5 Migliori Pratiche di Sicurezza per Server OpenSSH

OpenSSH è lo strumento di riferimento per l’accesso remoto sicuro ai server Linux, grazie alla sua robusta implementazione dei protocolli di rete SSH. Mentre fornisce un canale criptato per la gestione remota dei server, la configurazione predefinita di OpenSSH potrebbe non essere ottimizzata per la sicurezza. Implementare pratiche di sicurezza migliori può significativamente ridurre la superficie di attacco del tuo server. Ecco cinque consigli essenziali per migliorare la sicurezza del tuo server OpenSSH.

1. Disabilitare l’Accesso Root

L’accesso diretto al tuo server come utente root tramite SSH aumenta significativamente il rischio di accessi non autorizzati. È consigliabile disabilitare l’accesso SSH per l’utente root e utilizzare invece un utente normale con i privilegi necessari per eseguire compiti di amministrazione tramite sudo.

Per disabilitare l’accesso root, modifica il file di configurazione di SSH (/etc/ssh/sshd_config) e imposta:

Ricordati di riavviare il servizio SSH dopo aver apportato questa modifica.

2. Utilizzare l’Autenticazione Basata su Chiavi

L’uso delle password per l’autenticazione SSH può essere vulnerabile a attacchi di forza bruta. L’autenticazione basata su chiavi pubbliche e private è molto più sicura e dovrebbe essere usata al posto delle password tradizionali.

Per configurare l’autenticazione basata su chiavi:

• Genera una coppia di chiavi SSH sul tuo computer locale utilizzando il comando ssh-keygen.
• Copia la chiave pubblica sul server remoto con ssh-copy-id utente@indirizzoserver.
• Assicurati che il file sshd_config sul server abbia la riga PasswordAuthentication no per disabilitare l’autenticazione password.

3. Cambiare la Porta Predefinita

La porta predefinita per SSH è la 22. Cambiando questa porta in un valore non standard, puoi ridurre il numero di tentativi di accesso indesiderati e attacchi di scansione automatica.

Modifica il file /etc/ssh/sshd_config sul server e cambia la linea:

in, ad esempio,

Dopo aver cambiato la porta, assicurati di aggiornare eventuali regole del firewall per consentire il traffico sulla nuova porta.

4. Limitare l’Accesso SSH a Utenti Specifici

Limitare l’accesso SSH solo a determinati utenti può fornire un ulteriore livello di sicurezza. Nel file /etc/ssh/sshd_config, puoi specificare chi può o non può accedere via SSH utilizzando le direttive AllowUsers o DenyUsers.

Ad esempio, per consentire l’accesso solo all’utente mario, aggiungi:

5. Utilizzare Fail2Ban

Fail2Ban è uno strumento che monitora i file di log per segni di attacchi automatizzati o accessi non autorizzati e aggiunge temporaneamente le fonti di tali attacchi a delle regole del firewall, bloccando così gli indirizzi IP sospetti.

Per installare Fail2Ban su sistemi basati su Debian/Ubuntu:

Dopo l’installazione, Fail2Ban inizierà a proteggere il server utilizzando una configurazione predefinita. Puoi personalizzare ulteriormente le regole e le azioni di Fail2Ban creando un file di configurazione in /etc/fail2ban/jail.local.

Conclusione

Mantenere elevati standard di sicurezza per il tuo server OpenSSH è cruciale per proteggere le risorse e i dati sensibili. Implementando queste cinque pratiche di sicurezza, compresa la disabilitazione dell’accesso root, l’utilizzo dell’autenticazione basata su chiavi, il cambio della porta predefinita, la limitazione dell’accesso a utenti specifici e l’adozione di Fail2Ban, puoi notevolmente migliorare la sicurezza del tuo server SSH. Ricorda che la sicurezza è un processo continuo e che è importante rimanere informati sulle migliori pratiche e aggiornare regolarmente il sistema e il software.