel sistema, grazie al calcolo del checksum ed al suo confronto con il checksum precedentemente calcolato.
AIDE risulta indispensabile per individuare immediatamente l'eventuale installazione di applicazioni esterne, cosiccome per capire, in caso di attacco, quali applicazioni sono state cambiate/installate e pertanto ripristinate.
Aggiornamento automatico del sistema
Sistema esecuzione automatica script aggiornamento
Quando viene scoperta una vulnerabilità (problema di sicurezza presente in qualche applicazione, servizio o nel kernel), risulta indispensabile provvedere tempestivamente all'aggiornamento del software vulnerabile oppure al tamponamento (workaround) della falla in altro modo.Al fine di velocizzare la gestione dei vari server installati senza far gravare i costi sul cliente, viene instalato un sistema che automaticamente scarica gli script (sequenze di comandi) che opportunamente prepariamo per risolvere il problema di sicurezza instauratosi.
In alcuni casi tuttavia non è possibile operare in modo manuale, pertanto sarà richiesto l'intervento specifico (tipicamente da remoto) per correggere il problema.
Glossario
-
printGloss('RAID','È l\'acronimo di Redundant Array of Inexpensive Disks ovvero array ridondante di dischi non costosi, in quanto originalmente consisteva in un sistema economico per avere la ridondanza dei dischi e la possibilità di raggiungere elevate capacità utilizzando dischi comuni.
Attualmente è il sistema più utilizzato dai piccoli server ai grossi datacenter per ottenere prestazioni, affidabilità ed elevate capacità di storage.'); printGloss('Vulnerabilità','Errore di programmazione che comporta un possibile rischio alla sicurezza informatica del sistema'); printGloss('Work-around','Sistema che a volte si utilizza per arginare un problema complesso oppure che si presenta in modo non sistematico: in tal caso anziché risolvere il problema, si evita che la situazione che lo origina possa accadere'); printGloss('Script','File in cui vengono inseriti comandi di alto livello in modo da formare una sequenza di operazioni da svolgere.
La stesura degli script avviene facendo uso di un interprete, chiamato in gergo shell.
Solitamente si utilizza come shell bash, perl, tcl, python.'); ?>
Richiesta di preventivo gratuito
Se la Vostra sede è in Veneto e nella provincia di Pordenone, richiedete un preventivo gratuito attraverso una email o meglio compilando, senza impegno, il semplice form sottoriportato: sarete poi ricontattati.
I dati da Voi inseriti saranno utilizzati esclusivamente al fine di formulare una offerta. Non saranno ceduti a terzi né saranno impiegati per altri scopi.
Alcuni articoli
| Cos'è Linux
| Sicurezza
| VPN
| Email
| Maildeliver
| Groupware
| SMS
| Fax
| Centralino telefonico
| Case History Asterisk
| Proxy
| Crittografia
| Statistiche
| Thin clients
Note: Linux è un marchio registrato da Linus Torvalds; ogni altro marchio presente in questa pagina è di proprietà del legittimo proprietario. printfooter(); ?>