Server Linux per Nextcloud e Zoneminder

HPE ProLiant MicroServer G8, con CPU quad-core da 2.5 GHz, 16 GB RAM ECC DDR3, SSD MLC Transcend 64 GB per l'OS e 3 HDD Western Digital Red 4 TB in RAID 5 per i dati, 1 HDD Western Digital Red 1 TB per le registrazioni delle telecamere, 2 IPCAM

Il sistema è stato progettato per una piccola azienda con la necessità di avere:

• un File Server su cui archiviare in sicurezza tutti i files dello studio per proteggerli da virus e cryptolocker
• un Cloud Server Privato su cui archiviare in sicurezza alcuni files ai quali poter accedere in sicurezza da fuori dello studio
• un sistema di videosorveglianza professionale in grado di riconoscere le persone ed inviare notifiche push
• un Server OpenVPN per poter accedere da remoto ai dispositivi all'interno della rete dello studio e per poter utilizzare B.Point in cloud
• un sistema automatico di backup incrementali sul File Server di tutti i dati dei computer aziendali
• un sistema automatico di backup incrementali con versioning di tutti i dati archiviati sul Server Linux in una zona protetta inaccessibile a virus e cryptolocker

Per soddisfare queste esigenze si è deciso di utilizzare un HP MicroServer Gen8 e di upgradarlo con una CPU Xeon, ed installando il bay frontale per il 5° disco al posto dell'unità ODD. Nel cassetto frontale è stata quindi installata una SSD MLC dedicata al Sistema Operativo Debian. Negli alloggiamenti inferiori sono stati installati tre Hard Disk configurati in RAID 5 dedicati all'archiviazione dei dati ed 1 Hard Disk dedicato ad archiviare le registrazioni dell'impianto di videosorveglianza.

Il file system è completamente criptato e configurato secondo questo albero:

sda
|__ sda1                   /boot
|__ sda2
|__ sda5
|    |__sda5_crypt       /
|__ sda6
    |__sda6_crypt        [SWAP]

sdb
|__sdb1
    |__md0
        |__md0_crypt    /media/data
        
sdc
|__sdc1
    |__md0
        |__md0_crypt    /media/data
        
sdd
|__sdd1
    |__md0
        |__md0_crypt    /media/data
        
sde
|__sde1
    |__sde1_crypt    /media/data_zm

Il server è installato in rete in modalità headless, senza monitor e tastiera ed è stato programmato affinché all'avvio basti inserire un'apposita unità USB per decriptare il file system criptato ed avviare il sistema.

L'unità USB deve avere una precisa etichetta e deve contenere un'apposita chiave di decriptazione in un preciso percorso. Una volta avviato il sistema è possibile rimuovere in totale tranquillità l'unità USB. In caso di necessità, se non dovesse essere possibile usare l'unità USB perché andata persa o perché corrotta, il server è stato configurato affinché sia possibile collegarlo a monitor e tastiera per sbloccare il file system digitando una password. Senza l'unità USB di sblocco e senza la password è impossibile decriptare il file system, avviare il sistema ed accedere ai dati su di esso archiviati.

Il server Linux è completamente autonomo, il titolare dell'attività deve solo accenderlo.

Il File Server locale è accessibile esclusivamente dall'interno della rete locale, viene erogato tramite Samba, vi si accede tramite username e password ed ogni utente ha accesso ad un proprio spazio personale e ad uno spazio condiviso con tutti gli utenti. Il File Server è protetto dai cryptolockers con la tecnica dei canary files, se uno di questi files viene alterato da un cryptolocker che ha infettato uno dei computer Windows dello studio, allora il server Linux disattiva immediatamente il File Server locale ed invia una notifica email al titolare dello studio.

Il Web Server Apache permette di offrire una piattaforma di Cloud Privato ed un impianto di Videosorveglianza.

Il Cloud Privato è accessibile da qualsiasi parte del mondo, viene erogato tramite Nextcloud, vi si accede tramite username e password ed ogni utente ha accesso ad un proprio spazio personale. Si può accedere al Cloud Privato tramite un qualsiasi browser, tramite Esplora Risorse di Windows o con una semplice app da smartphone.

