La seguente configurazione può fornire un livello di sicurezza più elevato pur mantenendo un certo grado di compatibilità e ridurre la complessità della configurazione.
ATTENZIONE: la seguente configurazione non è compatibile con tutti i client
# Change the port number avoid automated attack
Port 2222
# Limit to SSH2 only (the default value)
Protocol 2
# Use RSA and Ed25519 host key only
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
# Turn on Privilege Separation (should be on by default)
UsePrivilegeSeparation sandbox
# No root login, obvious
PermitRootLogin no
# Log the finger print of public key used to login, provide audit trails. Might take up more storage.
LogLevel VERBOSE
# 2 Factor Authentication. User must present a valid public key first, then enter the correct password to login
AuthenticationMethods publickey,password
# How fast you can type your password?
LoginGraceTime 20
# Key Exchange
KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
# Ciphers
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes128-ctr
# MACs
MACs [email protected],[email protected],[email protected],
# Only allow specific group member login via SSH
AllowGroups ssh-user
# Renew encryption key every 30 minutes or 1 GB of transferred data (overkill & generate overhead, use with caution, especially on slow network)
#RekeyLimit 1G 1800
Rimuovi moduli sotto 3072 bit per sicurezza (Grazie Mozilla)
awk '$5 >= 3071' /etc/ssh/moduli > /etc/ssh/moduli.tmp && mv /etc/ssh/moduli.tmp /etc/ssh/moduli
La sicurezza può ulteriormente migliorare con ulteriori modifiche come firewall (iptables), fail2ban, servizio nascosto di Tor, passaggio a moduli personalizzati e tcpwrapper, ma questi argomenti sono fuori ambito in questa risposta. Si noti che la configurazione non è completata, potrebbero essere necessarie altre parti essenziali affinché il daemon funzioni. Ricordati di eseguire il backup del file di configurazione originale in modo da poter eseguire il rollback se qualcosa va storto.