Server Linux
Tipologia: Server Linux Professionale per studio geometra
OS: Debian
Piattaforme: Nextcloud
Internet: Macoers DDNS
HPE ProLiant MicroServer G7 N40L, con CPU dual-core da 1.5 GHz, 2 GB RAM ECC DDR3, SSD MLC Transcend 32 GB per l'OS e 3 HDD Western Digital Red 2 TB in RAID 5 per i dati
Il sistema è stato progettato per uno studio geometra con la necessità di avere:
- un Cloud Server Privato su cui archiviare in sicurezza alcuni files ai quali poter accedere in sicurezza da fuori dello studio
- un Cloud Server Privato tramite il quale scambiare in sicurezza i files con diversi studi di Ingegneria
- un sistema automatico di backup incrementali con versioning di tutti i dati archiviati sul Server Linux in una zona protetta inaccessibile a virus e cryptolocker
in modo da poter smettere di usare in modo improprio Apple iCloud.
Per soddisfare queste esigenze si è deciso di utilizzare un HP N40L e di upgradarlo per poter installare fino a 5 dischi, è stato quindi installato un BIOS che sblocca la velocità SATA della porta dedicata all'unità ODD ed al posto di quest'ultima è stato installato un cassetto per Hard Disk da 3,5". Nel cassetto frontale da 3,5" è stata quindi installata una SSD MLC con un apposito adattatore 2,5" to 3,5", dedicata al Sistema Operativo Debian. Negli alloggiamenti inferiori sono stati installati tre Hard Disk configurati in RAID 5 dedicati all'archiviazione dei dati, un alloggiamento è rimasto vuoto in modo da poterlo utilizzare in futuro per espandere il RAID.
Il file system è completamente criptato e configurato secondo questo albero:
sda
|__ sda1 /boot
|__ sda2
|__ sda5
| |__sda5_crypt /
|__ sda6
|__sda6_crypt [SWAP]sdb
|__sdb1
|__md0
|__md0_crypt /media/data
sdc
|__sdc1
|__md0
|__md0_crypt /media/data
sdd
|__sdd1
|__md0
|__md0_crypt /media/data
Il server è installato in rete in modalità headless, senza monitor e tastiera ed è stato programmato affinché all'avvio basti inserire un'apposita unità USB per decriptare il file system criptato ed avviare il sistema.
L'unità USB deve avere una precisa etichetta e deve contenere un'apposita chiave di decriptazione in un preciso percorso. Una volta avviato il sistema è possibile rimuovere in totale tranquillità l'unità USB. In caso di necessità, se non dovesse essere possibile usare l'unità USB perché andata persa o perché corrotta, il server è stato configurato affinché sia possibile collegarlo a monitor e tastiera per sbloccare il file system digitando una password. Senza l'unità USB di sblocco e senza la password è impossibile decriptare il file system, avviare il sistema ed accedere ai dati su di esso archiviati.
Il server Linux è completamente autonomo, il titolare dello studio deve solo accenderlo.
Il Cloud Privato è accessibile da qualsiasi parte del mondo, viene erogato tramite Nextcloud, vi si accede tramite username e password ed ogni utente ha accesso ad un proprio spazio personale. Si può accedere al Cloud Privato tramite un qualsiasi browser, tramite Esplora Risorse di Windows o con una semplice app da smartphone.
Particolare attenzione è stata prestata nella progettazione della strategia di backup dei dati:
- I dati archiviati sul Cloud Privato sono tutti protetti da un sistema di backup completamente automatizzato, che esegue dei backup incrementali con versioning in una zona del file system ad accesso limitato, in questo modo i dati sono protetti da attacchi informatici (virus o cryptolocker) e da errori umani. Il backup incrementale nella zona ad accesso limitato viene eseguito automaticamente ogni notte e viene conservata una copia di ogni giorno degli ultimi 7 giorni, una copia di ogni settimana delle ultime 4 settimane ed una copia di ogni mese degli ultimi 3 mesi.
- Tutti i dati sono ulteriormente protetti grazie ad un sistema di backup parzialmente automatico, che esegue un backup incrementale dei dati su un unità USB esterna. Collegando al server un'unità USB con una specifica etichetta ed un specifico percorso di archiviazione, il sistema avvia in automatico un backup incrementale copiando i nuovi dati sull'unità USB esterna ed invia una notifica via email al termine dell'operazione per permettere di rimuovere in sicurezza l'unità USB.
Tutti i dati dello studio commercialista sono quindi al sicuro poiché salvati sui computer sul Server Linux e su un disco USB esterno.
La sicurezza del server è garantita da diversi livelli di firewall (iptables, ipset, modsec, fail2ban) e da diversi certificati (ssl, ssh). Nessuna persona non autorizzata può accedere al server, ogni accesso non autorizzato viene bloccato e l'ip sorgente viene bannato. ll server aggiorna inoltre quotidianamente la blacklist di indirizzi IP malevoli da bannare con ipset scaricando dai nostri sistemi la lista aggiornata con i nuovi indirizzi che sono continuamente catturati dalla nostra rete di honeypot sparsi sul territorio italiano.
Il Server è protetto dai cryptolockers con la tecnica dei canary files, se uno di questi files viene alterato da un cryptolocker che ha infettato uno dei computer Windows dello studio, allora il server Linux disattiva immediatamente il File Server locale ed invia una notifica email al titolare dello studio.
Il server è configurato con un sistema di Monitoring/Alerting che controlla in tempo reale che tutto l'hardware ed il software funzionino correttamente ed invia un email al proprietario in caso di malfunzionamenti. Particolare attenzione è prestata al controllo dello stato di salute dei dischi del server, il sistema di Monitoring controlla in tempo reale i dati SMART dei dischi ed il sistema di Alerting notifica eventuali problemi al titolare dello studio in modo che i dischi possano essere sostituiti prima che si rompano e si perdano i dati. Inoltre i tre dischi sui quali sono archiviati i dati sono configurati in RAID5, ciò significa che se anche uno dei tre dischi dovesse rompersi i dati non andrebbero persi.
Il server è infine protetto da un UPS ed è in grado di rilevarne il livello di carica in modo da spegnersi correttamente in caso di mancanza prolungata della corrente. In caso di mancanza di corrente, prima di spegnersi, il server è in grado di far spegnere correttamente anche tutti i computer Windows dello studio.
La connessione è fornita da una FTTH Fastweb che offre una velocità di Download pari a 511.05 Mbit/s ed una velocità di Upload pari a 289.79 Mbit/s.
Il sistema è completamente GDPR Compliant, i dati sono archiviati sul server privato che è protetto da avanzate misure di sicurezze che annullano quasi totalmente il rischio di Data Breach.