Pagina 1 di 1
Le best practice SSH classiche - porta non-22, root disabilitato, chiavi invece di password - le applica ormai quasi tutti. Eppure i tentativi di accesso continuano e qualche server ogni anno viene comunque compromesso. La differenza la fanno le misure avanzate: MFA per chiavi, restrizione per chiave su comandi specifici, fail2ban serio.
In questa categoria scrivo di SSH oltre le best practice: hardening avanzato che applico a tutti i VPS in produzione, SSH tunneling e port forwarding per accedere a MySQL di produzione senza esporlo su internet, restrizioni `command=` e `from=` nelle authorized_keys, audit log e alert su accessi anomali.
Se i tuoi VPS hanno bisogno di un livello di hardening superiore alle solite checklist, parliamone. Oppure scopri il mio approccio.
Accedere al database MySQL di produzione da remoto senza esporlo su internet è un requisito frequente. Con SSH tunneling si ottiene un accesso sicuro con crittografia end-to-end senza modificare il firewall. Vi mostro i comandi per i casi d'uso più comuni che uso ogni giorno: MySQL, Redis, Elasticsearch e RDP. Continua a leggere
Le best practice SSH standard (porta non-22, root disabilitato, chiavi invece di password) le applica ormai quasi tutti. Ma i tentativi di accesso continuano. Vi mostro le misure avanzate che aggiungo su VPS esposti: certificati SSH con CA interna, 2FA TOTP, AllowedUsers restrittivo e alert real-time. Continua a leggere
