Ssh e autenticazione tramite chiavi: differenze tra le versioni

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
m (link glossario)
(da cancellare)
 
(30 versioni intermedie di 10 utenti non mostrate)
Riga 1: Riga 1:
==Premessa==
{{Da cancellare | guida doppione perché il contenuto è già coperto nella guida principale su [[SSH]]}}
Oggi che la maggior parte degli utenti domestici ha la possibilit� di accede ad internet con connessioni a [http://it.wikipedia.org/wiki/Larghezza_di_banda banda] larga (ad esempio [http://it.wikipedia.org/wiki/ADSL ADSL]) e che � sempre pi� frequente avere a disposizione almeno un paio di computers si avverte la necessit� di poter condividere la connessione tra i vari computer della nostra rete domestica.
== Introduzione ==
Quando ci si deve connettere molto spesso ad un server (o a molti server) tramite '''[[SSH]]''', può essere tedioso dover inserire ogni volta la password.


GNU/Linux � probabilmente la scelta pi� indicata in questi frangenti, essendo un sistema operativo nato espressamente in ambiente di rete: moltissimi dei [http://it.wikipedia.org/wiki/Router router] sul mercato fanno uso di GNU/Linux come sistema operativo, perch� non farlo anche noi ?
Un modo sicuro per ''aggirare'' questo problema è basato sull'autenticazione tramite una coppia di chiavi (privata e pubblica).


==Prerequisiti==
Il concetto alla base di questo sistema di autenticazione è semplice: si demanda il compito di verificare i dati di autenticazione direttamente alle chiavi ssh, rimuovendo la richiesta della password (meno volte viene digitata, più è difficile che qualche utente male intenzionato la riesca a capire) che viene, eventualmente, sostituita dalla richiesta di una passphrase di sblocco della chiave.
Tutto quello di cui abbiamo bisogno � la nostra Debian, una scheda di rete per ciascun pc da collegare alla rete locale ed un hub o switch.
 
Se avete un collegamento adsl tramite modem usb e due soli computer, basta collegare le due schede di rete tramite cavetto ethernet cross (incrociato), non serve nient'altro. Uno dei due computer dovr� poi essere connesso ad internet tramite modem USB (vedere [[Indice_Guide#Modem_e_periferiche_di_rete|Modem e periferiche di rete]] per l'installazione e la configurazione), oppure tramite una seconda scheda di rete.
 
Per fare in modo che Debian si comporti come un router avremo bisogno anche di iptables. Vi rimando alla guida [[Debian e iptables]] per la sua corretta installazione e configurazione.
 
==Configurazione Router==
Per fare in modo che Debian faccia da [http://it.wikipedia.org/wiki/Gateway gateway] tra i pc della LAN e internet dobbiamo utilizzare il [http://it.wikipedia.org/wiki/Network_address_translation NAT] ''(Network Address Translation)''.<br>
Il tipo di NAT che ci interessa in questa guida � chiamato '''masquerading''' ''(mascheramento)'' degli indirizzi locali.<br>
Il motivo � semplice: per accedere a internet � necessario avere un [http://it.wikipedia.org/wiki/Indirizzo_IP indirizzo IP] di tipo pubblico, che il nostro ISP ci fornisce. Per permettere anche ai computer sprovvisti di indirizzo pubblico di navigare, dobbiamo fare in modo che i loro indirizzi di tipo privato vengano "nascosti" dietro a quello pubblico.
 
===Masquerading===
Loghiamoci come utente '''root''' e digitiamo il seguente comando:
<pre># iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE</pre>
questo abilita il mascheramento degli indirizzi privati.
 
Per caricare queste regole di iptable ad ogni avvio conviene salvarle una volta e per tutte con '''iptables-save''' e caricarle ad ogni avvio con '''iptables-restore'''. Questi comandi leggono e scrivono su STDIN e STDOUT quindi bisogna usare la redirezione di shell.
 
