Ubuntu Linux – configurare sshd_config

A volte capita di dovere installare una distribuzione linux al volo con le impostazioni di base di openssh.
Oppure ci è stato consentito accedere da remoto ad una macchina appena installata con i parametri di base.

E’ importante che alcune piccole impostazioni di sicurezza debbano essere fatte al file:

/etc/ssh/sshd_config

Ipotizzando di lavorare ad un sistema remoto al quale non si ha accesso fisicamente, ottenuto l’accesso con diritti di amministratore root, consiglio vivamente di tenere una sessione aperta dalla quale non ci si deve MAI sloggarsi, prima di essere sicuri di avere completato le modifiche e che siano andate a buon fine.
Fatta questa importante premessa, mi limito a segnalare solo alcune piccole modifiche da applicare, per avere un minimo di sicurezza.

Prima di tutto, creiamo un utente con un nome diverso da “root”, come ad esempio “karaba”:

~# adduser karaba
Adding user `karaba’ …
Adding new group `karaba’ (1002) …
Adding new user `karaba’ (1002) with group `karaba’ …
Creating home directory `/home/karaba’ …
Copying files from `/etc/skel’ …
Enter new UNIX password:
Retype new UNIX password:

Immettiamo una BUONA password due volte e verifichiamo se è stata creata la dir dell’utente e se è correttamente presente in /etc/passwd:

# ls -la /home
total 16
drwxr-xr-x 4 root root 4096 2009-12-11 18:30 .
drwxr-xr-x 23 root root 4096 2009-12-01 16:50 ..
drwxr-xr-x 3 karaba karaba 4096 2009-12-10 22:35 karaba

# cat /etc/passwd
karaba:x:1001:1001:karaba,,,:/home/karaba:/bin/bash

Accertati che l’utente è stato creato correttamente, lo inseriamo nella lista /etc/sudoers per abilitarlo al comando “sudo”:

# echo “karaba ALL=(ALL) ALL” >> /etc/sudoers

verifichiamo

# cat /etc/sudoers
# User privilege specification
root ALL=(ALL) ALL
karaba ALL=(ALL) ALL

Adesso, modifichiamo alcuni parametri del nostro /etc/ssh/sshd_config.
Apriamo il file in oggetto con il nostro editor preferito:

# nano /etc/ssh/sshd_config

Impostiamo su quale indirizzo ip vogliamo che il demone ssh sia abilitato al bind (in ascolto), decommentiamo il parametro “ListenAddress” ed inseriamo il nostro IP:

ListenAddress 212.95.121.34

Questo perchè si possono avere alcuni alias IP nella stessa scheda di rete e/o diverse schede di rete, avere un demone ssh in ascolto su tutte le interfacce come da default (es. ListenAddress 0.0.0.0) non è molto sicuro.

Possiamo anche variare la porta di ascolto, dalla canonica e standard 22 a qualsiasi altra che non sia in uso da altri servizi:

Port 45

Un ultimo parametro da variare, molto importante è il seguente:

cambiare da:
PermitRootLogin yes
a:
PermitRootLogin no

In questo modo, neanche voi che conoscete la password di root, potete accedere al sistema.

A questo punto salvate il file ed eseguite il restart del demone:

/etc/init.d/ssh restart

Adesso, aprite un altra sessione ssh e proviamo ad accedere, non chiudete assolutamente quella con cui avete operato finora, eseguite il login con il nuovo utente “karaba”:

login as: karaba
karaba@mybox.mpxer.com’s password:

Dopo esservi loggati, per diventare root, eseguite il comando “sudo su” e reimmettete la password dell’utente “karaba”:

karaba@mybox.mpxer.com:~$ sudo su
[sudo] password for karaba:

Verifichiamo se siamo l’utente “root”:

# whoami
root

Bene, l’operazione è andata a buon fine, se tutto è andato come previsto, adesso potete sloggarvi dalla sessione principale, se invece per un qualsiasi motivo non siete riusciti a ricollegarvi, riutilizzando la prima sessione lasciata aperta, verificate tutti i parametri che avete cambiato se per caso sussiste qualche errore di digitazione, come ad esempio nel numero IP e nel numero della porta e ripetete la procedura.

Visited 1 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.