Hardening

Da Wikipedia, l'enciclopedia libera.

In informatica, hardening la cui traduzione letterale significa (indurire, temprare), indica il processo che mira attraverso operazioni di configurazione specifica di un dato sistema e dei suoi componenti, a minimizzare l'impatto di possibili vulnerabilità, migliorandone quindi la sicurezza complessiva.

Questa attività viene normalmente effettuata attraverso due attività distinte:

  • La riduzione della superficie di attacco ottenibile ad esempio attraverso:
    • Rimozione di software non necessario dal sistema che dovrà ospitare il servizio
    • Disabilitazione di servizi, moduli del kernel, protocolli, non necessari.
    • Installazione di un personal firewall
  • La riconfigurazione dei servizi esistenti al fine di renderli maggiormente "robusti"
    • Applicazione di permessi restrittivi sui file
    • Applicazione di policy per la complessità delle password
    • Abilitazione dei log di sicurezza
    • Installazione delle patch di sicurezza
    • Rimozione degli utenti non necessari
    • etc..

Ogni componente erogante il servizio dovrà essere oggetto di hardening, (es. sistema operativo, webserver, applicazione web), etc.. Una configurazione molto stringente, spesso richiede un discreto tempo di applicazione, a causa a volte della complessità o della scarsità di documentazione del servizio ospitato. Nelle aziende tipicamente viene definito un livello base di hardening da applicare a tutte le piattaforme, viene successivamente deciso in funzione di un'attività di analisi del rischio se incrementare e di quanto la profondità dello stesso.

Ad oggi esistono anche insiemi di script di hardening e tool come Security-Enhanced Linux, Bastille linux[1], Microsoft Group-Policy[2] JASS[3] per Solaris e Apache/PHP hardener[4], che possono, per esempio, disattivare funzionalità non necessarie nei file di configurazione e applicare misure protettive di varia natura.

Note[modifica | modifica sorgente]

  1. ^ (EN) http://bastille-linux.sourceforge.net/
  2. ^ (EN) http://technet.microsoft.com/en-us/library/cc771361(v=WS.10).aspx
  3. ^ (EN) http://www.sun.com/software/security/jass/
  4. ^ (EN) http://www.syhunt.com/
sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica