Amazon Elastic Compute Cloud
Guida per l'utente per istanze Linux

Gruppi di sicurezza Amazon EC2 per le istanze Linux

Un gruppo di sicurezza funge da firewall virtuale che controlla il traffico di una o più istanze. Quando si avvia un'istanza, è possibile specificare uno o più gruppi di sicurezza. In caso contrario, utilizziamo il gruppo di sicurezza predefinito. A ciascun gruppo di sicurezza possono essere aggiunte regole che permettono il traffico da e verso le istanze associate. Si possono modificare le regole per un gruppo di sicurezza in qualunque momento; le nuove regole vengono applicate automaticamente a tutte le istanze associate al gruppo di sicurezza. Quando si decide se permettere al traffico di raggiungere un'istanza, vengono prese in considerazione tutte le regole di tutti i gruppi di sicurezza associati all'istanza.

Quando avvii un'istanza in un VPC, devi specificare un gruppo di sicurezza creato per il VPC specifico. Dopo l'avvio di un'istanza, è possibile modificare i relativi gruppi di sicurezza. I gruppi di sicurezza sono associati alle interfacce di rete. Quando si modificano i gruppi di sicurezza di un'istanza, cambiano anche i gruppi di sicurezza associati all'interfaccia di rete primaria (eth0). Per ulteriori informazioni, consulta la sezione relativa alla modifica dei gruppi di sicurezza di un'istanza nella Guida per l'utente di Amazon VPC. Si possono modificare anche i gruppi di sicurezza associati a qualunque altra interfaccia di rete. Per ulteriori informazioni, consulta Modifica del gruppo di sicurezza.

Se i gruppi di sicurezza non soddisfano i tuoi requisiti, oltre al loro utilizzo puoi mantenere il firewall su tutte le istanze.

Se devi autorizzare il traffico verso un'istanza Windows, consulta la pagina relativa ai gruppi di sicurezza Amazon EC2 per istanze Windows nella Guida per l'utente di Amazon EC2 per le istanze Windows.

Regole del gruppo di sicurezza

Le regole di un gruppo di sicurezza controllano il traffico in entrata a cui è consentito di raggiungere le istanze associate al gruppo di sicurezza e il traffico in uscita a cui è consentito di lasciarle.

Di seguito sono riportate le caratteristiche delle regole dei gruppi di sicurezza:

  • Per impostazione predefinita, i gruppi di sicurezza autorizzano tutto il traffico in uscita.

  • Le regole dei gruppi di sicurezza sono sempre permissive; non è possibile creare regole che negano l'accesso.

  • I gruppi di sicurezza sono stateful: se invii una richiesta da un'istanza, il traffico in risposta alla richiesta è autorizzato a entrare, indipendentemente dalle regole dei gruppi di sicurezza in entrata. Per i gruppi di sicurezza VPC, ciò significa anche che le risposte al traffico in entrata sono autorizzate a uscire, indipendentemente dalle regole in uscita. Per ulteriori informazioni, consulta Monitoraggio delle connessioni.

  • Si possono aggiungere e rimuovere regole in qualunque momento. Le modifiche vengono applicate automaticamente alle istanze associate al gruppo di sicurezza.

    Nota

    Gli effetti di alcune modifiche delle regole possono dipendere dalle modalità di monitoraggio del traffico. Per ulteriori informazioni, consulta Monitoraggio delle connessioni.

  • Se associ a un'istanza più gruppi di sicurezza, le regole di ciascun gruppo di sicurezza vengono aggregate efficacemente per creare un unico set di regole. Questo set di regole viene utilizzato per determinare se consentire l'accesso o meno.

    Nota

    Puoi assegnare più gruppi di sicurezza a un'istanza; di conseguenza, un'istanza può avere centinaia di regole in vigore. Questo può causare problemi nell'accesso all'istanza. È consigliabile comprimere le regole il più possibile.

Per ogni regola, occorre specificare quanto segue:

  • Protocollo: il protocollo da autorizzare. I protocolli più comuni sono 6 (TCP) 17 (UDP) e 1 (ICMP).

