1. Perché rafforzare il tuo Mac in cloud?
Un server Mac dedicato è raggiungibile dalla rete pubblica nel momento stesso in cui viene attivato. L'accesso con nome utente e password è comodo, ma le password possono essere forzate a tentativi e le porte di gestione aperte invitano attacchi automatizzati. La buona notizia: pochi passi ben noti — chiavi SSH, un firewall rigoroso e una VPN privata — eliminano la stragrande maggioranza di quel rischio. Ogni server MyRemoteMac supporta già l'autenticazione basata su chiave, un firewall gestito e una VPN WireGuard fin da subito.
Difesa in profondità: nessun singolo controllo è sufficiente. Combinare SSH basato su chiave, un firewall che nega tutto per impostazione predefinita e una gestione solo tramite VPN costringe un attaccante a superare diversi livelli indipendenti.
2. Prerequisiti
Prima di iniziare, assicurati di avere:
- Un server Mac di MyRemoteMac con accesso SSH
- Un client SSH sul tuo computer locale (integrato in macOS, Linux e nelle versioni moderne di Windows)
- L'indirizzo IP del tuo server e le credenziali predefinite
- Una minima dimestichezza con il terminale
3. Passo 1: autenticazione con chiave SSH
L'autenticazione basata su chiave sostituisce una password indovinabile con una coppia di chiavi crittografiche. Tu conservi la chiave privata; il server memorizza solo la tua chiave pubblica, quindi non c'è alcuna password che un attaccante possa forzare a tentativi.
Generare una coppia di chiavi
Sul tuo computer locale, genera una moderna chiave Ed25519 (salta questo passaggio se ne hai già una):
# Generate a modern Ed25519 key pair on your LOCAL machine
ssh-keygen -t ed25519 -C "you@example.com"
# Print the PUBLIC key (this is what you give the server)
cat ~/.ssh/id_ed25519.pub
# ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAA... you@example.com
Aggiungi la tua chiave pubblica, poi disattiva le password
Nella tua dashboard MyRemoteMac, apri Sicurezza e incolla la tua chiave pubblica — oppure selezionala durante l'attivazione di un nuovo server. Una volta confermato che l'accesso con chiave funziona, disattiva l'autenticazione con password:
# On the SERVER, disable password login once your key works
sudo sed -i '' 's/^#*PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo sed -i '' 's/^#*ChallengeResponseAuthentication.*/ChallengeResponseAuthentication no/' /etc/ssh/sshd_config
# Restart the SSH daemon to apply
sudo launchctl kickstart -k system/com.openssh.sshd
4. Passo 2: blindare il firewall
Esponi solo ciò che ti serve. MyRemoteMac include un firewall di rete gestito, e dovresti attivare anche il firewall applicativo di macOS sull'host come secondo livello.
Attivare il firewall applicativo di macOS
# Enable the built-in macOS application firewall
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate on
# Enable stealth mode (don't respond to pings / closed-port probes)
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode on
# Verify
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate
Limitare le porte in entrata
Nel firewall gestito di MyRemoteMac (dashboard o API), consenti il traffico in entrata solo sulle porte che usi davvero — tipicamente SSH (22) limitato al tuo IP o alla VPN — e nega tutto il resto per impostazione predefinita.
5. Passo 3: VPN privata (WireGuard)
La postura più solida consiste nel non esporre affatto pubblicamente le porte di gestione. Ogni server MyRemoteMac include un tunnel privato WireGuard/IPSec: connettiti prima a esso, poi raggiungi SSH e VNC sulla rete privata.
# Bring up the WireGuard tunnel from your local machine
wg-quick up wg0
# Now reach your Mac over the PRIVATE address, not its public IP
ssh you@10.0.0.2
Una volta attivo il tunnel, limita SSH e VNC nel tuo firewall alla sola sottorete VPN. Il tuo Mac diventa così invisibile agli scanner di porte pubblici.
6. Passo 4: rafforzamento continuo
La sicurezza è continua, non un'operazione una tantum. Applica queste misure durature:
- Mantieni macOS aggiornato — installa tempestivamente gli aggiornamenti di sicurezza per chiudere le vulnerabilità note.
- Attiva FileVault — la cifratura dell'intero disco protegge i tuoi dati a riposo.
- Usa un utente admin non root — lavora tramite sudo invece di accedere come root.
- Ruota e limita le chiavi SSH — rimuovi le chiavi che non usi più da Sicurezza.
- Monitora i log di autenticazione — tieni d'occhio gli accessi falliti e le sessioni inattese.
- Esegui backup regolari — abbina il rafforzamento a backup off-site per resistere ai ransomware.
7. Risoluzione dei problemi
Bloccato fuori dopo aver disattivato l'accesso con password
Riconnettiti con VNC / Condivisione schermo dalla dashboard, riabilita temporaneamente l'accesso con password e verifica che la tua chiave pubblica sia in ~/.ssh/authorized_keys con i permessi corretti (700 su ~/.ssh, 600 sul file).
SSH chiede ancora una password
Controlla i permessi: ~/.ssh deve essere 700 e authorized_keys 600. Verifica che sshd_config abbia PubkeyAuthentication impostato su yes e che tu stia offrendo la chiave privata corrispondente con ssh -i.
Bloccato fuori da una regola del firewall
Tieni sempre aperta una sessione VNC / Condivisione schermo mentre modifichi le regole del firewall. Se perdi SSH, usa VNC per annullare la regola, poi riapplicala limitata alla tua sottorete VPN.
8. Checklist di sicurezza
Passa in rassegna questa checklist dopo aver attivato qualsiasi nuovo server Mac:
- Autenticazione con chiave SSH attivata
- Accesso con password disattivato (o limitato alla VPN)
- Firewall applicativo di macOS attivato con modalità invisibile
- Porte in entrata negate per impostazione predefinita; SSH e VNC limitati alla VPN
- FileVault attivato e macOS aggiornato
- Chiavi SSH inutilizzate rimosse e backup off-site configurati
In breve: SSH basato su chiave, accesso con password disattivato, un firewall che nega tutto per impostazione predefinita, gestione tramite VPN, FileVault attivo e chiavi ruotate regolarmente. Fallo una volta e il tuo Mac in cloud diventa molto più difficile da attaccare.
Guide correlate
Sviluppo remoto con Xcode
Configura un flusso di lavoro Xcode remoto veloce e produttivo su un Mac dedicato.
Sviluppare per iOS senza un Mac
Crea e pubblica app iOS da Windows o Linux usando un Mac remoto.
Agente di build Jenkins su Mac
Configura un agente di build Jenkins sicuro su un Mac Mini dedicato.