linux/sshd_add_ports.adoc

Configurazione porte SSH alterative

Per aggiungere una nuova porta al servizio SSH è necessario

• Abilitare la porta in SELinux, se è attivo.

• Aprire la porta nel firewall, se attivo.

• Aggiungere la porta alla configurazione di OpenSSH.

L’aggiunta di una nuova porta, eventualmente sostitutiva di quella predefinita 22, ha lo scopo di ridurre la possibilità di violazione del servizio SSH esposto su Internet. Pertanto, le operazioni descritte sono orientate alla configurazione del servizio rispetto all’interfaccia di rete esposta sulla rete considerato ostile, in particoalre Internet.

Verifica delle porte SSH

Usare il comando netstat con l’account root:

[root@fedserv ~]# netstat -tunlp | grep ssh
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      813/sshd: /usr/sbin
tcp6       0      0 :::22                   :::*                    LISTEN      813/sshd: /usr/sbin

Configurazione SELinux

Usare il comando semanage con l’account root.

Verifica porte abilitate in SELInux per il servizio SSH

[root@fedserv ~]# semanage port -l | grep ssh
ssh_port_t                    tcp      22

Abilitazione porta alternativa, ad es. 2222

[root@fedserv ~]# semanage port -a -p tcp -t ssh_port_t 2222

# Verifica
[root@fedserv ~]# semanage port -l | grep ssh
ssh_port_t                     tcp      2222, 22

Comando per la rimozione di una porta dall’abilitazione SELinux

[root@fedserv ~]# semanage port -d -t ssh_port_t -p tcp 2222

Configurazione firewall

La configurazione del firewall potrebbe non essere necessaria se la zona attiva sull’interfaccia di rete considerata comprende già la porta da aprire.

Si consideri la seguente configurazione predefinita estratta dal mini-pc minis nel quale è installato il software di virtualizzazione.

Tip	Il filtro grep seleziona l’output del comando firewall-cmd a partire dalle righe che contengono la paraola active e le successive 13 righe.

[camoroso@minis ~]$ firewall-cmd --list-all-zones |grep -A 13 active
FedoraWorkstation (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp3s0
  sources:
  services: dhcpv6-client mdns samba samba-client ssh
  ports: 1025-65535/udp 1025-65535/tcp
  protocols:
  forward: yes
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
--
libvirt (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces: virbr0
  sources:
  services: dhcp dhcpv6 dns ssh tftp
  ports:
  protocols: icmp ipv6-icmp
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

L’output mostra che risultano attive due zone: FedoraWorkstation e libvirt. La prima è associata all’interfaccia di rete fisica enp3s0; la seconda all’interfaccia virtuale virtbr0 (bridge) definita dal virtualizzatore per le connessioni fra macchine virtuali.

Il caso d’interesse è evidentemente quello che consente l’accesso SSH da Internet, ovvero, in questo caso, all’interfaccia di rete fisica enp3s0. La zona attiva su quest’interfaccia, FedoraWorkStation prevede già l’apertura delle porte di valore uguale o superiore a 1025 e, quindi, della porta scelta 2222.

Se la zona attiva sull’interfaccia esterna non prevedesse già l’apertura della porta d’interesse, provvedere all’apertura con i seguenti comandi.

Apertura porta firewall

# Configurazione peristente del firewall
[root@minis ~]# firewall-cmd --permanent --service="ssh" --add-port="2222/tcp"

# Attivazione della configurazione
[root@minis ~]# firewall-cmd --reload