From fb953abc9bd0a7b7ec5750599162df4bfc6c5dd2 Mon Sep 17 00:00:00 2001 From: Celestino Amoroso Date: Mon, 21 Aug 2023 06:22:49 -0400 Subject: [PATCH] Documento completato --- sshd_add_ports.adoc | 68 +++++++++++++++++++++++++++++++++++++++++++-- 1 file changed, 66 insertions(+), 2 deletions(-) diff --git a/sshd_add_ports.adoc b/sshd_add_ports.adoc index c6ec614..7839e68 100644 --- a/sshd_add_ports.adoc +++ b/sshd_add_ports.adoc @@ -1,5 +1,8 @@ +# Porte SSH +:author: C. Amoroso (celestino.amoroso@gmail.com) + ## Configurazione porte SSH alterative -Per aggiungere una nuova porta al servizio SSH è necessario +Per aggiungere una nuova porta al servizio SSH di OpenSSH è necessario * Abilitare la porta in SELinux, se è attivo. * Aprire la porta nel firewall, se attivo. @@ -44,6 +47,21 @@ ssh_port_t tcp 2222, 22 [root@fedserv ~]# semanage port -d -t ssh_port_t -p tcp 2222 ---- +[TIP] +==== +Le indicazioni per l'abilitazione SELinux di porte SSH alterative sono riportate anche nel file di configurazione del servizio di OpenSSH `/etc/ssh/sshd_config`: + +[shell,sh] +---- +# If you want to change the port on a SELinux system, you have to tell +# SELinux about this change. +# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER +# +#Port 22 +---- + +==== + ### Configurazione firewall La configurazione del firewall potrebbe non essere necessaria se la zona attiva sull'interfaccia di rete considerata comprende già la porta da aprire. @@ -93,7 +111,7 @@ La zona attiva su quest'interfaccia, _FedoraWorkStation_ prevede già l'apertura Se la zona attiva sull'interfaccia esterna non prevedesse già l'apertura della porta d'interesse, provvedere all'apertura con i seguenti comandi. .Apertura porta firewall -[source,bash] +[source,ssh] ---- # Configurazione peristente del firewall [root@minis ~]# firewall-cmd --permanent --service="ssh" --add-port="2222/tcp" @@ -102,3 +120,49 @@ Se la zona attiva sull'interfaccia esterna non prevedesse già l'apertura della [root@minis ~]# firewall-cmd --reload ---- +### Configurazione servizio SSH +La configurazione del servizio SSH di OpenSSH è normalmente definita nel file `/etc/ssh/sshd_config`. Il numero di porta d'ascolto per le richieste di connessione si imposta con il parametro `Port`; questo parametro può essere utilizzato più volte per attivare altrettante porte d'ascolto. + +NOTE: Quando si imposta una porta diversa da quella predefinita (*22*), quest'ultima non è più attivata, a meno di aggiungere esplicitamente l'importazione `Port 22`. + +A partire da OpenSSH v8.2 è possibile definire porzioni di configurazione in file dedicati che il programma _sshd_ può incorporare nella configurazione principale mediante la paraola chiave _Include_. Nel file di configurazione principale è presente la dichiarazione + +[source,ssh] +==== +# To modify the system-wide sshd configuration, create a *.conf file under +# /etc/ssh/sshd_config.d/ which will be automatically included below +Include /etc/ssh/sshd_config.d/*.conf +==== + +Quindi, piuttosto che modificare il file di configurazione principale, conviene creare un file dedicato, ad esempio `/etc/ssh/sshd_config.d/alternate_port.conf` con il seguente contenuto: + +.Configurazione porta in *alternate_port.conf* +[source,ssh] +---- +# Alternate listenting port +# C. Amoroso, 21/08/2023 +Port 2222 +---- + + +### Configurazione systemd +Per il sistema operativo Fedora, e probabilmente per altri basati su _systemd_, è presente una specifica configurazione per il servizio _sshd_. Non mi è ancora chiaro se e quando va impostata. Probabilmente tale configurazione entra in gioco quando si utilizza il super-demone Internet di _systemd_ invece del listener di _sshd_. + +Il comando per l'impostazione è il seguente. + +[source,sh] +---- +[root@minis ~]# systemctl edit sshd.socket +Successfully installed edited file '/etc/systemd/system/sshd.socket.d/override.conf'. +---- + +Nel mini-pc ho impostato la configurazione come segue: + +[source,conf] +---- +[root@minis ~]# cat /etc/systemd/system/sshd.socket.d/override.conf +[Socket] +ListenStream=2222 +---- + +Ribadisco che, almendo rispetto all'uso standard di _sshd_, non rilevo differenze di comportamento agendo sulla configurazione _systemd_.