Per salvare le regole correnti di iptables basta scrivere da root:
<pre># iptables-save > /etc/iptables-save</pre>
 
Poi ad ogni avvio dovremo richiamare il seguente comando:
<pre>
# cat /etc/iptables-save | iptables-restore
</pre>
 
Questo comando si pu� inserire in uno script di avvio come <tt>/etc/init.d/bootmisc</tt>, forse � pi� logico inserirlo in <tt>/etc/init.d/networking</tt> anche perch�, in tal modo, riavviando la rete vengono anche reimpostate le regole di iptables. Per inserire il comando in <tt>/etc/init.d/networking </tt>scorrete il file fino a quasi la fine dove troverete le seguenti righe:


== Configurazione ==
=== Generazione delle chiavi ===
Per poter gestire questo processo di autenticazione è necessario generare una coppia di chiavi (pubblica e privata). Il comando è semplice:
<pre>
<pre>
case "$1" in
$ ssh-keygen
    start)
</pre>
 
ora appena prima di
 
<pre>;;
stop)
</pre>
</pre>
 
Si può voler scegliere una lunghezza maggiore (default 2048) con
si potr� inserire questo codice (al posto del singolo comando) per maggiore eleganza:
 
<pre>
<pre>
        # Carica le regole di iptables salvate
$ ssh-keygen -b 4096
if [ -r /etc/iptables-save ]; then
    echo -en " * Loading iptables saved state ... "
    cat /etc/iptables-save | iptables-restore &&\
    echo "[ OK ]"
fi
</pre>
</pre>
L'uso dell'opzione <code>'''-t'''</code> per indicare il tipo di chiave è [[OpenSSH#Configurazione_Client|fortemente sconsigliato]].
in questo modo la regola verr� caricata ad ogni avvio del sistema, senza che sia necessario digitarla nuovamente, e solo se il file <tt>/etc/iptables-save</tt> esiste ed � leggibile.
 
===Ip Forwarding===
Configurare iptables non � per� sufficiente. I comuni pc, infatti, non devono essere in grado di comportarsi come i [http://it.wikipedia.org/wiki/Router routers] e cio� non devono poter [[routing|instradare]] pacchetti da una rete all' altra.<br>
Dato che per noi � fondamentale abilitare questa possibilit�, dobbiamo agire su un paramentro del kernel che regola questa funzione: l' '''ip-forwarding'''.
 
L' ip-forwarding � abilitabile "al volo", semplicemente impostando a "1" la relativa variabile del kernel, con il comando:
<pre># echo 1 > /proc/sys/net/ipv4/ip_forward</pre>
cos� facendo per�, ad ogni riavvio dovremo reimpostare la variabile.
 
==== Impostare l'<tt>ip-forwarding</tt> al boot: <tt>/etc/sysctl.conf</tt> ====
 
Il metodo pi� semplice, consigliato nella maggior parte dei casi, per impostare l'ip-forwarding ad ogni boot � di inserire in <tt>/etc/sysctl.conf</tt>:


<pre>
Durante la generazione delle chiavi ci viene chiesto dove salvarle (normalmente è <code>~/.ssh/id_rsa</code>): il valore di default va bene.
## Abilita il forwarding di pacchetti non locali - FONDAMENTALE
net/ipv4/ip_forward = 1
</pre>  


E' opportuno impostare anche alcune misure di sicurezza:
Per quanto riguarda la passphrase richiesta, sempre durante la generazione delle chiavi, ci sono due opzioni, entrambe con pregi e difetti:
* inserire una passphrase: dal punto di vista della sicurezza, è ottimo; dal punto di vista pratico, però, si è di fronte al problema che è necessario inserirla ad ogni connessione (nel caso di più host, comunque, rappresenterebbe un sistema molto comodo di accesso tramite la stessa ''passphrase'', invece di una password diversa per ogni host)
* inserire una passphrase vuota: dal punto di vista della sicurezza lascia un po' a desiderare, in quanto il furto della chiave permetterebbe l'accesso incondizionato agli host; dal punto di vista pratico, invece, è comodissimo, in quanto slega l'accesso alla macchina remota dalla richiesta di password.


In realtà questo discorso può valere in caso di utilizzo non interattivo come ad esempio in uno script, negli altri casi si può ricorrere a <code>ssh-agent</code> per mantenere in cache la passphrase per la sessione corrente:
<pre>
<pre>
## Ignora finti messaggi di errore ICMP
$ ssh-add ~/.ssh/id_rsa
net/ipv4/icmp_ignore_bogus_error_responses = 1
 
## Non risponde ai ping inviati al broadcast della subnet
net/ipv4/icmp_echo_ignore_broadcasts = 1
 
## Non accetta pacchetti ICMP di route redirection
net/ipv4/conf/all/accept_redirects = 0
</pre>
</pre>


Oltre a queste regole Debian imposta per default la protezione dallo [http://it.wikipedia.org/wiki/IP_spoofing spoofing] degli indirizzi. Per completezza di informazione, comunque, questa regola risulta essere la seguente:
=== Copia manuale della chiave pubblica ===
La chiave privata, come illustrato nel funzionamento, viene utilizzato dal computer che richiede la connessione (client), mentre quella pubblica deve essere salvata sul computer al quale connettersi (server).


