README.it.md

March 7, 2026 · View on GitHub

ssh-audit-kit

Audit di sicurezza SSH, hardening e reporting in un unico script shell.
Uno script. Un comando. Visibilità completa.

English | 한국어 | 日本語 | Deutsch | Français | Español | Português | Italiano

License Bash Deps Single File


Cos'è ssh-audit-kit?

ssh-audit-kit analizza la configurazione SSH, i log degli attacchi, i sistemi di difesa e la robustezza degli algoritmi, generando un report con punteggio (da A+ a F) e raccomandazioni operative. Quando sei pronto, un singolo comando applica l'hardening con backup automatico e rollback.

Funzionalità

  • Analisi della configurazione sshd -- analizza la configurazione principale + file drop-in, rileva conflitti e sovrascritture
  • Analisi dei log degli attacchi -- tentativi falliti, IP principali, nomi utente tentati, pattern temporali (ultimi 7 giorni)
  • Stato di fail2ban -- attività delle jail, IP bloccati, configurazione
  • Integrazione con ssh-audit -- robustezza degli algoritmi, rilevamento di cifrari deboli
  • Controllo CVE di OpenSSH -- CVE-2024-6387 (regreSSHion), CVE-2023-48795 (Terrapin)
  • Punteggio di sicurezza -- scala a 100 punti su 5 categorie, valutazione da A+ a F
  • Hardening automatico -- hardening sicuro con un singolo comando, con backup e rollback
  • Output JSON -- report leggibile dalle macchine per l'automazione

Avvio Rapido

curl -fsSL https://raw.githubusercontent.com/deep-on/ssh-audit-kit/main/ssh-audit-kit.sh -o ssh-audit-kit
chmod +x ssh-audit-kit

./ssh-audit-kit check          # controlli di sicurezza (sola lettura)
./ssh-audit-kit report         # report con punteggio
./ssh-audit-kit report --json  # output JSON
sudo ./ssh-audit-kit harden    # applica l'hardening

Esempio di Report

╔══════════════════════════════════════════════════╗
║           ssh-audit-kit  v1.0.0                  ║
║           SSH Security Report                    ║
╚══════════════════════════════════════════════════╝

System: Ubuntu 22.04 | OpenSSH 8.9p1

── Authentication Security ─────────────── [28/30]
  ✔ PasswordAuthentication no
  ✔ PermitRootLogin no
  ✔ PubkeyAuthentication yes
  ✔ MaxAuthTries 3
  △ KbdInteractiveAuthentication not explicitly set

── Network Security ────────────────────── [20/20]
  ✔ Non-standard port (51022)
  ✔ AllowTcpForwarding no
  ✔ X11Forwarding no
  ✔ Compression no

── Algorithm Strength ──────────────────── [20/20]
  ✔ No weak algorithms detected
  ✔ ssh-audit: 0 fail, 0 warn

── Defense System ──────────────────────── [15/15]
  ✔ fail2ban active (sshd jail enabled)
  ✔ MaxStartups 10:30:100
  ✔ MaxAuthTries 3

── Logging & Monitoring ────────────────── [13/15]
  ✔ LogLevel VERBOSE
  △ No remote logging configured

══════════════════════════════════════════════════
  Score: 96/100    Grade: A+
  "Excellent SSH security configuration"
══════════════════════════════════════════════════

Sistema di Punteggio

CategoriaMaxCosa viene verificato
Autenticazione30Autenticazione a chiave, login root, password vuote, restrizioni di accesso
Rete20Porta, forwarding, compressione
Robustezza degli Algoritmi20Cifrari/MAC/KEX deboli tramite ssh-audit
Difesa15fail2ban, MaxStartups, impostazioni client alive
Logging15LogLevel, accessibilità dei log, analisi degli attacchi
VotoPunteggioDescrizione
A+95-100Eccellente
A85-94Forte
B70-84Buono, alcuni miglioramenti consigliati
C50-69Moderato, miglioramenti necessari
D30-49Debole, azione immediata richiesta
F0-29Critico, azione urgente richiesta

Hardening

ssh-audit-kit harden scrive in /etc/ssh/sshd_config.d/hardening.conf (non modifica mai la configurazione principale):

  • Disabilita l'autenticazione tramite password, il login root, il forwarding e la compressione
  • Imposta limiti di sessione rigorosi e timeout client alive
  • Valida con sshd -t prima di applicare
  • Rollback automatico in caso di errore nella validazione
  • Backup con timestamp prima di ogni modifica

Requisiti

  • Bash 4.0+
  • Server OpenSSH (sshd)
  • Opzionale: ssh-audit -- per l'analisi degli algoritmi
  • Opzionale: fail2ban -- per lo stato della difesa

Sistemi Supportati

  • Ubuntu 20.04 / 22.04 / 24.04
  • Debian 11 / 12
  • RHEL / CentOS / Rocky / Alma 8 / 9

Licenza

MIT