Verkkosivun palvelimen tietoturva : case: Raspberry Pi

Abstract

Opinnäytetyö käsittelee verkkosivujen palvelimien tietoturvaa. Työssä käsitellään tapaustutkimuksena Raspberry Pi-tietokoneen valmistamista tietoturvalliseksi palvelimeksi. Työn tavoite on olla katsaus tietoturvaan ja Linux-palvelimien perusteisiin ja käytäntöihin.

Työn ensimmäisessä osiossa käsitellään tietoturvan perusteita ja käytäntöjä. Tämän tarkoituksena on olla suuntaa antava ohje tietoturvaratkaisujen arvostelua varten. Osiossa annetaan myös taustakatsaus palvelimista ja Raspberry Pi-tietokoneesta. Osion loppupuolella käsitellään yleisimpiä hyökkäyksiä, joita voi ilmetä staattisen verkkosivun palvelimella.

Toisessa osiossa tutkitaan käytännön esimerkein Raspberry Pi palvelimen käyttöönottoa tietoturvalliseksi verkkosivun palvelimeksi. Osiossa tutkitaan tärkeimmät tarvittavat ratkaisut turvallisen palvelimen asennukseen. Tietoturvaratkaisujen ohessa selitetään, milloin ja mitä uhkia vastaan ne ovat tarpeellisia. Osion loppupuolella tehdään tietoturvan tulevaisuudennäkymistä päättelyitä ja tutkitaan mahdollisia tulevaisuudessa tarvittavia toimenpiteitä liittyen Raspberry Pi palvelimen tietoturvaan.

Raspberry Pi tietokone valittiin tutkimuskohteeksi sen lähestyttävyyden ja helppokäyttöisyytensä tähden. Laite on sopiva lähtökohta tietokoneista ja palvelimista kiinnostuneille harrastelijoille ja opiskelijoille. Kaikkia tietoturvaratkaisuja kokeiltiin käytännössä Raspberry Pi palvelimella. Tarvittaessa tarkistettiin käytännössä tietoturvaratkaisujen eheys ja vaihtoehtoiset ratkaisut. Pi:n käyttöjärjestelmänä käytettiin laitteen suosituinta käyttöjärjestelmää Raspbiania. Palvelimella hostattu verkkosivu oli yksinkertainen staattinen html dokumentti.

Tutkimuksessa selvisi, että Pi:llä on suositeltavaa hyödyntää muutamia ylimääräisiä Raspberry Pi:n käyttötapaukseen liittyviä tietoturvaratkaisuja. Nämä toimenpiteet eivät välttämättä ole tarpeellisia etäpalvelimella. Suositeltavaa on myös hyödyntää etäpalvelimilla käytettyjä standardi tietoturvaratkaisuja.

The subject of the thesis is server-side security of websites. The case study included in the study consists of preparing a Raspberry Pi-computer into a secure webserver. The objective of the study is to serve as an introduction to Linux server security basics.

The first section of the study covers the basis of information security. The purpose of the section is to give a basic understanding of the subject, which can be applied in critical assessment of information security methods and tools. The section also covers some background information about servers and Raspberry Pi in general. The section also discusses some of the most prominent attacks that might occur on a static website’s server.

The second section consists of a practical look at preparing Raspberry Pi into a secure webserver. The section covers the mission critical steps to establishing a secure installation of a webserver. An explanation of when and why a solution is needed is provided regarding each security measure. The latter part of the section discusses possible security measures required in the near future regarding webserver security of a Raspberry Pi server.

Raspberry Pi computer was selected as a case study because of its ease of use and accessibility. The computer is an affordable starting point for students who are interested in computers and servers. All the security measures were tested on a live Raspberry Pi server. When required, each security measure’s integrity and alternatives were tested in practice. The selected operating system was Raspberry Pi’s favored system, Raspbian. The website hosted on the server was a simple static html document.

The study concluded that some extra security measures are required in using a Raspberry Pi as a home server. Some security solutions that wouldn’t be necessary in a remote server are recommended in addition to standard server security practices.