Prendiamo, ad esempio, la seguente chiave pubblica (contenuta nel file <code>~/.ssh/id_rsa.pub</code> presente sul client):
<pre>
<pre>
## Protezione anti spoofing
ssh-rsa AAAAB3NzaC1kc3MAAACBAPe/PbwWkXR7qI8hcbxLRUS0/fIul0eUiSvu/hnXZXZDIZjVi1VlIbipff6n7Z6vF0hJRg6l
net/ipv4/conf/all/rp_filter = 1
[cut]
gjLLTka0/QF8SP4JYFKs0Iasdju6y1slmx9IdzQt+hvMqF2+PPchCWcyBP3S5Zje4T6Az1MgrvuwCXIW6oUZXCA== user@host
</pre>
</pre>


Per un approfondimento riguardante i parametri del kernel networking modificabili a run-time, vi rimandiamo alla guida [[Parametri a run-time per Netfilter]].
Copiamo il contenuto nel file <code>~/.ssh/authorized_keys</code> presente sul server, nella home relativa all'utente usato su quella macchina e salviamo il file.
 
==== Impostare l'<tt>ip-forwarding</tt> al boot: script ====
 
&Egrave; possibile anche abilitare l'ip-forwarding associando uno script alla creazione delle interfacce di rete, in fase di boot. Questo metodo � consigliato solo in caso di setup pi� complessi, in cui si vogliono impostare regole diverse a seconda dell'interfaccia di rete che si attiva.
 
Per prima cosa, apriamo con il nostro editor preferito il file '''/etc/network/interfaces''' e cerchiamo la sezione relativa alla nostra scheda di rete.


Dovreste individuare qualcosa di simile a:
=== Copia automatica della chiave pubblica ===
Alternativamente, è possibile usare lo script ''ssh-copy-id'' in questo modo dal client:


<pre>
<pre>
auto eth0
$ ssh-copy-id -i ~/.ssh/id_rsa.pub utente@server
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
</pre>
</pre>
 
oppure ancora utilizzando <code>scp</code>:
A questo punto, nella riga immediatamente successiva a "broadcast ...", inseriamo questa direttiva:
 
<pre>
<pre>
auto eth0
$ scp -P <porta> ~/.ssh/id_rsa.pub <username>@<ip del server>:~/.ssh/authorized_keys
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
        pre-up /etc/network/iface-secure
</pre>
</pre>
 
I permessi sulla directory remota <code>~/.ssh</code> devono essere settati a:
Questo comando dice allo script che si occupa di configurare la scheda di rete di lanciare un' altro script, e cio� '''/etc/network/iface-secure''', che provvediamo subito a creare con il comando:
 
<pre># touch /etc/network/iface-secure</pre>
 
Dopodiche' rendiamolo eseguibile con:
 
<pre># chmod +x /etc/network/iface-secure</pre>
 
All' interno di questo file scriveremo il nostro comando per abilitare l' ip-forwarding:
 
<pre>
<pre>
### Abilita il forwarding di pacchetti non locali - FONDAMENTALE
drwxr-xr-x 2 utente utente  4096 30 dic 00:31 .ssh
echo 1 > /proc/sys/net/ipv4/ip_forward
 
### Ignora finti messaggi di errore ICMP
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
 
### Non risponde ai ping inviati al broadcast della subnet
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
 
### Non accetta pacchetti ICMP di route redirection
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
</pre>
</pre>
 
mentre sul file <code>~/.ssh/authorized_keys</code>:
===Server DNS===
Per poter navigare su internet, � necessario che i PC della nostra rete locale abbiano accesso ad un server [[DNS]] che traduca per noi gli indirizzi internet in indiritti IP.
 
Un modo per fare questo consiste nell' impostare per ciascuno dei nostri PC i server [[DNS]] forniti dal nostro provider.
 