  • Intervallo di porte: per un protocollo personalizzato o per TCP e UDP, l'intervallo di porte da autorizzare. Puoi specificare un solo numero di porta (ad esempio 22) o un intervallo dei numeri di porta (ad esempio 7000-8000).

  • Tipo e codice ICMP: per ICMP, il tipo e il codice ICMP.

  • Origine o destinazione: l'origine (regole in entrata) o la destinazione (regole in uscita) del traffico. Specifica una di queste opzioni:

    • Un singolo indirizzo IPv4. Devi utilizzare il prefisso di lunghezza /32; ad esempio 203.0.113.1/32.

    • Un singolo indirizzo IPv6. Devi utilizzare il prefisso di lunghezza /128; ad esempio 2001:db8:1234:1a00::123/128.

    • Un intervallo di indirizzi IPv4 in notazione a blocco CIDR, ad esempio 203.0.113.0/24.

    • Un intervallo di indirizzi IPv6 in notazione a blocco CIDR, ad esempio 2001:db8:1234:1a00::/64.

    • L'ID dell'elenco dei prefissi per il servizio AWS, ad esempio pl-1a2b3c4d. Per ulteriori informazioni consulta la sezione relativa agli Endpoint VPC del gateway nella Guida per l'utente di Amazon VPC.

    • Un altro gruppo di sicurezza. Consente alle istanze associate al gruppo di sicurezza specificato di accedere alle istanze associate a questo gruppo di sicurezza. Non aggiunge regole dal gruppo di sicurezza di origine a questo gruppo di sicurezza. Puoi specificare uno dei seguenti gruppi di sicurezza:

      • Il gruppo di sicurezza corrente.

      • Un diverso gruppo di sicurezza per lo stesso VPC

      • Un diverso gruppo di sicurezza per un VPC in una connessione di peering di VPC

  • (Opzionale) Descrizione: puoi aggiungere una descrizione della regola; ad esempio, per semplificarne l'identificazione in un secondo momento. Una descrizione può essere lunga fino a 255 caratteri. I caratteri consentiti sono a-z, A-Z, 0-9, spazi e ._-:/()#,@[]+=;{}!$*.

Quando specifichi un gruppo di sicurezza come origine o destinazione di una regola, la regola influisce su tutte le istanze associate al gruppo di sicurezza. Il traffico in entrata è autorizzato in base agli indirizzi IP privati delle istanze associate al gruppo di sicurezza di origine (e non in base agli indirizzi IP elastici o pubblici). Per ulteriori informazioni sugli indirizzi IP, consulta Indirizzamento IP per le istanze Amazon EC2. Se la regola del gruppo di sicurezza fa riferimento a un gruppo di sicurezza in un VPC in peering e il gruppo o la connessione in peering del VPC vengono eliminati, la regola è contrassegnata come obsoleta. Per ulteriori informazioni, consulta Utilizzo di regole di gruppo di sicurezza obsolete nella Amazon VPC Peering Guide.

Se esistono più regole per una determinata porta, viene applicata la regola più permissiva. Ad esempio, se hai una regola che autorizza l'accesso alla porta TCP 22 (SSH) all'indirizzo IP 203.0.113.1 e un'altra regola che autorizza l'accesso alla porta TCP 22 a chiunque, allora chiunque può accedere alla porta TCP 22.

Monitoraggio delle connessioni

I gruppi di sicurezza utilizzano il monitoraggio delle connessioni per tracciare le informazioni sul traffico da e verso l'istanza. Le regole si applicano in base allo stato della connessione per stabilire se il traffico è autorizzato o negato. Questo permette ai gruppi di sicurezza di essere stateful: le risposte al traffico in entrata possono uscire dall'istanza indipendentemente dalle regole del gruppo di sicurezza in uscita e viceversa. Ad esempio, se esegui un comando ping ICMP sull'istanza dal computer di casa e le regole del gruppo di sicurezza in entrata autorizzano il traffico ICMP, vengono monitorate le informazioni sulla connessione (comprese le informazioni sulle porte). Il traffico in risposta dall'istanza per il comando ping non viene monitorato come nuova richiesta, ma come connessione stabilita e può uscire dall'istanza, anche se le regole del gruppo di sicurezza in uscita limitano il traffico ICMP in uscita.

