Phenquestions
Le misure per proteggere il server SSH vanno da quelle di base a quelle avanzate e, come abbiamo detto prima, puoi prenderle in base al livello di sicurezza di cui hai bisogno. Puoi saltare una qualsiasi delle misure prescritte se hai una conoscenza sufficiente delle conseguenze e se sei in una buona posizione per affrontarle. Inoltre, non possiamo mai dire che un singolo passaggio garantirà la sicurezza al 100% o che un determinato passaggio è migliore dell'altro.
Tutto dipende dal tipo di sicurezza di cui abbiamo effettivamente bisogno. Pertanto, oggi intendiamo darti una visione molto approfondita dei passaggi di base e avanzati per proteggere un server SSH in Ubuntu 20.04. Oltre a questi metodi, condivideremo anche con te alcuni suggerimenti aggiuntivi per proteggere il tuo server SSH come bonus. Quindi iniziamo con l'interessante discussione di oggi.
Metodo di protezione del server SSH in Ubuntu 20.04:
Tutte le configurazioni SSH sono memorizzate nel suo file /etc/ssh/sshd_config. Questo file è considerato molto cruciale per il normale funzionamento del tuo server SSH. Pertanto, prima di apportare modifiche a questo file, si consiglia vivamente di creare un backup di questo file eseguendo il seguente comando nel terminale:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
Se questo comando viene eseguito correttamente, non ti verrà presentato alcun output, come mostrato nell'immagine seguente:
Dopo aver creato un backup di questo file, questo passaggio è facoltativo e viene eseguito se desideri controllare tutte le opzioni attualmente abilitate in questo file di configurazione. Puoi verificarlo eseguendo il seguente comando nel tuo terminale:
Le opzioni attualmente abilitate del file di configurazione SSH sono mostrate nell'immagine qui sotto. Puoi scorrere verso il basso questo elenco per visualizzare tutte le opzioni.
Ora puoi iniziare a proteggere il tuo server SSH mentre passi dai passaggi di base ai passaggi avanzati in Ubuntu 20.04.
Passaggi di base per proteggere il server SSH in Ubuntu 20.04:
I passaggi di base per proteggere un server SSH in Ubuntu 20.04 sono i seguenti:
Passaggio n. 1: apertura del file di configurazione SSH:
Puoi aprire il file di configurazione SSH eseguendo il comando indicato di seguito nel tuo terminale:
sudo nano /etc/ssh/sshd_config
Il file di configurazione SSH è mostrato nell'immagine seguente:
Passaggio n. 2: disabilitazione dell'autenticazione basata su password:
Invece di utilizzare le password per l'autenticazione, le chiavi SSH sono considerate più sicure. Pertanto, se hai generato le chiavi SSH per l'autenticazione, devi disabilitare l'autenticazione basata su password. Per questo, è necessario individuare la variabile "PasswordAuthentication", decommentarla e impostare il suo valore su "no", come evidenziato nell'immagine mostrata di seguito:
Passaggio n. 3: Rifiuto/Negazione di password vuote:
A volte, gli utenti trovano estremamente conveniente creare password vuote per salvarsi dalla memorizzazione di password complesse. Questa pratica può rivelarsi dannosa per la sicurezza del tuo server SSH. Pertanto, è necessario rifiutare tutti i tentativi di autenticazione con password vuote. Per questo, è necessario individuare la variabile "PermitEmptyPasswords" e decommentarla poiché il suo valore è già impostato su "no" per impostazione predefinita, come evidenziato nell'immagine seguente:
Passaggio n. 4: divieto di accesso root:
Dovresti vietare rigorosamente gli accessi di root per proteggere qualsiasi intruso dall'ottenere l'accesso a livello di root al tuo server. Puoi farlo individuando la variabile "PermitRootLogin", decommentarla e impostarne il valore su "no", come evidenziato nell'immagine mostrata di seguito:
Passaggio n. 5: utilizzo del protocollo SSH 2:
Il server SSH può operare su due diversi protocolli, i.e., Protocollo 1 e Protocollo 2. Il protocollo 2 implementa funzionalità di sicurezza più avanzate, motivo per cui è preferito al protocollo 1. Tuttavia, il protocollo 1 è il protocollo predefinito di SSH e non è esplicitamente menzionato nel file di configurazione di SSH. Pertanto, se desideri lavorare con il Protocollo 2 anziché con il Protocollo 1, devi aggiungere esplicitamente la riga "Protocollo 2" al tuo file di configurazione SSH come evidenziato nell'immagine seguente:
Passaggio n. 6: impostazione di un timeout della sessione:
A volte, gli utenti lasciano i loro computer incustoditi per molto tempo. Nel frattempo, qualsiasi intruso può entrare e accedere al tuo sistema violandone la sicurezza. È qui che entra in gioco il concetto di timeout della sessione. Questa funzione viene utilizzata per disconnettere un utente se rimane inattivo per lungo tempo in modo che nessun altro utente possa accedere al suo sistema.
