Diventare Sistemista – Parte 8: Gestione dei Permessi, Sicurezza e Conclusione della Serie

Pubblicato il da

La sicurezza di un’infrastruttura IT non dipende solo da firewall e antivirus, ma anche dalla gestione corretta dei permessi, della struttura degli utenti e dei privilegi sui sistemi operativi. In questo articolo approfondiamo come un sistemista deve configurare e gestire i permessi su sistemi Linux e Windows Server, per garantire riservatezza, integrità e disponibilità.

👥 Utenti, gruppi e permessi su Linux

In un sistema Linux, ogni file, directory e processo ha un proprietario e un gruppo associato, e viene regolato da una matrice di permessi. Una cattiva gestione di questi permessi può esporre il sistema a vulnerabilità critiche. L’amministratore di sistema deve conoscere a fondo sia i comandi di base sia le opzioni avanzate come ACL e SELinux/AppArmor.

Su Linux la sicurezza è gestita tramite utenti, gruppi e permessi associati ai file e ai processi.

Principali comandi:

adduser nomeutente
usermod -aG gruppo nomeutente
gpasswd -d nomeutente gruppo
chmod 755 file.sh
chown utente:gruppo file.sh

Permessi classici (rwx):

  • r: read (lettura)
  • w: write (scrittura)
  • x: execute (esecuzione)

Applicati in ordine: utente, gruppo, altri. Es. chmod 750:

  • Utente: rwx
  • Gruppo: r-x
  • Altri: —

Access Control List (ACL)

Per controlli più avanzati:

setfacl -m u:utente:rwx file
getfacl file

🪟 Sicurezza e permessi in Windows Server

In ambienti aziendali, Windows Server è spesso il cuore della gestione degli accessi. Utilizzando Active Directory, l’amministratore può gestire centralmente utenti, gruppi e policy di sicurezza per centinaia o migliaia di postazioni. I permessi NTFS lavorano in combinazione con le autorizzazioni di condivisione per creare una struttura di sicurezza dettagliata e facilmente modificabile tramite interfaccia grafica o PowerShell.

Su Windows Server, la gestione dei permessi è centralizzata tramite Active Directory (AD) e le policy dei gruppi (GPO).

Tipologie di permessi NTFS:

  • Full control
  • Modify
  • Read & execute
  • Read / Write

Strumenti:

  • Utenti e Computer di Active Directory: per gestire utenti, OU, gruppi
  • Editor GPO: per impostare policy su password, desktop, accessi
  • Condivisione avanzata + permessi NTFS = controllo preciso su file e cartelle

Esempio di buona pratica:

  • Creare gruppi per reparti (es. GRP_FINANZA, GRP_IT)
  • Assegnare i permessi ai gruppi, non agli utenti singoli
  • Utilizzare policy di sicurezza (es. dischi criptati, accesso RDP limitato)

Buone pratiche di sicurezza trasversali

Sia su Linux che su Windows, la sicurezza inizia da una configurazione attenta e da una gestione regolare degli aggiornamenti. Gli aggiornamenti dei sistemi operativi e delle applicazioni non sono solo importanti per migliorare le funzionalità, ma sono fondamentali per risolvere vulnerabilità note. Un sistema non aggiornato è spesso il primo punto debole sfruttato dagli attaccanti.

È fortemente consigliato pianificare aggiornamenti regolari attraverso:

  • Sistemi di aggiornamento centralizzati (WSUS per Windows, apt/dnf/yum per Linux)
  • Automazioni tramite script o strumenti di gestione (es. Ansible)
  • Fasi di testing su ambienti di staging prima del rollout in produzione.

È buona norma creare account separati per ogni utente, evitare l’utilizzo di privilegi elevati per operazioni quotidiane e separare i ruoli amministrativi da quelli standard. Inoltre, proteggere l’accesso fisico ai server e adottare sistemi di autenticazione centralizzati (come LDAP o RADIUS) è fondamentale per gestire gli accessi in modo sicuro e scalabile. È altrettanto importante mantenere una politica di aggiornamento costante di sistema e applicazioni, in modo da proteggere l’infrastruttura da vulnerabilità note. È buona norma creare account separati per ogni utente, evitare l’utilizzo di account con privilegi elevati per operazioni quotidiane, e separare i ruoli amministrativi da quelli standard. Inoltre, è essenziale proteggere l’accesso fisico ai server, utilizzare sistemi di autenticazione centralizzati (es. LDAP o RADIUS), che permettono di gestire utenti e accessi da un punto unico.

  • LDAP (Lightweight Directory Access Protocol): protocollo usato per accedere e mantenere servizi directory centralizzati. È lo standard per sistemi come OpenLDAP e Active Directory, e consente agli utenti di autenticarsi su più servizi con un unico account.
  • RADIUS (Remote Authentication Dial-In User Service): protocollo usato principalmente per autenticazione di rete e accesso remoto, molto comune per reti wireless aziendali, VPN e accessi 802.1X. Fornisce autenticazione, autorizzazione e accounting (AAA). e mantenere una politica di aggiornamento costante di sistema e applicazioni.
  • Principio del minimo privilegio (dare solo i permessi necessari)
  • Audit e logging (monitoraggio accessi e modifiche)
  • Password forti + MFA (autenticazione a più fattori)
  • Segmentazione della rete e VLAN per separare ambienti critici
  • Accesso remoto sicuro (VPN, tunnel SSH, RDP con restrizioni)
  • Aggiornamenti di sicurezza costanti

Strumenti utili per la sicurezza

L’utilizzo di strumenti di monitoraggio e protezione automatica è essenziale per prevenire e reagire in modo tempestivo a tentativi di accesso non autorizzato.
Ad esempio:

  • Fail2Ban: monitora i log e blocca indirizzi IP sospetti (utile contro brute-force su SSH)
  • AppArmor/SELinux: impongono restrizioni ai processi per limitare il danno potenziale
  • AuditD: traccia ogni accesso o modifica a file critici
  • GPO e BitLocker: aiutano a rinforzare le postazioni client e cifrare i dati sensibili
  • LUKS su Linux permette la cifratura dei volumi di sistema o backup
  • SELinux/AppArmor: sistemi avanzati di controllo accessi
  • GPO Windows: controllo granulare sulle policy di dominio
  • AuditD, AIDE: monitoraggio e integrità dei file Linux
  • BitLocker / LUKS: cifratura dischi

📚 Risorse consigliate

 

Conclusione

Con questo articolo si conclude la serie introduttiva “Diventare Sistemista”, composta da 8 episodi che coprono in modo progressivo i pilastri della sistemistica moderna:

  1. Introduzione alla figura del sistemista
  2. Le reti: LAN, VLAN, router, firewall
  3. Virtualizzazione e ambienti on-premise/cloud
  4. Installazione e configurazione di pfSense
  5. Gestione dei sistemi operativi su VM (Linux e Windows)
  6. Monitoraggio infrastrutturale (Zabbix, Grafana, SNMP)
  7. Backup e disaster recovery
  8. Gestione permessi e sicurezza

Abbiamo analizzato gli strumenti, le buone pratiche e i principali scenari operativi che ogni aspirante sistemista deve conoscere per affrontare con competenza le sfide del mondo IT.
Continua a seguirci sul Blog MegaSpider per nuovi contenuti, guide pratiche e aggiornamenti dal mondo IT!