Non vengono monitorati tutti i flussi di traffico. Se una regola del gruppo di sicurezza permette flussi TCP o UDP per tutto il traffico (0.0.0.0/0) e nell'altra direzione c'è una regola corrispondente che autorizza tutto il traffico in risposta (0.0.0.0/0) per tutte le porte (0-65535), allora questo flusso di traffico non viene monitorato. Il traffico in risposta può quindi scorrere in base alla regola in entrata o in uscita che autorizza il traffico in risposta, non in base alle informazioni di monitoraggio.

Nell'esempio seguente, il gruppo di sicurezza ha regole in entrata specifiche per il traffico TCP e ICMP e una regola in uscita che autorizza tutto il traffico in uscita.

Regole in entrata
Tipo di protocollo Numero della porta IP di origine
TCP 22 (SSH) 203.0.113.1/32
TCP 80 (HTTP) 0.0.0.0/0
ICMP Tutti 0.0.0.0/0
Regole in uscita
Tipo di protocollo Numero della porta IP di destinazione
Tutti Tutti 0.0.0.0/0

Viene monitorato il traffico sulla porta 22 (SSH) da e verso l'istanza, perché la regola in entrata autorizza il traffico solo da 203.0.113.1/32 e non da tutti gli indirizzi IP (0.0.0.0/0). Il traffico TCP sulla porta 80 (HTTP) da e verso l'istanza non viene monitorato, perché le regole in entrata e in uscita autorizzano tutto il traffico (0.0.0.0/0). Il traffico ICMP viene monitorato sempre, indipendentemente dalle regole. Se rimuovi la regola in uscita dal gruppo di sicurezza, viene monitorato tutto il traffico da e verso l'istanza, compreso il traffico sulla porta 80 (HTTP).

Un flusso esistente di traffico monitorato potrebbe non essere interrotto quando si rimuove la regola del gruppo di sicurezza che permette quel flusso. Il flusso viene invece interrotto quando è arrestato da te o dall'altro host per almeno qualche minuto (o fino a 5 giorni per le connessioni TCP stabilite). Per UDP, ciò può richiedere l'arresto delle operazioni nel lato remoto del flusso. Un flusso di traffico non monitorato viene interrotto immediatamente se la regola che permette il flusso è rimossa o modificata. Ad esempio, se rimuovi una regola che autorizza tutto il traffico SSH in entrata verso l'istanza, le connessioni SSH esistenti verso l'istanza vengono immediatamente interrotte.

Per i protocolli diversi da TCP, UDP o ICMP, vengono monitorati solo l'indirizzo IP e il numero di protocollo. Se la tua istanza invia traffico a un altro host (host B) e host B inizia lo stesso tipo di traffico verso l'istanza in una richiesta separata entro 600 secondi dalla richiesta originale o dalla risposta, la tua istanza lo accetta indipendentemente dalle regole del gruppo di sicurezza in entrata, perché è considerato traffico in risposta.

Per essere certo che il traffico venga interrotto immediatamente quando rimuovi una regola del gruppo di sicurezza o che tutto il traffico in entrata sia soggetto alle regole del firewall, puoi utilizzare una lista di controllo degli accessi di rete per la sottorete; le liste di controllo degli accessi di rete sono stateless, quindi non autorizzano automaticamente il traffico in risposta. Per ulteriori informazioni, consulta la sezione relativa alle Liste di controllo degli accessi di rete nella Guida per l'utente di Amazon VPC.

Gruppi di sicurezza predefiniti

Il tuo account AWS dispone automaticamente di un gruppo di sicurezza predefinito per il VPC predefinito in ogni regione. Se non specifichi un gruppo di sicurezza quando avvii un'istanza, questa viene automaticamente associata al gruppo di sicurezza predefinito per il VPC.

