Guida - Sicurezza

Come proteggere il tuo Mac in cloud: chiavi SSH, firewall e VPN

Una guida pratica passo dopo passo per rafforzare il tuo server Mac dedicato — autenticazione con chiave SSH senza password, un firewall di macOS blindato, una VPN WireGuard privata e una checklist di sicurezza continua.

12 min di lettura Aggiornato a giugno 2026

1. Perché rafforzare il tuo Mac in cloud?

Un server Mac dedicato è raggiungibile dalla rete pubblica nel momento stesso in cui viene attivato. L'accesso con nome utente e password è comodo, ma le password possono essere forzate a tentativi e le porte di gestione aperte invitano attacchi automatizzati. La buona notizia: pochi passi ben noti — chiavi SSH, un firewall rigoroso e una VPN privata — eliminano la stragrande maggioranza di quel rischio. Ogni server MyRemoteMac supporta già l'autenticazione basata su chiave, un firewall gestito e una VPN WireGuard fin da subito.

Difesa in profondità: nessun singolo controllo è sufficiente. Combinare SSH basato su chiave, un firewall che nega tutto per impostazione predefinita e una gestione solo tramite VPN costringe un attaccante a superare diversi livelli indipendenti.

2. Prerequisiti

Prima di iniziare, assicurati di avere:

  • Un server Mac di MyRemoteMac con accesso SSH
  • Un client SSH sul tuo computer locale (integrato in macOS, Linux e nelle versioni moderne di Windows)
  • L'indirizzo IP del tuo server e le credenziali predefinite
  • Una minima dimestichezza con il terminale

3. Passo 1: autenticazione con chiave SSH

L'autenticazione basata su chiave sostituisce una password indovinabile con una coppia di chiavi crittografiche. Tu conservi la chiave privata; il server memorizza solo la tua chiave pubblica, quindi non c'è alcuna password che un attaccante possa forzare a tentativi.

Generare una coppia di chiavi

Sul tuo computer locale, genera una moderna chiave Ed25519 (salta questo passaggio se ne hai già una):

# Generate a modern Ed25519 key pair on your LOCAL machine
ssh-keygen -t ed25519 -C "you@example.com"

# Print the PUBLIC key (this is what you give the server)
cat ~/.ssh/id_ed25519.pub
# ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAA... you@example.com

Aggiungi la tua chiave pubblica, poi disattiva le password

Nella tua dashboard MyRemoteMac, apri Sicurezza e incolla la tua chiave pubblica — oppure selezionala durante l'attivazione di un nuovo server. Una volta confermato che l'accesso con chiave funziona, disattiva l'autenticazione con password:

# On the SERVER, disable password login once your key works
sudo sed -i '' 's/^#*PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo sed -i '' 's/^#*ChallengeResponseAuthentication.*/ChallengeResponseAuthentication no/' /etc/ssh/sshd_config

# Restart the SSH daemon to apply
sudo launchctl kickstart -k system/com.openssh.sshd

4. Passo 2: blindare il firewall

Esponi solo ciò che ti serve. MyRemoteMac include un firewall di rete gestito, e dovresti attivare anche il firewall applicativo di macOS sull'host come secondo livello.

Attivare il firewall applicativo di macOS

# Enable the built-in macOS application firewall
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate on

# Enable stealth mode (don't respond to pings / closed-port probes)
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode on

# Verify
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate

Limitare le porte in entrata

Nel firewall gestito di MyRemoteMac (dashboard o API), consenti il traffico in entrata solo sulle porte che usi davvero — tipicamente SSH (22) limitato al tuo IP o alla VPN — e nega tutto il resto per impostazione predefinita.

5. Passo 3: VPN privata (WireGuard)

La postura più solida consiste nel non esporre affatto pubblicamente le porte di gestione. Ogni server MyRemoteMac include un tunnel privato WireGuard/IPSec: connettiti prima a esso, poi raggiungi SSH e VNC sulla rete privata.

# Bring up the WireGuard tunnel from your local machine
wg-quick up wg0

# Now reach your Mac over the PRIVATE address, not its public IP
ssh you@10.0.0.2

Una volta attivo il tunnel, limita SSH e VNC nel tuo firewall alla sola sottorete VPN. Il tuo Mac diventa così invisibile agli scanner di porte pubblici.

6. Passo 4: rafforzamento continuo

La sicurezza è continua, non un'operazione una tantum. Applica queste misure durature:

  • Mantieni macOS aggiornato — installa tempestivamente gli aggiornamenti di sicurezza per chiudere le vulnerabilità note.
  • Attiva FileVault — la cifratura dell'intero disco protegge i tuoi dati a riposo.
  • Usa un utente admin non root — lavora tramite sudo invece di accedere come root.
  • Ruota e limita le chiavi SSH — rimuovi le chiavi che non usi più da Sicurezza.
  • Monitora i log di autenticazione — tieni d'occhio gli accessi falliti e le sessioni inattese.
  • Esegui backup regolari — abbina il rafforzamento a backup off-site per resistere ai ransomware.

7. Risoluzione dei problemi

Bloccato fuori dopo aver disattivato l'accesso con password

Riconnettiti con VNC / Condivisione schermo dalla dashboard, riabilita temporaneamente l'accesso con password e verifica che la tua chiave pubblica sia in ~/.ssh/authorized_keys con i permessi corretti (700 su ~/.ssh, 600 sul file).

SSH chiede ancora una password

Controlla i permessi: ~/.ssh deve essere 700 e authorized_keys 600. Verifica che sshd_config abbia PubkeyAuthentication impostato su yes e che tu stia offrendo la chiave privata corrispondente con ssh -i.

Bloccato fuori da una regola del firewall

Tieni sempre aperta una sessione VNC / Condivisione schermo mentre modifichi le regole del firewall. Se perdi SSH, usa VNC per annullare la regola, poi riapplicala limitata alla tua sottorete VPN.

8. Checklist di sicurezza

Passa in rassegna questa checklist dopo aver attivato qualsiasi nuovo server Mac:

  • Autenticazione con chiave SSH attivata
  • Accesso con password disattivato (o limitato alla VPN)
  • Firewall applicativo di macOS attivato con modalità invisibile
  • Porte in entrata negate per impostazione predefinita; SSH e VNC limitati alla VPN
  • FileVault attivato e macOS aggiornato
  • Chiavi SSH inutilizzate rimosse e backup off-site configurati

In breve: SSH basato su chiave, accesso con password disattivato, un firewall che nega tutto per impostazione predefinita, gestione tramite VPN, FileVault attivo e chiavi ruotate regolarmente. Fallo una volta e il tuo Mac in cloud diventa molto più difficile da attaccare.

Guide correlate

Attiva un Mac sicuro in pochi minuti

Ogni server MyRemoteMac è fornito con autenticazione a chiave SSH, un firewall gestito e VPN WireGuard inclusi. A partire da 85 $/mese.

Cerchi maggiori dettagli?

Consulta la documentazione completa per guide passo passo, riferimenti di configurazione e risoluzione dei problemi.

Apri la documentazione →