🛡️ OS Hardening Guide: Riduzione della Superficie di Attacco

Metodologia: Applicazione del principio del “Minimo Privilegio” e chiusura dei vettori di intrusione.

::: tip L’Hardening è il processo di messa in sicurezza di un sistema eliminando vulnerabilità potenziali e riducendo le funzionalità non necessarie. Un sistema “standard” è raramente un sistema “sicuro”. :::

1. Principi Fondamentali

Least Privilege (Minimo Privilegio): Ogni processo e utente deve avere solo i permessi strettamente necessari.
Defense in Depth: Se una difesa cade, deve essercene un’altra dietro (es. Firewall + Password + 2FA).
Attack Surface Reduction: Disabilitare tutto ciò che non viene usato (servizi, porte, driver).

2. Checklist Operativa Cross-Platform

A. Network Security

Firewall: Abilitare sempre (UFW su Linux, Windows Firewall). Politica di default: DENY ALL in ingresso.
Porte Aperte: Verificare regolarmente i servizi in ascolto.
- Linux: ss -tulpn
- Windows: netstat -ano
SSH (per Linux): Disabilitare il login root, cambiare porta di default e usare esclusivamente chiavi SSH (no password).

B. Gestione Utenti e Accessi

Password Policy: Lunghezza minima 12+ caratteri, complessità elevata.
2FA/MFA: Obbligatoria per accessi remoti e account privilegiati.
Session Timeout: Auto-logoff dopo X minuti di inattività.

C. Update & Patch Management

Aggiornamenti Automatici: Abilitare per le patch di sicurezza critiche.
Firmware/BIOS: Mantenere aggiornato per proteggersi da vulnerabilità a livello hardware (es. Spectre, Meltdown).

📉 Ciclo di Hardening (Mermaid)

graph TD
    INSTALL[Installazione OS Pulita] --> MIN[Rimozione Servizi Inutili]
    MIN --> NET[Configurazione Firewall & SSH]
    NET --> AUTH[Rafforzamento Autenticazione 2FA]
    AUTH --> MONITOR[Setup Logging & Alerting]
    MONITOR --> AUDIT[Audit Periodico]
    AUDIT --> UPDATE[Update Management]
    UPDATE --> AUDIT

3. Tool Consigliati per l’Audit

Non fidarti della tua configurazione; verificala con tool automatici:

Tool	OS	Scopo
Lynis	Linux	Analisi completa della sicurezza e hardening.
OpenSCAP	Linux/Win	Verifica conformità agli standard (STIG, CIS).
Microsoft Baseline Security Analyzer	Windows	Verifica patch e configurazioni errate.
Nmap	Tutti	Scansione porte dall’esterno per vedere cosa “esce”.

💡 Note dell’Ingegnere (Critical Thinking)

Usabilità vs Sicurezza: Un sistema troppo “hardened” diventa inutilizzabile. Trova il giusto equilibrio (Trade-off). Ad esempio, disabilitare le porte USB è sicuro, ma se lavori fisicamente sulla macchina è un limite inaccettabile.
Logging: L’hardening è inutile se non sai cosa succede. Configura un server di log centrale (o un add-on su Home Assistant/Proxmox) per monitorare i tentativi di accesso falliti.

Ultimo aggiornamento: {{UPDATE_DATE}} | Tags: #Security #Hardening #CyberSecurity #Audit #BestPractices