Un gruppo di sicurezza predefinito è denominato default e ha un ID assegnato da AWS. Di seguito sono descritte le regole predefinite per ciascun gruppo di sicurezza predefinito:

  • Autorizza tutto il traffico in entrata da altre istanze associate al gruppo di sicurezza predefinito (il gruppo di sicurezza specifica se stesso come gruppo di sicurezza di origine nelle regole in entrata)

  • Autorizza tutto il traffico in uscita dall'istanza.

Puoi aggiungere o rimuovere le regole in entrata per tutti i gruppi di sicurezza predefiniti.

Non è possibile eliminare un gruppo di sicurezza predefinito. Se provi a eliminare il gruppo di sicurezza predefinito, ricevi il seguente errore: Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user.

Gruppi di sicurezza personalizzati

Se non vuoi che le tue istanze utilizzino il gruppo di sicurezza predefinito, puoi creare gruppi di sicurezza personali e specificarli quando avvii le tue istanze. Puoi creare più gruppi di sicurezza per rispecchiare i diversi ruoli eseguiti dalle istanze, ad esempio un server Web o un server di database.

Quando crei un gruppo di sicurezza, devi indicarne il nome e la descrizione. I nomi e le descrizioni dei gruppi di sicurezza possono essere lunghi al massimo 255 caratteri, limitati ai seguenti:

a-z, A-Z, 0-9, spazi e ._-:/()#,@[]+=&;{}!$*

Il nome di un gruppo di sicurezza non può iniziare per sg-. Il nome di un gruppo di sicurezza deve Essere univoco per il VPC.

Di seguito sono descritte le regole predefinite per un gruppo di sicurezza da te creato:

  • Non autorizza il traffico in entrata

  • Autorizza tutto il traffico in uscita

Dopo aver creato un gruppo di sicurezza, puoi modificarne le regole in entrata per rispecchiare il tipo di traffico in entrata che vuoi raggiunga le istanze associate. Puoi modificare anche le regole in uscita.

Per ulteriori informazioni sui tipi di regole che è possibile aggiungere a un gruppo di sicurezza, consulta Riferimento alle regole del gruppo di sicurezza.

Utilizzo dei gruppi di sicurezza

Puoi creare, visualizzare, aggiornare ed eliminare i gruppi di sicurezza e le relative regole tramite la console Amazon EC2.

Creazione di un gruppo di sicurezza

Puoi creare un gruppo di sicurezza personalizzato tramite la console Amazon EC2. Devi specificare il VPC per cui stai creando il gruppo di sicurezza.

Per creare un nuovo gruppo di sicurezza tramite console

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Scegli Create Security Group (Crea un gruppo di sicurezza).

  4. Specificare un nome e una descrizione per il gruppo di sicurezza.

  5. Per VPC scegliere l'ID del VPC.

  6. Puoi iniziare ad aggiungere regole o selezionare Create (Crea) per creare subito il gruppo di sicurezza (puoi sempre aggiungere regole in un secondo momento). Per ulteriori informazioni sull'aggiunta di regole, consulta Aggiunta di regole a un gruppo di sicurezza.

Per creare un gruppo di sicurezza tramite la riga di comando

La console Amazon EC2 ti permette di copiare le regole da un gruppo di sicurezza esistente a uno nuovo.

Per copiare un nuovo gruppo di sicurezza tramite console

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare il gruppo di sicurezza da copiare, scegliere Actions (Operazioni), Copy to new (Copia su nuovo).

  4. Si apre la finestra di dialogo Create Security Group (Crea un gruppo di sicurezza) ed è popolata con le regole del gruppo di sicurezza esistente. Specificare un nome e una descrizione per il nuovo gruppo di sicurezza. Per VPC, scegliere l'ID del VPC. Al termine, selezionare Create (Crea).

Puoi assegnare un gruppo di sicurezza a un'istanza quando la avvii. Quando aggiungi o rimuovi regole, queste modifiche vengono applicate automaticamente a tutte le istanze a cui hai assegnato il gruppo di sicurezza.