Questo timeout può essere impostato individuando la variabile "ClientAliveInterval", decommentandola e assegnandole qualsiasi valore (in secondi) di tua scelta. Nel nostro caso gli abbiamo assegnato il valore di “300 secondi” o “5 minuti”. Significa che se l'utente rimane lontano dal server SSH per "300 secondi", verrà automaticamente disconnesso come evidenziato nell'immagine mostrata di seguito:
Passaggio n. 7: consentire a utenti specifici di accedere al server SSH:
Il server SSH non è un server il cui accesso è richiesto da ogni altro utente. Pertanto, il suo accesso deve essere limitato solo a quegli utenti che ne hanno effettivamente bisogno. Per consentire a utenti specifici di accedere al server SSH, è necessario aggiungere una variabile denominata "AllowUsers" al file di configurazione SSH e quindi scrivere i nomi di tutti quegli utenti a cui si desidera consentire l'accesso al server SSH separati da uno spazio. Nel nostro caso, volevamo solo consentire a un utente di accedere al server SSH. Ecco perché abbiamo aggiunto solo il suo nome come evidenziato nell'immagine seguente:
Passaggio n. 8: limitazione del numero di tentativi di autenticazione:
Ogni volta che un utente tenta di accedere a un server e non riesce ad autenticarsi per la prima volta, prova a farlo di nuovo. L'utente continua a fare questi tentativi finché ea meno che non sia in grado di autenticarsi con successo, ottenendo così l'accesso al server SSH. Questa è considerata una pratica altamente insicura poiché un hacker può lanciare un Brute Force Attack (un attacco che tenta ripetutamente di indovinare una password finché non viene trovata la corrispondenza giusta). Di conseguenza, sarà in grado di accedere al tuo server SSH.
Ecco perché si consiglia vivamente di limitare il numero di tentativi di autenticazione per prevenire attacchi di indovinare la password guess. Il valore predefinito dei tentativi di autenticazione al server SSH è impostato su "6". Tuttavia, puoi cambiarlo a seconda del livello di sicurezza richiesto. Per questo, è necessario individuare le variabili "MaxAuthTries", decommentarle e impostarne il valore su qualsiasi numero desiderato. Volevamo limitare i tentativi di autenticazione a "3", come evidenziato nell'immagine mostrata di seguito:
Passaggio n. 9: esecuzione del server SSH in modalità test:
Ormai, abbiamo adottato tutti i passaggi di base per proteggere il nostro server SSH su Ubuntu 20.04. Tuttavia, dobbiamo ancora assicurarci che le opzioni che abbiamo appena configurato funzionino correttamente. Per questo, prima salveremo e chiuderemo il nostro file di configurazione. Dopo averlo fatto, proveremo a eseguire il nostro server SSH in modalità test test. Se viene eseguito correttamente in modalità test, significa che non ci sono errori nel file di configurazione. Puoi eseguire il tuo server SSH in modalità test eseguendo il seguente comando nel tuo terminale:
sudo sshd -t
Quando questo comando viene eseguito con successo, non visualizzerà alcun output sul terminale, come mostrato nell'immagine qui sotto. Tuttavia, se ci saranno errori nel tuo file di configurazione, l'esecuzione di questo comando renderà quegli errori sul terminale. Dovrai quindi correggere quegli errori. Solo così potrai procedere oltre.
