Impostazioni minime di sicurezza per SSH
In CentOS la configurazione ssh è gestita dal file /etc/ssh/sshd_config
Una configurazione minima di sicurezza dovrebbe almeno impedire l'accesso ssh come root e preferibilmente utilizzare un sistema di autenticazione diverso dalla password. Volendo si può anche modificare la porta del servizio ssh utilizzando una porta diversa dalla standard (22) ma occorre anche modificare un'altra impostazione se è attivo SELINUX.
Nel mio caso ho disabilitato l'accesso come root e utilizzo l'autenticazione tramite chiavi crittografiche.
Prima di tutto è bene creare un account che verrà usato per connettersi e impostare una password "forte".
Effettuare il login con il nuovo utente
Per creare un set di chiavi crittografiche RSA per sshv2 digitare
ssh-keygen -t rsa
touch .ssh/authorized_keys
chmod 755 ~.ssh
cat id_rsa.pub >> .ssh/authorized_keys
chmod 644 ~/.ssh/authorized_keys
viene creata una cartella .ssh nella home dell'utente
Occorre impostare come segue un paio di parametri nel file di configurazione:
PasswordAuthentication no
PermitRootLogin no
Perchè abbiano effetto le modifiche bisogna riavviare il servizio
# service sshd restart
Una configurazione minima di sicurezza dovrebbe almeno impedire l'accesso ssh come root e preferibilmente utilizzare un sistema di autenticazione diverso dalla password. Volendo si può anche modificare la porta del servizio ssh utilizzando una porta diversa dalla standard (22) ma occorre anche modificare un'altra impostazione se è attivo SELINUX.
Nel mio caso ho disabilitato l'accesso come root e utilizzo l'autenticazione tramite chiavi crittografiche.
Prima di tutto è bene creare un account che verrà usato per connettersi e impostare una password "forte".
Effettuare il login con il nuovo utente
Per creare un set di chiavi crittografiche RSA per sshv2 digitare
ssh-keygen -t rsa
touch .ssh/authorized_keys
chmod 755 ~.ssh
cat id_rsa.pub >> .ssh/authorized_keys
chmod 644 ~/.ssh/authorized_keys
viene creata una cartella .ssh nella home dell'utente
Occorre impostare come segue un paio di parametri nel file di configurazione:
PasswordAuthentication no
PermitRootLogin no
Perchè abbiano effetto le modifiche bisogna riavviare il servizio
# service sshd restart
Commenti