Dopo l'avvio di un'istanza, è possibile modificare i relativi gruppi di sicurezza. Per ulteriori informazioni, consulta la sezione relativa alla modifica dei gruppi di sicurezza di un'istanza nella Guida per l'utente di Amazon VPC.

Descrizione dei gruppi di sicurezza

Puoi visualizzare informazioni sui tuoi gruppi di sicurezza utilizzando la console Amazon EC2 o la riga di comando.

Per descrivere i gruppi di sicurezza utilizzando la console

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. (Opzionale) selezionare VPC ID (ID VPC) dall'elenco dei filtri, quindi scegliere l'ID del VPC.

  4. Selezionare un gruppo di sicurezza. Le informazioni generali vengono mostrate nella scheda Description (Descrizione), le regole in entrata nella scheda Inbound (In entrata), quelle in uscita nella scheda Outbound (In uscita) e i tag nella scheda Tags (Tag).

Per descrivere uno o più gruppi di sicurezza tramite la riga di comando

Aggiunta di regole a un gruppo di sicurezza

Quando aggiungi una regola a un gruppo di sicurezza, dopo un breve periodo di tempo verrà applicata automaticamente a tutte le istanze associate al gruppo di sicurezza.

Per ulteriori informazioni sulla scelta delle regole dei gruppi di sicurezza per tipi di accesso specifici, consulta Riferimento alle regole del gruppo di sicurezza.

Per aggiungere regole a un gruppo di sicurezza tramite console

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione selezionare Security Groups (Gruppi di sicurezza) e scegliere il gruppo di sicurezza.

  3. Nella scheda Inbound (In entrata) selezionare Edit (Modifica).

  4. Nella finestra di dialogo scegliere Add Rule (Aggiungi regola) ed eseguire queste operazioni:

    • In Type (Tipo) selezionare il protocollo.

    • Se si seleziona un protocollo TCP o UDP personalizzato, specificare l'intervallo di porte in Port Range (Intervallo di porte).

    • Se si seleziona un protocollo ICMP personalizzato, scegliere il nome del tipo ICMP da Protocol (Protocollo) e, se applicabile, il nome del codice da Port Range (Intervallo di porte).

    • Per Source (Origine), scegliere una delle seguenti opzioni:

      • Custom (Personalizzato): nell'apposito campo specificare un indirizzo IP in notazione CIDR, un blocco CIDR o un altro gruppo di sicurezza.

      • Anywhere (Ovunque): aggiunge automaticamente il blocco CIDR IPv4 0.0.0.0/0. Questa opzione permette a tutto il traffico del tipo specificato di raggiungere la tua istanza. L'opzione è accettabile per un breve periodo di tempo in un ambiente di test, ma non è sicura per gli ambienti di produzione. In produzione, è preferibile autorizzare l'accesso a un'istanza solo di un determinato indirizzo IP o a di un intervallo di indirizzi.

        Nota

        Se il tuo gruppo di sicurezza si trova in un VPC che supporta IPv6, l'opzione Anywhere (Ovunque) crea due regole: una per il traffico IPv4 (0.0.0.0/0) e una per il traffico IPv6 (::/0).

      • My IP (Il mio IP): aggiunge automaticamente l'indirizzo IPv4 pubblico del tuo computer locale.

    • In Description (Descrizione) puoi scegliere di specificare una descrizione della regola.

    Per ulteriori informazioni sui tipi di regole che è possibile aggiungere, consulta Riferimento alle regole del gruppo di sicurezza.

  5. Seleziona Salva.

  6. È anche possibile specificare le regole in uscita: Nella Outbound tab (scheda In uscita) selezionare Edit (Modifica), Add Rule (Aggiungi regola) ed eseguire le seguenti operazioni:

    • In Type (Tipo) selezionare il protocollo.

    • Se si seleziona un protocollo TCP o UDP personalizzato, specificare l'intervallo di porte in Port Range (Intervallo di porte).

    • Se si seleziona un protocollo ICMP personalizzato, scegliere il nome del tipo ICMP da Protocol (Protocollo) e, se applicabile, il nome del codice da Port Range (Intervallo di porte).

