::: info
Security First: In un ambiente di produzione, l'autenticazione tramite password è considerata obsoleta e insicura (vulnerabile ai botnet). Questa guida stabilisce lo standard per l'accesso remoto basato esclusivamente su chiavi crittografiche e sessioni persistenti.
:::
Dimentichiamo lo standard RSA. Le chiavi Ed25519 sono più sicure, performanti e producono firme più corte.
Esegui questo comando per generare una nuova identità:
ssh-keygen -t ed25519 -a 100 -C "nome.cognome@workstation"
-a 100: Aumenta il numero di round di hashing della passphrase (più resistente al brute-force offline).~/.ssh/configPer evitare di dover ricordare ogni volta indirizzi IP e porte, utilizziamo il file di configurazione SSH per creare degli alias.
Modifica (o crea) il file ~/.ssh/config sulla tua macchina principale:
# Impostazioni Globali
Host *
AddKeysToAgent yes
IdentitiesOnly yes
# Nodo Proxmox
Host pve
HostName 192.168.1.100
User root
Port 22
# Home Assistant VM
Host ha
HostName 192.168.1.101
User admin
IdentityFile ~/.ssh/id_ed25519_home
# Mac Pro 2013 (Ubuntu)
Host macpro
HostName 192.168.1.105
User software_eng
Vantaggio: Ora puoi collegarti semplicemente digitando ssh pve o ssh macpro.
sshd_config)Ogni server Linux deve essere blindato modificando il file /etc/ssh/sshd_config.
PermitRootLogin no (usa un utente standard con sudo).PasswordAuthentication no.Protocol 2.MaxAuthTries 3.# Applica le modifiche
sudo systemctl restart ssh
Quando lavori su container Docker o aggiornamenti di sistema via SSH, il rischio principale è la disconnessione della rete (che interrompe il processo in corso).
tmux new -s manutenzioneCtrl+b seguito da d (la sessione continua a girare sul server).tmux attach -t manutenzione::: tip PRO-TIP
Installa Tmux su ogni server che gestisci. È l'equivalente di un "salvataggio istantaneo" per il tuo terminale.
:::
ForwardAgent no a meno che tu non debba fare git pull dal server usando le chiavi del tuo laptop. L'agente inoltrato è un potenziale rischio se il server viene compromesso.~/.ssh/id_ed25519) è l'unica prova della tua identità. Conservane una copia criptata sul tuo NAS Synology/QNAP.Tags: #SSH #RemoteManagement #Security #Tmux #SysAdmin #Networking*