Esiste tuttavia un' alternativa molto pi� comoda e performante: creare un nostro server [[DNS]] ed utilizzarlo in sostituzione di quelli del provider. Questa soluzione porta ad alcuni vantaggi:
* sui pc della LAN dovremo configurare sempre un solo server [[DNS]] immutabile e che conosciamo bene (senza faticose ricerche);
* i tempi di risposta sono nettamente pi� performanti rispetto a server esterni alla LAN, sia perch� il server � raggiungibile direttamente (senza instradamento attraverso internet), sia perch� sfrutta un sistema di cache (se 10 pc chiedono l' indirizzo di debian.org, ad esempio, il nostro [[DNS]] effetter� la richiesta solo la prima volta e per le restanti 9 utilizzer� le informazioni memorizzate nella propria cache);
* grazie a questo meccanismo di caching i [[DNS]] del provider sono meno stressati e quindi pi� performanti a loro volta.
 
Per realizzare il nostro server useremo '''bind''', probabilmente il miglior software esistente per questo compito.
 
Per prima cosa installiamo bind9 ed alcuni strumenti utili:
 
<pre># apt-get install bind9 bind9-host dnsutils</pre>
 
Ora configuriamo il server in modo che faccia le sue richieste ai server [[DNS]] che vogliamo noi anzich� ai ROOT SERVERS (sono pochi in tutto il mondo, molto stressati e aggiornati pi� lentamente di altri). Tutto quello che dobbiamo fare � editare la sezione '''options''' del file '''/etc/bind/named.conf.options''':
 
<pre>options {
directory "/var/cache/bind";
 
forward first;
forwarders {
INDIRIZZO IP DNS PRIMARIO; #varia a seconda del provider
INDIRIZZO IP DNS SECONDARIO; #varia a seconda del provider
};
 
auth-nxdomain no; # conform to RFC1035
};</pre>
 
Ora non ci resta che riavviare bind con il comando:
 
<pre># /etc/init.d/bind9 restart</pre>
 
e configurarlo come [[DNS]] sui pc della nostra rete.
 
===Altri Protocolli===
====FTP====
Con la configurazione svolta fino a questo punto dovrebbe essere possibile accedere dai PC della lan a server ftp esterni in ''passive mode'' (se ci� non fosse possibile vedere pi� avanti: [[Condividere_la_connessione_a_internet#Problemi_con_MTU|Problemi con MTU]]).
 
Se si vuole accedere a server ftp in active mode il router deve tracciare le connessioni ftp, e a tal scopo basta caricare i due moduli:
 
<pre>
# modprobe ip_conntrack_ftp
# modprobe ip_nat_ftp
</pre>
 
Da questo momento in poi i pc della lan dovrebbero essere in grado di accedere ai server ftp anche in ''active mode''.
 
====IRC====
Dovreste essere in grado di usare IRC senza problemi dai pc della vostra LAN. In caso contrario potreste provare a caricare manualmente i moduli che servono al router per gestire le connessioni ad IRC:
 
<pre>
<pre>
# modprobe ip_conntrack_irc ports=5555,6666,6667,6668,6669,7000
-rw-r--r-- 1 utente utente  610 30 dic 00:17 authorized_keys
# modprobe ip_nat_irc
</pre>
</pre>


dove, con la direttiva "ports=" indichiamo le porte generalmente utilizzate dai server IRC.
== Configurazione del server ==
 
Sul server, in cui deve essere già presente un'installazione di base funzionante di SSH, aggiornate il file <code>/etc/ssh/sshd_config</code> e settate i campi:
Se avete problemi, leggete pi� avanti: [[Condividere_la_connessione_a_internet#Problemi_con_MTU|Problemi con MTU]].
 