Il sistema di Videosorveglianza controlla 2 telecamere IP, viene erogato tramite Zoneminder, che una volta armato analizza in tempo reale il flusso video delle telecamere per effettuare la rilevazione del movimento ed inviare le eventuali notifiche push sul telefono del titolare.

Il Server OpenVPN permette di collegarsi da remoto alla rete aziendale in modo da poter accedere ai dati archiviati su Samba e di poter lavorare da remoto, il tutto con una configurazione avanzata che permette di utilizzare un qualsiasi computer per accedere tramite la VPN ai dispositivi nella rete del suo studio senza però utilizzare la VPN per la navigazione Internet in modo da non risentirne in termini di prestazioni.

Particolare attenzione è stata prestata nella progettazione della strategia di backup dei dati:

• Tutti i computer Windows dello studio sono stati dotati di un client che ogni ora esegue automaticamente un backup incrementale dei loro nuovi dati sullo spazio condiviso del File Server Linux.
• I dati archiviati sul File Server, i dati archiviati sul Cloud Privato sono tutti protetti da un sistema di backup completamente automatizzato, che esegue dei backup incrementali con versioning in una zona del file system ad accesso limitato, in questo modo i dati sono protetti da attacchi informatici (virus o cryptolocker) e da errori umani. Il backup incrementale nella zona ad accesso limitato viene eseguito automaticamente ogni notte e viene conservata una copia di ogni giorno degli ultimi 7 giorni, una copia di ogni settimana delle ultime 4 settimane ed una copia di ogni mese degli ultimi 3 mesi.
• Tutti i dati sono ulteriormente protetti grazie ad un sistema di backup parzialmente automatico, che esegue un backup incrementale dei dati su un unità USB esterna. Collegando al server un'unità USB con una specifica etichetta ed un specifico percorso di archiviazione, il sistema avvia in automatico un backup incrementale copiando i nuovi dati sull'unità USB esterna ed invia una notifica via email al termine dell'operazione per permettere di rimuovere in sicurezza l'unità USB.

Tutti i dati della PMI sono quindi al sicuro poiché salvati sui computer Windows, sul Server Linux e su un disco USB esterno.

La sicurezza del server è garantita da diversi livelli di firewall (iptables, ipset, modsec, fail2ban) e da diversi certificati (ssl, ssh). Nessuna persona non autorizzata può accedere al server, ogni accesso non autorizzato viene bloccato e l'ip sorgente viene bannato. Il server inoltre aggiorna quotidianamente e banna tramite ipset una blacklist di indirizzi IP malevoli che vengono continuamente catturati dalla nostra rete di honeypot sparsi sul territorio italiano.

Il server è configurato con un sistema di Monitoring/Alerting che controlla in tempo reale che tutto l'hardware ed il software funzionino correttamente ed invia un email al proprietario in caso di malfunzionamenti. Particolare attenzione è prestata al controllo dello stato di salute dei dischi del server, il sistema di Monitoring controlla in tempo reale i dati SMART dei dischi ed il sistema di Alerting notifica eventuali problemi al titolare dello studio in modo che i dischi possano essere sostituiti prima che si rompano e si perdano i dati. Inoltre i tre dischi sui quali sono archiviati i dati sono configurati in RAID5, ciò significa che se anche uno dei tre dischi dovesse rompersi i dati non andrebbero persi.

Il server è infine protetto da un UPS ed è in grado di rilevarne il livello di carica in modo da spegnersi correttamente in caso di mancanza prolungata della corrente. In caso di mancanza di corrente, prima di spegnersi, il server è in grado di far spegnere correttamente anche tutti i computer Windows dello studio.

La connessione è fornita da un FTTC Tim che offre una velocità di Download pari a 92.33 Mbit/s ed una velocità di Upload pari a 20.07 Mbit/s.

Il sistema è completamente GDPR Compliant, i dati sono archiviati sul server privato che è protetto da avanzate misure di sicurezze che annullano quasi totalmente il rischio di Data Breach.