Editiamo con il nostro editor preferito il file di configurazione di ssh che si trova in:

/etc/ssh/sshd_config

Port 22

Di default viene aperta la porta 22 ma se non vogliamo essere scovati da un port scanner consiglio di cambiarla scegliendone una superiore alla 1024.

Port 2223

Port 80

La porta 80 è utile se dobbiamo connetterci da una lan che non autorizza le connessioni su porte particolari come la 2223.

ListenAddress 0.0.0.0

è utile cambiarlo con l'indirizzoIP specifico nel quale ci si aspettano connessioni, ma lasciamolo così se ci connettiamo da pc diversi.

Protocol 2

Indica il protocollo di sicurezza da usare il 2 è quello più aggiornato e sicuro, l’1 non conviene utilizzarlo.

UsePrivilegeSeparation yes

yes è il valore di default, e indica che per ogni login viene creato un processo figlio con i privilegi dell'user che ha effettuato il login per evitare tecniche di "privilege escalation".

ServerKeyBits 2048

Dice quanti bit devono essere utilizzati perla creazione della chiave di criptazione della connessione. Si preferisce di solito utilizzare 1024 che è un buon compromesso tra velocità ed efficacia di crittazione. Io preferisco 2048.

SyslogFacility AUTH

LogLevel INFO

Ci indica il grado di prolissità dei log. I valori possibili sono QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2, DEBUG3. Utilizzare un flag di DEBUG viola la privacy degli utenti pertanto non è consigliato

LoginGraceTime 15

Rappresenta il tempo massimo in secondi che intercorre tra il momento in cui viene stabilita la connessione e quello in cui avviene un login con successo, 15 secondi è ottimo per scoraggiare i curiosi.

KeyRegenerationInterval 3600

Rappresenta il massimo tempo in secondi che il demone aspetta prima di rigenerare una nuova chiave per la connessione corrente e non deve essere eccessivamente elevato per evitare il cracking della chiave.

PermitRootLogin no

In genere di default è impostato su yes ma è altamente sconsigliato permettere ad un utente di effettuare il login remoto come root; è molto più sicuro far si che si effettui un login come normal user e da li guadagnare i permessi di root.

IgnoreRhosts yes

Dichiara di ignorare i files rhosts e shosts per l'autenticazione.

StrictModes yes

Questo serve per proteggere i files nelle home degli user che di solito vengono lasciati "world-writable".

RSAAuthentication yes

Indica se sono concessi i login con solo RSA

PasswordAuthentication yes

Indica se utilizzare come metodo di accesso le password.

PermitEmptyPasswords no

Non permette i login senza user o senza password.

IgnoreRhosts yes

Dichiara di ignorare i files rhosts e shosts per l'autenticazione.

IgnoreUserKnownHosts yes

Dice al daemon di ignorare la lista degli hosts conosciuti presente in $HOME/.ssh/known_hosts durante la RhostsRSAAuthentication.

X11Forwarding no

Ci permette di disabilitare o abilitare il forwarding su X11. Se non abbiamo una GUI installata nel server si usa no.

PrintMotd yes

Abilita la visualizzazione di /etc/motd a login avvenuto.

AllowUsers user1 user2

Permette il login via SSH solo agli user specificati.

Tutte le altre voci presenti nel file di configurazione che non ho citato possono rimanere default.