==Configurazione LAN==
Passiamo ora alla configurazione degli altri PC della nostra rete domestica.<br>
===Premessa===
Generalmente per le reti locali domestiche si utilizzano indirizzi IP del tipo 192.168.0.x dove x � un numero variabile tra 1 e 254. Questo significa che all' interno della stessa rete possiamo avere fino a 254 indirizzi IP univoci.<br>
Generalmente il router di una rete ha come indirizzo IP il primo o l' ultimo della rete e cio� 192.168.0.1 oppure 192.168.0.254. In questo esempio noi useremo il primo.
===Assegnare un IP===
Ad ogni pc della LAN si deve assegnare un indirizzo ip per poter comunicare con gli altri pc della rete interna (che nel caso limite � il solo pc che fa da router). Per assegnare un indirizzo IP statico basta usare il comando:
<pre>
<pre>
# ifconfig eth0 192.168.0.2 up
HostbasedAuthentication yes
RSAAuthentication yes
PubkeyAuthentication yes
</pre>
</pre>
dove 192.168.0.2 � l'indirizzo arbitrario che si � scelto per la particolare macchina.<br>
Riavviate il servizio:
Il comando '''ifconfig''' permette di specificare molti pi� parametri, ma utilizzando l' indirizzo dell' esempio, questi verranno preconfigurati automaticamente.
Per non riscrivere questo comando ad ogni boot, si pu� inserire in /etc/network/interfaces:
<pre>
<pre>
auto eth0
# /etc/init.d/ssh restart
iface eth0 inet static
</pre> e verificate di essere in grado di autenticarvi tramite chiave:
    address 192.168.0.2
    netmask 255.255.255.0
    network 192.168.0.0
    broadcast 192.168.0.255
</pre>
 
===Impostare il gateway===
Ora bisogna dire ad ogni macchina della lan di instradare tutti i pacchetti diretti verso l'esterno al pc fisicamente collegato ad internet (che fa da router). A tal scopo basta impostare il default gateway:
<pre>
<pre>
# route add default gw 192.168.0.1
$ ssh utente@server
</pre>
</pre>
Per non dover scrivere questo comando ad ogni riavvio, � sufficiente aggiungere al file /etc/network/interfaces, subito al di sotto della direttiva ''''broadcast ...'''' la seguente linea:
{{Box|Consiglio:|se '''non''' volete permettere il login tramite password, ma solo attraverso public key, settate anche le opzioni:
<pre>
<pre>
  gateway 192.168.0.1
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
</pre>
</pre>
Da non usare se avete utilizzato una passphrase nella generazione della chiave.}}


===Impostare il server DNS===
'''Attenzione''': in caso di autenticazione tramite chiavi, nel file di configurazione del server non va utilizzata la direttiva <code>AllowUsers</code>.
Per impostare il server [[DNS]] che i nostri PC useranno � necessario editare il file '''/etc/resolv.conf''' inserendo la seguente linea:
<pre>nameserver 192.168.0.1</pre>
assicurandoci di scriverlo nella prima riga del file ''(ordine con cui il sistema interroga i [[DNS]] � identico a quello in cui compaiono in /etc/resolv.conf)''
 
===Client Windows�===
Per la configurazione di eventuali PC con installato Microsoft� Windows� vi rimandiamo alla Guida in Linea, al sito di supporto ed al vostro rivenditore hardware (che per contratto � tenuto a fornirvi assistenza).
 
==Problemi con MTU==
Pu� capitare a volte, specialmente con collegamenti adsl, che l'MTU impostato di default  per le interfacce di rete (1500) non sia appropriato e causi vari mafunzionamenti. Ad esempio, io non riuscivo ad usare wget, ftp, apt-get e irc. Altri hanno riportato di non potere accedere a certi siti.


Risolvere questo problema � semplice, basta impostare l'MTU di tutte le interfacce ethernet ad un valore pi� basso di 1500. A tal scopo basta aggiungere in /etc/network/interfaces una riga apposita:
Per un'installazione di base di SSH si veda ad esempio la guida [[OpenSSH: file di configurazione]].


== Test di funzionamento ==
Se tutto è stato eseguito correttamente, sarà possibile connettersi al server tramite un semplice:
<pre>
<pre>
iface eth0 inet static
$ ssh utente@server
address 192.168.0.2
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
        mtu 1412
</pre>
</pre>


Questo su tutti i computer della LAN e anche sul pc che funge da router. Se si ha poi una connessione ppp per collegarsi ad internet, sul pc-router bisogner� impostare l'MTU anche per questa interfaccia. Qui, la configurazione potrebbe variare a seconda dei casi ma usualmente � possibile impostare l'MTU in '''/etc/ppp/options''' e/o in '''/etc/ppp/peers/tuo-provider'''.
Se è stata inserita, durante la generazione delle chiavi, una passphrase, sarà necessario usarla per completare il processo di autenticazione, altrimenti apparirà direttamente il prompt della macchina remota.
 
Riavviando ora tutte le interfacce di rete sia eth0 che ppp, avremo impostato il novo valore per l'MTU e sperabilmente avremo eliminato i malfunzionamenti.
 
==Test==
Finalmente siamo arrivati al momento di testare la nostra rete domestica.
 
