Per evitare che vengano effettuati degli attacchi di tipo brute-force sulla nostra porta 22 tentanto di sfruttare la username di sistema root possiamo disabilitare il login diretto da root se si passa da ssh.
Per loggarsi bisognerà prima accedere con una username personalizzata.
Solo in seguito potremo farci riconoscere come root con il comando:
su
Modifichiamo il file /etc/ssh/sshd_config impostando:
PermitRootLogin no
Modifichiamo inoltre il l’opzione LoginGraceTimecon un valore (in secondi) che riteniamo opportuno. Il valore di default è di 120 (2 minuti).
Questa opzione indica il tempo a disposizione per effettuare l’autenticazione una volta connessi al server. Se il tempo impiegato sarà maggiore di tale valore la connessione cadrà.
Agire “al ribasso” su questo valore può essere utile per aumentare la sicurezza contro attacchi automatizzati.
Impostiamo il valore a 30 secondi che per noi sarà più che valido:
LoginGraceTime 30
Possiamo inoltre fare in modo che solo un determinato utente (utente normale senza privilegi) possa autenticarsi via ssh (questa opzione rafforza il PermitRootLogin impostato a no):
AllowUsers nomeutente1
Possiamo specificare più utenti autorizzati separandoli con il carattere spazio e non virgola:
AllowUsers nomeutente1 nomeutente2 nomeutente3
Infine possiamo cambiare la porta su sui il demone ssh deve essere in ascolto. Di default la porta è la 22. Conviene specificare una porta a piacimento superiore a 1024 (le porte fino alla 1024 sono dedicate a servzi conosciuti) non ancora utilizzata:
Port nuovonumeroporta
Prima di cambiare la porta accertatevi di poter aprire tale porta sul firewall del server e che soprattutto il firewall in uscita (se presente) della vostra postazione di lavoro consenta di uscire sulla nuova porta da voi specificata nell’opzione Port
Ora non ci resta che riavviare il demone ssh con il comando:
/etc/init.d/ssh restart
Per aumentare ulteriormente la sicurezza possiamo utilizzare una chiave RSA. Questa tecnica verrà trattata in un altro articolo.
