From 227b898c363aa8c8673431d89b81d8c590dfe26a Mon Sep 17 00:00:00 2001 From: Celestino Amoroso Date: Mon, 21 Aug 2023 09:42:45 +0200 Subject: [PATCH] Update sshd_add_ports.adoc --- sshd_add_ports.adoc | 19 ++++++++++++++++++- 1 file changed, 18 insertions(+), 1 deletion(-) diff --git a/sshd_add_ports.adoc b/sshd_add_ports.adoc index 9aad133..c6ec614 100644 --- a/sshd_add_ports.adoc +++ b/sshd_add_ports.adoc @@ -1,10 +1,13 @@ ## Configurazione porte SSH alterative -Per aggiungere una muova porta al servizio SSH è necessario +Per aggiungere una nuova porta al servizio SSH è necessario * Abilitare la porta in SELinux, se è attivo. * Aprire la porta nel firewall, se attivo. * Aggiungere la porta alla configurazione di OpenSSH. +L'aggiunta di una nuova porta, eventualmente sostitutiva di quella predefinita *22*, ha lo scopo di ridurre la possibilità di violazione del servizio SSH esposto su Internet. +Pertanto, le operazioni descritte sono orientate alla configurazione del servizio rispetto all'interfaccia di rete esposta sulla rete considerato ostile, in particoalre Internet. + ### Verifica delle porte SSH Usare il comando _netstat_ con l'account _root_: @@ -84,4 +87,18 @@ libvirt (active) L'output mostra che risultano attive due zone: _FedoraWorkstation_ e _libvirt_. La prima è associata all'interfaccia di rete fisica *enp3s0*; la seconda all'interfaccia virtuale *virtbr0* (bridge) definita dal virtualizzatore per le connessioni fra macchine virtuali. +Il caso d'interesse è evidentemente quello che consente l'accesso SSH da Internet, ovvero, in questo caso, all'interfaccia di rete fisica *enp3s0*. +La zona attiva su quest'interfaccia, _FedoraWorkStation_ prevede già l'apertura delle porte di valore uguale o superiore a 1025 e, quindi, della porta scelta *2222*. + +Se la zona attiva sull'interfaccia esterna non prevedesse già l'apertura della porta d'interesse, provvedere all'apertura con i seguenti comandi. + +.Apertura porta firewall +[source,bash] +---- +# Configurazione peristente del firewall +[root@minis ~]# firewall-cmd --permanent --service="ssh" --add-port="2222/tcp" + +# Attivazione della configurazione +[root@minis ~]# firewall-cmd --reload +----