::: info
Questa pagina definisce i protocolli per blindare l'accesso remoto e proteggere i servizi di rete su macchine Debian/Ubuntu. Applichiamo il principio del Minimo Privilegio e della Difesa in Profondità.
:::
Il servizio SSH è la porta d'ingresso principale. Lasciarlo con le impostazioni di default è un rischio critico.
Dimentica le password. Le chiavi ED25519 sono più corte, veloci e sicure delle vecchie RSA.
# Generazione sul client (PC di casa/Lavoro)
ssh-keygen -t ed25519 -C "nome_macchina_lavoro"
Modifica /etc/ssh/sshd_config con questi parametri restrittivi:
# Disabilita il login come root
PermitRootLogin no
# Disabilita l'autenticazione tramite password
PasswordAuthentication no
# Forza l'uso di protocolli moderni
PubkeyAuthentication yes
# Limita il numero di tentativi di login
MaxAuthTries 3
# (Opzionale) Cambia la porta per ridurre il rumore nei log dei bot
Port 2222
Riavvia il servizio: sudo systemctl restart ssh
La politica di default deve essere: Nega tutto in ingresso, consenti tutto in uscita.
# Imposta i default
sudo ufw default deny incoming
sudo ufw default allow outgoing
# Consenti SSH (usa la porta corretta se l'hai cambiata)
sudo ufw allow 22/tcp
# Consenti traffico web (se necessario per il server)
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
# Abilita il firewall
sudo ufw enable
Fail2Ban scansiona i log di sistema e banna temporaneamente (o permanentemente) gli IP che mostrano comportamenti malevoli (troppi tentativi di login falliti).
sudo nala install fail2ban -y
# Crea una configurazione locale (non modificare la .conf direttamente)
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
jail.localConfigura il ban automatico per SSH:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 1h
findtime = 10m
Per un server (come il tuo Mac Pro 2013), non puoi permetterti di lasciare vulnerabilità note aperte per settimane.
sudo nala install unattended-upgrades -y
sudo dpkg-reconfigure -plow unattended-upgrades
iptables. Verifica sempre che le porte esposte da Docker non scavalchino le regole di UFW.lynis audit system (visto nella Pagina Indice) per identificare nuovi punti deboli.Tags: #Linux #Security #Hardening #UFW #SSH #Fail2Ban*