Laser Office s.a.s di Magnaterra Alessandro & C.

Ubuntu Linux – configurare sshd_config

Posted by xer su 19 dicembre 2009


A volte capita di dovere installare una distribuzione linux al volo con le impostazioni di base di openssh.
Oppure ci è stato consentito accedere da remoto ad una macchina appena installata con i parametri di base.

E’ importante che alcune piccole impostazioni di sicurezza debbano essere fatte al file:

/etc/ssh/sshd_config

Ipotizzando di lavorare ad un sistema remoto al quale non si ha accesso fisicamente, ottenuto l’accesso con diritti di amministratore root, consiglio vivamente di tenere una sessione aperta dalla quale non ci si deve MAI sloggarsi, prima di essere sicuri di avere completato le modifiche e che siano andate a buon fine.
Fatta questa importante premessa, mi limito a segnalare solo alcune piccole modifiche da applicare, per avere un minimo di sicurezza.

Prima di tutto, creiamo un utente con un nome diverso da “root”, come ad esempio “karaba”:

~# adduser karaba
Adding user `karaba’ …
Adding new group `karaba’ (1002) …
Adding new user `karaba’ (1002) with group `karaba’ …
Creating home directory `/home/karaba’ …
Copying files from `/etc/skel’ …
Enter new UNIX password:
Retype new UNIX password:

Immettiamo una BUONA password due volte e verifichiamo se è stata creata la dir dell’utente e se è correttamente presente in /etc/passwd:

# ls -la /home
total 16
drwxr-xr-x 4 root root 4096 2009-12-11 18:30 .
drwxr-xr-x 23 root root 4096 2009-12-01 16:50 ..
drwxr-xr-x 3 karaba karaba 4096 2009-12-10 22:35 karaba

# cat /etc/passwd
karaba:x:1001:1001:karaba,,,:/home/karaba:/bin/bash

Accertati che l’utente è stato creato correttamente, lo inseriamo nella lista /etc/sudoers per abilitarlo al comando “sudo”:

# echo “karaba ALL=(ALL) ALL” >> /etc/sudoers

verifichiamo

# cat /etc/sudoers
# User privilege specification
root ALL=(ALL) ALL
karaba ALL=(ALL) ALL

Adesso, modifichiamo alcuni parametri del nostro /etc/ssh/sshd_config.
Apriamo il file in oggetto con il nostro editor preferito:

# nano /etc/ssh/sshd_config

Impostiamo su quale indirizzo ip vogliamo che il demone ssh sia abilitato al bind (in ascolto), decommentiamo il parametro “ListenAddress” ed inseriamo il nostro IP:

ListenAddress 212.95.121.34

Questo perchè si possono avere alcuni alias IP nella stessa scheda di rete e/o diverse schede di rete, avere un demone ssh in ascolto su tutte le interfacce come da default (es. ListenAddress 0.0.0.0) non è molto sicuro.

Possiamo anche variare la porta di ascolto, dalla canonica e standard 22 a qualsiasi altra che non sia in uso da altri servizi:

Port 45

Un ultimo parametro da variare, molto importante è il seguente:

cambiare da:
PermitRootLogin yes
a:
PermitRootLogin no

In questo modo, neanche voi che conoscete la password di root, potete accedere al sistema.

A questo punto salvate il file ed eseguite il restart del demone:

/etc/init.d/ssh restart

Adesso, aprite un altra sessione ssh e proviamo ad accedere, non chiudete assolutamente quella con cui avete operato finora, eseguite il login con il nuovo utente “karaba”:

login as: karaba
karaba@mybox.mpxer.com’s password:

Dopo esservi loggati, per diventare root, eseguite il comando “sudo su” e reimmettete la password dell’utente “karaba”:

karaba@mybox.mpxer.com:~$ sudo su
[sudo] password for karaba:

Verifichiamo se siamo l’utente “root”:

# whoami
root

Bene, l’operazione è andata a buon fine, se tutto è andato come previsto, adesso potete sloggarvi dalla sessione principale, se invece per un qualsiasi motivo non siete riusciti a ricollegarvi, riutilizzando la prima sessione lasciata aperta, verificate tutti i parametri che avete cambiato se per caso sussiste qualche errore di digitazione, come ad esempio nel numero IP e nel numero della porta e ripetete la procedura.

Advertisements

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

 
%d blogger hanno fatto clic su Mi Piace per questo: