SSH è la shell remota sicura per antonomasia ma non è detto che sia impenetrabile, facendo un esempio, se un lucchetto è costruito a regola d´arte, ma la chiave (cioè la password) è facile da trovare tramite un attacco Brute-Force, cioè provando moltissime chiavi possibili, il lucchetto è sicuro ma comunque sarà aperto.
Fortunatamente noi scegliamo delle password difficili (vero?), ma per Security-Hacks.com neanche questo è sufficiente.
Per rendere la Secure Shell ancora più secure vengono proposti cinque trucchi:
- cambiare la porta del server: configurando SSH per accettare connessioni su una porta diversa dalla 22 si evitano almeno gli attacchi più sempliciotti;
- disattivare l´autenticazione tramite password: si sostituiscono le password con chiavi crittografiche;
- limitare il numero di connessioni: ad esempio imponendo un limite di tre connessioni al minuto;
- disabilitare l´accesso di root: banale ma non sempre applicato;
- utilizzare dei tools Anti-Brute-Force: analizzano i log di SSH e del firewall e bloccano i tentativi troppo ripetitivi.
Per quest´ultima soluzione sono elencati numerosi programmi tra cui pam_abl, che si integra direttamente con l´autenticazione PAM (solo per unix) e SSHDFilter che intercetta l´eventuale attacco e modifica le regole del firewall per bloccare ogni tentativo di connessione del sospetto aggressore.
In fin dei conti un po´ di sana paranoia non guasta mai. O no?