Nei prossimi minuti cercheremo di appurare se i vari elementi che abbiamo predisposto in precedenza sono effettivamente funzionanti e, se non lo sono, per quale motivo.
 
Per fare questo avremo bisogno di alcuni tra i pi� usati strumenti diagnostici: '''ping''' e '''nslookup''', ma non preoccupatevi: il primo viene installato automaticamente ed il secondo abbiamo provveduto ad installarlo contestualmente a bind.
 
{{Warningbox| L'eseguibile '''/bin/ping''' deve avere il bit suid impostato per funzionare da utente normale. }}
 
===Comunicazione tra router e client===
Prima di tutto annotiamo l' indirizzo IP del client (in questo esempio: 192.168.0.2).
 
Ora apriamo una shell sul pc che funge da router e digitiamo il comando
<pre>
$ ping -c 4 192.168.0.2
PING 192.168.0.2 (192.168.0.2) 56(84) bytes of data.
64 bytes from 192.168.0.2: icmp_seq=1 ttl=255 time=1.41 ms
64 bytes from 192.168.0.2: icmp_seq=2 ttl=255 time=0.953 ms
64 bytes from 192.168.0.2: icmp_seq=3 ttl=255 time=0.988 ms
64 bytes from 192.168.0.2: icmp_seq=4 ttl=255 time=1.02 ms
 
--- 192.168.2.0 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 0.953/1.094/1.417/0.191 ms
</pre>
 
Per ora non ci interessa il significato dei messaggi a video, ma unicamente il fatto che dal router � effettivamente possibile raggiungere (pingare) il client.
 
Possiamo essere certi che � cos� guardando semplicemente le statistiche riassuntive stampate al termine del test, la frase
 
<pre>4 packets transmitted, 4 received, 0% packet loss, time 3002ms</pre>
 
infatti ci informa che abbiamo trasmesso al client 4 pacchetti e che il client li ha ricevuti tutti.
 
Se cos� non fosse, avremmo avuto un output del tipo
<pre>
$ ping -c 4 192.168.0.2
PING 192.168.0.1 (192.168.0.2) 56(84) bytes of data.
From 192.168.0.1 icmp_seq=1 Destination Host Unreachable
From 192.168.0.1 icmp_seq=2 Destination Host Unreachable
From 192.168.0.1 icmp_seq=3 Destination Host Unreachable
From 192.168.0.1 icmp_seq=4 Destination Host Unreachable
 
--- 192.168.0.2 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 2998ms
, pipe 3
</pre>
 
Possiamo vedere che il client (192.168.0.2) non � raggiungibile (Destination Host Unreachable) dal router (from 192.168.0.1).
Se tutto � andato bene passiamo al punto seguente, in caso contrario controlliamo:
* che l' indirizzo del client sia corretto.
* che i cavi di rete siano collegati correttamente;
* che le schede di rete segnalino la presenza del segnale elettrico (ethernel link);
 
===Comunicazione tra client e router===
Il traffico della nostra rete deve essere necessariamente di tipo bidirezionale: dobbiamo quindi assicurarci che dal client sia possibile raggiungere il router.
 
Ripetiamo le operazioni del punto precedente, questa volta, per�, operando dal client in direzione del router.
 
===Risoluzione dei nomi===
Verifichiamo che il nostro client sia in grado di risolvere i nomi degli host (di qui in seguito [[FQDN]]): questo significa che deve essere in grado di poter identificare un computer presente in internet non solo in base al suo indirizzo IP, ma anche in base ad un nome facilmente memorizzabile.
 
Facciamo subito un esempio usando come riferimento il FQDN '''www.debianizzati.org'''.
<pre>
# nslookup www.debianizzati.org
Server:        192.168.0.1
Address:        192.168.0.1#53
 
Non-authoritative answer:
Name:  www.debianizzati.org
Address: 66.199.227.58
</pre>
Possiamo vedere che il server che ci fornisce l' indirizzo � 192.168.0.1, cio� il nostro router, e che siamo in grado di risolvere gli FQDN in indirizzi IP. A riprova di questo, se tentiamo di pingare www.debianizzati.org, otterremo il seguente output:
<pre>
$ ping -c 2 www.debianizzati.org
PING www.debianizzati.org (66.199.227.58) 56(84) bytes of data.
64 bytes from cp4.idleserv.net (66.199.227.58): icmp_seq=1 ttl=50 time=153 ms
64 bytes from cp4.idleserv.net (66.199.227.58): icmp_seq=2 ttl=50 time=152 ms
</pre>
mentre se non fosse possibile associare www.debianizzati.org al corretto IP, leggeremmo:
<pre>
$ ping www.debianizzati.org
ping: unknown host www.debianizzati.org
</pre>
 
== Conclusioni ==
Se siete giunti fino in fondo dovreste essere in grado di condividere la connessione ad internet in semplici LAN domestiche e risolvere i principali problemi che possono insorgere.
 
