SSH Secure Shell
Il protocollo di shell remota cifrato su cui ogni macchina Linux del pianeta è in ascolto per default — e la porta principale di ogni VPS che spediamo.
Un protocollo di rete cifrato per operare una macchina remota come se fosse seduto alla sua console: accesso shell, trasferimento file (SCP, SFTP), forwarding arbitrario di porte TCP e proxy SOCKS. Ha sostituito il trio in cleartext telnet/rlogin/rsh a partire dal 1995. L'implementazione moderna dominante è OpenSSH, distribuita da ogni grande distribuzione Linux e BSD e da macOS.
SSH è l'intero piano di controllo del suo VPS.
Non c'è un pannello di controllo proprietario tra lei e il sistema operativo — nessun «server manager» grafico, nessun file browser astratto, nessuna shell web in stile captive-portal. Ogni VPS NordBastion atterra nelle sue mani come una macchina Linux stock in ascolto sulla porta 22 per SSH, con una singola credenziale root consegnata attraverso il pannello. SSH è l'intero piano di controllo, punto.
Quella decisione si basa sulla stessa logica del resto del prodotto: SSH è aperto, ben auditato, veloce e funziona identicamente da un laptop a Berlino, uno smartphone con Termius e un runner CI in un altro data centre. Un pannello web personalizzato sarebbe più lento, più debole e ci richiederebbe di mantenere codice che il progetto OpenSSH già mantiene meglio di quanto potremmo mai fare noi.
Le raccomandazioni opsec della prima ora sono le stesse su un VPS NordBastion che su qualsiasi macchina Linux di produzione: generi una chiave Ed25519, copi la metà pubblica sul server, disabiliti l'autenticazione con password e il login root se non serve, installi fail2ban o un equivalente, e consideri di restringere gli IP sorgente al firewall. La guida di hardening illustra ogni comando.
Le pagine che si appoggiano a questo termine.
Le domande che le persone pongono davvero.
Come mi connetto al mio VPS via SSH?
Da un terminale: `ssh [email protected]`. La prima connessione le chiede di verificare la fingerprint dell'host — la confronti con il valore mostrato nel pannello cliente prima di accettare. Dopo di che, l'autenticazione basata su chiave è il setup raccomandato: generi una coppia di chiavi Ed25519 in locale, incolli la metà pubblica in ~/.ssh/authorized_keys sul VPS e disabiliti il login con password in /etc/ssh/sshd_config. La guida di hardening della prima ora illustra ogni passo.
L'autenticazione con password è sicura?
Abbastanza sicura se la password è lunga e casuale, ma l'autenticazione basata su chiave è significativamente migliore. Una chiave forte non può essere forzata a forza bruta dagli scanner drive-by (e ce ne sono molti che colpiscono ogni IP pubblico sulla porta 22 ogni giorno), e disabilitare del tutto l'auth con password elimina un'intera classe di rumore di credential-stuffing dai suoi log. La guida di hardening raccomanda l'autenticazione solo a chiave come default.
Cos'è il port forwarding SSH?
Un modo per tunnelare traffico TCP arbitrario su una connessione SSH cifrata. Il forwarding locale (`-L`) espone un servizio remoto su una porta locale — per esempio, aprendo il PostgreSQL del VPS su localhost:5432 del suo laptop. Il forwarding remoto (`-R`) è l'inverso. Il forwarding dinamico (`-D`) configura un proxy SOCKS che instrada qualsiasi applicazione configurata per usarlo attraverso il VPS. Tutti e tre sono estremamente utili e vale la pena impararli.
Dovrei cambiare la porta SSH di default da 22?
Per lo più estetico. Spostare SSH su una porta alta casuale riduce il volume di rumore degli scanner drive-by nei suoi log ma non fa nulla contro un attaccante mirato che semplicemente scansionerà l'host. Le vere difese sono l'autenticazione solo a chiave, un rate-limiter in stile fail2ban e la limitazione degli IP sorgente a livello firewall se il suo pattern di accesso lo consente. La guida illustra tutti e tre.