[bglug] Connessioni Ssh

[Fleur]

>> SSHD  in ascolto NON sulla default port ?
> sshd sempre aggiornato e in ascolto sulla porta di default solo
> quando strettamente necessario

Personalmente preferisco portare la porta SSH al di fuori del
range 1-1024 (magari senza riconfigurare il demone SSHD, ma sfruttando
le potenzialita' di port-translator del router/gateway/firewall)

Eventualmente poi credo interessante (solo letto, mai fatto!) di "aprire"
delle finestre temporali di 15 secondi in cui il servizio sshd rimane in 
ascolto e subito dopo viene chiuso,
non e' difficile da implementare tramite cron , e l'unica accortezza e'
quella di lanciare uno script appena loggati per "sospendere" la chiusura 
automatica del demone.
[ E' ovviamente FONDAMENTALE tenere in sync l'orologio tramite un servizio 
NTP)

Ipotizzando di poterci collegare solo al minuto 1, 11, 21, 31, 41, 51 il tuo 
servizio rimane
soggetto ad attacchi solo per 15secondi*6volte/ora quindi un totale di un 
minuto e mezzo ogni ora ...

In caso di eventuale port-scanning non e' cosi' facile ne' trovarti, ne' 
poterti ricontattare ....

>e se possibile solo da determinati indirizzi IP filtrati via iptables.
Questa e' la condizione IDEALE...
In queste condizioni NON mi preoccupo di nulla, visto che so' che potranno 
collegarsi solo da
determinati indirizzi ip fissi ...
Al massimo mi preoccupo di loggare data+ora+credenziali di ogni singola 
sessione ssh aperta ...

Che dite ?

Ciao Fleur