Passaggio n. 10: ricaricare il server SSH con nuove configurazioni:
Ora, quando il server SSH è stato eseguito correttamente in modalità test, dobbiamo ricaricarlo in modo che possa leggere il nuovo file di configurazione, i.e., le modifiche che abbiamo apportato al file di configurazione SSH nei passaggi mostrati sopra. Per ricaricare il server SSH con nuove configurazioni, è necessario eseguire il seguente comando nel terminale:
sudo service sshd ricarica
Se il tuo server SSH viene riavviato correttamente, il terminale non visualizzerà alcun output, come mostrato nell'immagine seguente:
Passaggi avanzati per proteggere il server SSH in Ubuntu 20.04:
Dopo aver eseguito tutti i passaggi di base per proteggere il server SSH in Ubuntu 20.04, puoi finalmente passare ai passaggi avanzati. Questo è solo un passo avanti per proteggere il tuo server SSH. Tuttavia, se intendi raggiungere solo un livello di sicurezza moderato, i passaggi sopra descritti saranno sufficienti. Ma se vuoi andare un po' più lontano, puoi seguire i passaggi spiegati di seguito:
Passaggio n. 1: apertura di ~/.ssh/file_keys_autorizzati:
I passaggi di base per proteggere il server SSH sono implementati all'interno del file di configurazione SSH. Significa che queste politiche rimarranno valide per tutti gli utenti che proveranno ad accedere al server SSH. Implica anche che i passaggi di base rappresentino un metodo generico per proteggere il server SSH. Tuttavia, se proviamo a considerare il principio della "Difesa in profondità", ci renderemo conto che dobbiamo proteggere ogni singola chiave SSH separatamente. Questo può essere fatto definendo parametri di sicurezza espliciti per ogni singola chiave. Le chiavi SSH sono memorizzate nel ~/.ssh/authorized_keys, quindi accederemo prima a questo file per modificare i parametri di sicurezza. Eseguiremo il seguente comando nel terminale per accedere a ~/.file ssh/authorized_keys:
sudo nano ~/.ssh/chiave_autorizzateL'esecuzione di questo comando aprirà il file specificato con l'editor nano. Tuttavia, puoi utilizzare anche qualsiasi altro editor di testo a tua scelta per aprire questo file. Questo file conterrà tutte le chiavi SSH che hai generato finora.
Passaggio n. 2: definizione di configurazioni specifiche per chiavi particolari:
Per ottenere un livello di sicurezza avanzato, sono disponibili le seguenti cinque opzioni:
- no-agente-inoltro
- nessun port forwarding
- no-pty
- no-user-rc
- no-X11-inoltro
Queste opzioni possono essere scritte prima di qualsiasi chiave SSH di tua scelta per renderle disponibili per quella particolare chiave. È possibile configurare anche più di un'opzione per una singola chiave SSH. Ad esempio, se vuoi disabilitare il port forwarding per una chiave particolare o, in altre parole, vuoi implementare il no-port forwarding per una chiave specifica, la sintassi sarà la seguente:
DesiredSSHKey senza port forwardingQui, invece della DesiredSSHKey, avrai una chiave SSH effettiva all'interno del tuo ~/.file ssh/authorized_keys. Dopo aver applicato queste opzioni per le chiavi SSH desiderate, dovrai salvare il ~/.ssh/authorized_keys e chiudilo. Un aspetto positivo di questo metodo avanzato è che non richiederà di ricaricare il server SSH dopo aver apportato queste modifiche. Piuttosto queste modifiche verranno lette automaticamente dal tuo server SSH.
In questo modo, sarai in grado di proteggere in profondità ogni chiave SSH applicando i meccanismi di sicurezza avanzati.
