README.it.md
March 7, 2026 · View on GitHub
ssh-audit-kit
Audit di sicurezza SSH, hardening e reporting in un unico script shell.
Uno script. Un comando. Visibilità completa.
English | 한국어 | 日本語 | Deutsch | Français | Español | Português | Italiano
Cos'è ssh-audit-kit?
ssh-audit-kit analizza la configurazione SSH, i log degli attacchi, i sistemi di difesa e la robustezza degli algoritmi, generando un report con punteggio (da A+ a F) e raccomandazioni operative. Quando sei pronto, un singolo comando applica l'hardening con backup automatico e rollback.
Funzionalità
- Analisi della configurazione sshd -- analizza la configurazione principale + file drop-in, rileva conflitti e sovrascritture
- Analisi dei log degli attacchi -- tentativi falliti, IP principali, nomi utente tentati, pattern temporali (ultimi 7 giorni)
- Stato di fail2ban -- attività delle jail, IP bloccati, configurazione
- Integrazione con ssh-audit -- robustezza degli algoritmi, rilevamento di cifrari deboli
- Controllo CVE di OpenSSH -- CVE-2024-6387 (regreSSHion), CVE-2023-48795 (Terrapin)
- Punteggio di sicurezza -- scala a 100 punti su 5 categorie, valutazione da A+ a F
- Hardening automatico -- hardening sicuro con un singolo comando, con backup e rollback
- Output JSON -- report leggibile dalle macchine per l'automazione
Avvio Rapido
curl -fsSL https://raw.githubusercontent.com/deep-on/ssh-audit-kit/main/ssh-audit-kit.sh -o ssh-audit-kit
chmod +x ssh-audit-kit
./ssh-audit-kit check # controlli di sicurezza (sola lettura)
./ssh-audit-kit report # report con punteggio
./ssh-audit-kit report --json # output JSON
sudo ./ssh-audit-kit harden # applica l'hardening
Esempio di Report
╔══════════════════════════════════════════════════╗
║ ssh-audit-kit v1.0.0 ║
║ SSH Security Report ║
╚══════════════════════════════════════════════════╝
System: Ubuntu 22.04 | OpenSSH 8.9p1
── Authentication Security ─────────────── [28/30]
✔ PasswordAuthentication no
✔ PermitRootLogin no
✔ PubkeyAuthentication yes
✔ MaxAuthTries 3
△ KbdInteractiveAuthentication not explicitly set
── Network Security ────────────────────── [20/20]
✔ Non-standard port (51022)
✔ AllowTcpForwarding no
✔ X11Forwarding no
✔ Compression no
── Algorithm Strength ──────────────────── [20/20]
✔ No weak algorithms detected
✔ ssh-audit: 0 fail, 0 warn
── Defense System ──────────────────────── [15/15]
✔ fail2ban active (sshd jail enabled)
✔ MaxStartups 10:30:100
✔ MaxAuthTries 3
── Logging & Monitoring ────────────────── [13/15]
✔ LogLevel VERBOSE
△ No remote logging configured
══════════════════════════════════════════════════
Score: 96/100 Grade: A+
"Excellent SSH security configuration"
══════════════════════════════════════════════════
Sistema di Punteggio
| Categoria | Max | Cosa viene verificato |
|---|---|---|
| Autenticazione | 30 | Autenticazione a chiave, login root, password vuote, restrizioni di accesso |
| Rete | 20 | Porta, forwarding, compressione |
| Robustezza degli Algoritmi | 20 | Cifrari/MAC/KEX deboli tramite ssh-audit |
| Difesa | 15 | fail2ban, MaxStartups, impostazioni client alive |
| Logging | 15 | LogLevel, accessibilità dei log, analisi degli attacchi |
| Voto | Punteggio | Descrizione |
|---|---|---|
| A+ | 95-100 | Eccellente |
| A | 85-94 | Forte |
| B | 70-84 | Buono, alcuni miglioramenti consigliati |
| C | 50-69 | Moderato, miglioramenti necessari |
| D | 30-49 | Debole, azione immediata richiesta |
| F | 0-29 | Critico, azione urgente richiesta |
Hardening
ssh-audit-kit harden scrive in /etc/ssh/sshd_config.d/hardening.conf (non modifica mai la configurazione principale):
- Disabilita l'autenticazione tramite password, il login root, il forwarding e la compressione
- Imposta limiti di sessione rigorosi e timeout client alive
- Valida con
sshd -tprima di applicare - Rollback automatico in caso di errore nella validazione
- Backup con timestamp prima di ogni modifica
Requisiti
- Bash 4.0+
- Server OpenSSH (sshd)
- Opzionale: ssh-audit -- per l'analisi degli algoritmi
- Opzionale: fail2ban -- per lo stato della difesa
Sistemi Supportati
- Ubuntu 20.04 / 22.04 / 24.04
- Debian 11 / 12
- RHEL / CentOS / Rocky / Alma 8 / 9