    • In Destination (Destinazione) scegliere una delle seguenti opzioni:

      • Custom (Personalizzato): nell'apposito campo specificare un indirizzo IP in notazione CIDR, un blocco CIDR o un altro gruppo di sicurezza.

      • Anywhere (Ovunque): aggiunge automaticamente il blocco CIDR IPv4 0.0.0.0/0. Questa opzione permette il traffico in uscita verso tutti gli indirizzi IP.

        Nota

        Se il tuo gruppo di sicurezza si trova in un VPC che supporta IPv6, l'opzione Anywhere (Ovunque) crea due regole: una per il traffico IPv4 (0.0.0.0/0) e una per il traffico IPv6 (::/0).

      • My IP (Il mio IP): aggiunge automaticamente l'indirizzo IP del tuo computer locale.

    • In Description (Descrizione) puoi scegliere di specificare una descrizione della regola.

  7. Seleziona Salva.

Per aggiungere una o più regole in ingresso a un gruppo di sicurezza tramite la riga di comando

Per aggiungere una o più regole in uscita a un gruppo di sicurezza tramite la riga di comando

Aggiornamento delle regole dei gruppi di sicurezza

Quando modifichi il protocollo, l'intervallo di porte, l'origine o la destinazione di una regola di un gruppo di sicurezza esistente tramite console, la console elimina la regola esistente e ne aggiunge una nuova.

Per aggiungere una regola di un gruppo di sicurezza tramite console

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare il gruppo di sicurezza da aggiornare e scegliere Inbound Rules (Regole in entrata) per aggiornare una regola per il traffico in entrata o Outbound Rules (Regole in uscita) per aggiornare una regola per il traffico in uscita.

  4. Seleziona Edit (Modifica). Modificare la voce della regola in base alle esigenze e scegliere Save (Salva).

Per aggiornare il protocollo, l'intervallo di porte, l'origine o la destinazione di una regola esistente tramite API di Amazon EC2 o lo strumento a riga di comando, non è possibile modificare la regola. Devi invece eliminare la regola esistente e aggiungerne una nuova. Per aggiornare solo la descrizione della regola, puoi utilizzare i comandi update-security-group-rule-descriptions-ingress e update-security-group-rule-descriptions-egress.

Per aggiornare la descrizione di una regola di un gruppo di sicurezza in entrata tramite la riga di comando

Per aggiornare la descrizione di una regola di un gruppo di sicurezza in uscita tramite la riga di comando

Eliminazione delle regole da un gruppo di sicurezza

Quando elimini una regola da un gruppo di sicurezza, la modifica viene applicata automaticamente a tutte le istanze associate al gruppo di sicurezza.

Per eliminare una regola di un gruppo di sicurezza tramite console

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare un gruppo di sicurezza.

  4. Nella scheda Inbound (In entrata) (per le regole in entrata) o nella scheda Outbound (In uscita) (per le regole in uscita) scegliere Edit (Modifica). Scegliere Delete (Elimina) (un simbolo di croce) accanto a ogni regola da eliminare.

  5. Seleziona Salva.

Per rimuovere una o più regole in ingresso da un gruppo di sicurezza tramite la riga di comando

Per rimuovere una o più regole in uscita da un gruppo di sicurezza tramite la riga di comando

Eliminazione di un gruppo di sicurezza

Non è possibile eliminare un gruppo di sicurezza collegato a un'istanza. Non è possibile eliminare il gruppo di sicurezza predefinito. Non è possibile eliminare un gruppo di sicurezza a cui fa riferimento una regola di un altro gruppo di sicurezza nello stesso VPC. Se una delle regole fa riferimento al tuo gruppo di sicurezza, devi eliminarla prima di poter eliminare il gruppo di sicurezza.

Per eliminare un gruppo di sicurezza tramite console

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare un gruppo di sicurezza e scegliere Actions (Operazioni), Delete Security Group (Elimina gruppo di sicurezza).

  4. Scegliere Yes, Delete (Sì, elimina).

Per eliminare un gruppo di sicurezza tramite la riga di comando