Alcuni suggerimenti aggiuntivi per proteggere il server SSH in Ubuntu 20.04:
Oltre a tutti i passaggi di base e avanzati che abbiamo preso sopra, ci sono anche alcuni suggerimenti aggiuntivi che possono rivelarsi molto utili per proteggere il server SSH in Ubuntu 20.04. Questi suggerimenti aggiuntivi sono stati discussi di seguito:
Mantieni i tuoi dati crittografati:
I dati che risiedono sul tuo server SSH, così come quello che rimane in transito, devono essere crittografati e anche quello, con un algoritmo di crittografia forte. Ciò non solo proteggerà l'integrità e la riservatezza dei tuoi dati, ma impedirà anche che la sicurezza dell'intero server SSH venga compromessa.
Mantieni aggiornato il tuo software:
Il software che gira sul tuo server SSH deve essere aggiornato. Questo viene fatto per garantire che nessun bug di sicurezza nel software rimanga incustodito. Piuttosto dovrebbero essere riparati bene in tempo. Ciò ti salverà da potenziali danni a lungo termine e impedirà anche che il tuo server si interrompa o non sia disponibile a causa di problemi di sicurezza.
Assicurati che SELinux sia abilitato:
SELinux è il meccanismo che pone le basi della sicurezza all'interno dei sistemi basati su Linux. Funziona implementando il Controllo di Accesso Obbligatorio (MAC). Implementa questo modello di controllo degli accessi definendo le regole di accesso nella sua politica di sicurezza. Questo meccanismo è abilitato per impostazione predefinita. Tuttavia, gli utenti possono modificare questa impostazione in qualsiasi momento. Significa che possono disabilitare SELinux quando vogliono. Tuttavia, si consiglia vivamente di mantenere sempre SELinux abilitato in modo che possa impedire al server SSH di tutti i potenziali danni.
Usa criteri rigorosi per le password:
Se hai protetto il tuo server SSH con password, devi creare criteri di password forti. Idealmente, le password dovrebbero essere lunghe più di 8 caratteri. Dovrebbero essere cambiati dopo un periodo di tempo specificato, ad esempio ogni 2 mesi. Non devono contenere parole del dizionario; piuttosto, dovrebbero essere una combinazione di alfabeti, numeri e caratteri speciali. Allo stesso modo, puoi definire alcune altre misure extra rigorose per le tue politiche sulle password per assicurarti che siano abbastanza forti.
Monitora e mantieni i registri di controllo del tuo server SSH:
Se qualcosa va storto con il tuo server SSH, il tuo primo aiuto possono essere i log di controllo. Pertanto, è necessario continuare a mantenere tali registri in modo da poter risalire alla causa principale del problema. Inoltre, se continui a monitorare continuamente lo stato di salute e il funzionamento del tuo server SSH, ciò eviterà anche che si verifichino problemi importanti in primo luogo.
Mantieni backup regolari dei tuoi dati:
Ultimo ma non meno importante, dovresti sempre mantenere un backup dell'intero server SSH. In questo modo non solo salverai i tuoi dati dall'essere danneggiati o completamente persi; piuttosto, puoi anche usare questo server di backup ogni volta che il tuo server principale va giù. Ciò limiterà anche i tempi di inattività del server e ne garantirà la disponibilità.
Conclusione:
Prendendo cura di tutte le misure che sono state prescritte in questo articolo, puoi facilmente proteggere o rafforzare il tuo server SSH in Ubuntu 20.04. Tuttavia, se provieni da un background di sicurezza delle informazioni, devi essere ben consapevole di questo fatto che non esiste niente come la sicurezza al 100%. Tutto ciò che possiamo ottenere è la promessa del miglior sforzo, e quel miglior sforzo sarà sicuro solo fino al momento in cui verrà anche violato. Ecco perché anche dopo aver preso tutte queste misure, non puoi dire che il tuo server SSH è sicuro al 100%; piuttosto, potrebbe ancora avere tali vulnerabilità a cui non avresti mai nemmeno pensato. Tali vulnerabilità possono essere risolte solo se teniamo d'occhio il nostro server SSH e continuiamo ad aggiornarlo ogni volta che è necessario.
