Primer di base per la protezione di SSH

(Super sicuro) Secure Shell semplificato

Lo scambio di chiavi è importante per Secure SSH
Lo scambio di chiavi è importante per Secure SSH

Ammettiamolo, protezione Secure Shell (o SSH) può essere confuso quanto la trama di film Primer. Ma, come il film, ne vale la pena. Sebbene tu possa trovare un file guida completa su shell sicura protetta online, ti forniremo una panoramica di alcune delle migliori pratiche che devi seguire se vuoi davvero essere sicuro quando usi SSH. Potresti essere sorpreso di quanto sia facile ascoltare se non è impostato correttamente.

Best practice per la protezione di SSH

Ecco un riepilogo delle cose principali che devi considerare attentamente se usi SSH e vuoi rimanere sicuro.

  • Scambio di chiavi - Fondamentalmente, vorrai usare: Diffie-Hellman o Elliptic Curve Diffie-Hellman per eseguire uno scambio di chiavi. Questo perché entrambi forniscono segretezza in avanti, il che rende più difficile per le persone ficcare il naso. Come probabilmente saprai, OpenSSH attualmente supporta 8 protocolli di scambio di chiavi. Quelli che vuoi usare sono curva25519-sha256: ECDH terminato Curve25519 con SHA2 OR Diffie-Hellman-gruppo-scambio-sha256: DH personalizzato con SHA2.
  • Autenticazione del server - È possibile utilizzare quattro algoritmi a chiave pubblica per l'autenticazione del server. Di questi quattro, la soluzione migliore (per essere sicuri) è utilizzare RSA con SHA1 per le esigenze di autenticazione del server. Il trucco sta nell'assicurarti di disabilitare gli algoritmi di chiave pubblica che NON utilizzerai. Questo è facilmente gestibile con pochi comandi. Assicurati che i file di inizializzazione non ricarichino le chiavi che non vuoi usare.
  • Autenticazione client - Dopo aver impostato qualcosa di più sicuro, assicurati di disabilitare l'autenticazione della password, che è vulnerabile agli attacchi di forza bruta. È molto meglio usare l'autenticazione con chiave pubblica, proprio come sul lato server. Un'altra opzione è utilizzare OTP (password monouso) per rendere più difficile per i malintenzionati spiare la tua connessione dati sicura per cercare di saperne di più su di te.
  • Autenticazione utente - Questo è un aspetto importante della configurazione di un server per accettare connessioni SSH veramente sicure. Fondamentalmente, vuoi creare una whitelist di utenti autorizzati. In questo modo si impedirà a chiunque non sia nell'elenco di tentare di accedere. Se hai un numero elevato di utenti che si connetteranno al server tramite SSH, ti consigliamo di utilizzare AllowGroups invece di AllowUser, ma è ancora relativamente facile da configurare.
  • Cifre simmetriche - Quando si tratta di cifre simmetriche, sono disponibili alcuni algoritmi. Ancora una volta, sta a te scegliere i migliori per la sicurezza. In questo caso, vorrai utilizzare chacha20-poly1305@openssh.com, aes256-gcm@openssh.com, aes128-gcm@openssh.com, aes256-ctr, aes192-ctr e aes128-ctr.
  • Codici di autenticazione dei messaggi - Se stai utilizzando una modalità di cifratura AE, non dovrai preoccuparti dei MAC perché sono già inclusi. D'altra parte, se hai scelto il percorso CTR, vorrai utilizzare MAC per taggare ogni messaggio. Encrypt-then-MAC è l'unico metodo che dovrebbe essere usato se vuoi assicurarti di essere il più sicuro possibile quando usi SSH.
  • Analisi del traffico - Ultimo ma non meno importante, vorrai usare Tor servizi nascosti per i tuoi server SSH. Usando questo, renderai le cose ancora più difficili per i cattivi aggiungendo un ulteriore livello di protezione. Se non stai utilizzando la LAN, assicurati di disattivarla.

Quando hai finito di controllare e modificare tutto quanto sopra, vorrai correre ssh - v per verificare le modifiche apportate al sistema. Quel semplice comando elencherà tutti gli algoritmi che hai deciso di utilizzare in modo da poter ricontrollare facilmente il tuo lavoro.

Inoltre, indurisci il tuo sistema!

Questi sono buoni consigli per in qualsiasi server connessi a Internet, ma sono anche estremamente utili per assicurarsi che le connessioni SSH siano il più sicure possibile.

  • Installa solo il software necessario. Più codice equivale a maggiori opportunità per bug e exploit che possono essere utilizzati da hacker malintenzionati.
  • Usa il FOSS (Software gratuito / open source) quando possibile per garantire l'accesso al codice sorgente. Questo ti permetterà di controllare tu stesso il codice.
  • Aggiorna il tuo software più spesso possibile. Questo ti aiuterà a evitare problemi noti che possono essere sfruttati dai cattivi.

Come accennato, i suggerimenti sopra sono cose che dovresti fare indipendentemente dal fatto che tu stia cercando di proteggere le tue connessioni SSH al server.

L'SSL Takeaway

La conclusione di SSL è che anche se qualcosa ha la parola "sicuro" o "sicurezza" nel suo nome, non significa che sarà il più resistente possibile contro gli attacchi se non lo si imposta correttamente. Se sei responsabile di un server e usi spesso SSH per connetterti ad esso (o permetti ad altri di farlo), vorrai prenderti il ​​tempo per configurarlo correttamente per assicurarti di avere la massima sicurezza.

In SSL.com, crediamo nella creazione di Best practice SSL il più facile da capire e implementare possibile.

Chris Kemmerer

Tutti i messaggi

Articoli Correlati

Visualizza tutti gli articoli
Facebook Youtube Twitter Github

Iscriviti alla Newsletter di SSL.com

Cos'è SSL /TLS?

Riproduci video

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.

Partecipa al sondaggio