Ripresa degli attacchi contro ssh

Secondo Internet Storm Center gli attacchi ssh sarebbero aumentati a partire da circa una settimana fa.

Gli schemi di attacco sarebbero quelli standard, tentativi di accesso con l’utente root sulla porta 22, e possono essere vanificati con pochi, semplici ed efficaci accorgimenti.

Innanzi tutto, l’accesso all’utente root non deve essere consentito attraverso ssh, ma si devono creare utenti ad hoc per questo servizio, possibilmente con nomi non standard e non facili da indovinare. In questo modo, il nome stesso dell’utente è una sorta di password per chi deve attaccare al buio. Per fare questo, si utilizza il parametro AllowUsers nel file sshd_config. Una volta entrati con quell’utente, se è necessario operare come root, si possono utilizzare sudo oppure su.

Si può anche attivare l’autenticazione di ssh tramite una chiave pubblica anziché la password. In questo caso è bene proteggere la chiave con una password, diversamente chiunque si impossessi del file di testo che contiene la chiave di accesso potrebbe collegarsi al server che ha generato quella chiave.

Per bloccare gli attaccanti che martellano il server con vari tentativi di connessione si può utilizzare fail2ban, disponibile anche come pacchetto di installazione per molte distribuzioni. Il programma tiene d’occhio i file di log attraverso delle espressioni regolari, definibili anche dall’utente, che rivelano i tentativi di attacco. Quando un IP compare troppo spesso tra gli attaccanti, fail2ban mette in atto le azioni evasive necessarie per impedire l’accesso a quell’IP per un determinato periodo di tempo.

Opzionalmente è possibile configurare il firewall che protegge il server in modo tale da accettare connessioni ssh solamente ad un gruppo di IP. Attenzione a non rilassare troppo i controlli sulle connessioni ssh dopo aver impostato questa limitazione perché se i computer che hanno accesso ssh venissero compromessi, potrebbero portare con loro anche i server a cui hanno accesso.

È anche possibile fare in modo che il server ssh ascolti su una porta diversa dalla 22. Questo accorgimento blocca solamente gli scanner occasionali che analizzano blocchi di IP, ma nulla possono contro una scansione specifica, quindi è bene utilizzarla solamente come soluzione aggiuntiva.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Un commento su “Ripresa degli attacchi contro ssh”

  1. Se usate la chiave pubblica con password (consigliatissimo) raccomando keychain.
    E’ di una comodità impagabile: inserite la password una sola volta dopo l’accesso e poi non dovete più autenticare ne console ne servizi basati su SSH (per es. manager KVM remoto) per tutto il giorno.

    La vostra password non verrà salvata in maniera persistente ed i dati verranno richiesti al riavvio successivo quindi dal punto di vista della sicurezza dovrebbe essere accettabile.

Spazio per un commento