Se avete idee su come migliorare questa guida, segnalazione di errori e/o proposte non esistate a comunicarle nella pagina di discussione oppure sul [http://www.debianizzati.org forum di debianizzati].


Buona Navigazione!
== Approfondimenti ==
* [http://www.debian.org/doc/manuals/reference/ch06.it.html#_the_remote_access_server_and_utility_ssh La guida Debian: SSH]


----
[[Categoria:SSH server e amministrazione remota]]
Autore: [[Utente:Guide @ Debianizzati.Org|Debianizzati.Org]]<br>
Revisione: [[Utente:Keltik|keltik]]<br>
Revisione: [[Utente:TheNoise|The Noise]]
[[Categoria:Networking]][[Categoria:Desktop]]

Versione attuale delle 11:06, 26 set 2015

Trash 01.png Attenzione. Questa guida è stata proposta per la cancellazione in quanto contenente materiale potenzialmente dannoso, inutile o fuorviante.
Motivo: guida doppione perché il contenuto è già coperto nella guida principale su SSH


Introduzione

Quando ci si deve connettere molto spesso ad un server (o a molti server) tramite SSH, può essere tedioso dover inserire ogni volta la password.

Un modo sicuro per aggirare questo problema è basato sull'autenticazione tramite una coppia di chiavi (privata e pubblica).

Il concetto alla base di questo sistema di autenticazione è semplice: si demanda il compito di verificare i dati di autenticazione direttamente alle chiavi ssh, rimuovendo la richiesta della password (meno volte viene digitata, più è difficile che qualche utente male intenzionato la riesca a capire) che viene, eventualmente, sostituita dalla richiesta di una passphrase di sblocco della chiave.

Configurazione

Generazione delle chiavi

Per poter gestire questo processo di autenticazione è necessario generare una coppia di chiavi (pubblica e privata). Il comando è semplice:

$ ssh-keygen 

Si può voler scegliere una lunghezza maggiore (default 2048) con

$ ssh-keygen -b 4096

L'uso dell'opzione -t per indicare il tipo di chiave è fortemente sconsigliato.

Durante la generazione delle chiavi ci viene chiesto dove salvarle (normalmente è ~/.ssh/id_rsa): il valore di default va bene.

Per quanto riguarda la passphrase richiesta, sempre durante la generazione delle chiavi, ci sono due opzioni, entrambe con pregi e difetti:

  • inserire una passphrase: dal punto di vista della sicurezza, è ottimo; dal punto di vista pratico, però, si è di fronte al problema che è necessario inserirla ad ogni connessione (nel caso di più host, comunque, rappresenterebbe un sistema molto comodo di accesso tramite la stessa passphrase, invece di una password diversa per ogni host)
  • inserire una passphrase vuota: dal punto di vista della sicurezza lascia un po' a desiderare, in quanto il furto della chiave permetterebbe l'accesso incondizionato agli host; dal punto di vista pratico, invece, è comodissimo, in quanto slega l'accesso alla macchina remota dalla richiesta di password.

In realtà questo discorso può valere in caso di utilizzo non interattivo come ad esempio in uno script, negli altri casi si può ricorrere a ssh-agent per mantenere in cache la passphrase per la sessione corrente:

$ ssh-add ~/.ssh/id_rsa

Copia manuale della chiave pubblica

La chiave privata, come illustrato nel funzionamento, viene utilizzato dal computer che richiede la connessione (client), mentre quella pubblica deve essere salvata sul computer al quale connettersi (server).

Prendiamo, ad esempio, la seguente chiave pubblica (contenuta nel file ~/.ssh/id_rsa.pub presente sul client):

ssh-rsa AAAAB3NzaC1kc3MAAACBAPe/PbwWkXR7qI8hcbxLRUS0/fIul0eUiSvu/hnXZXZDIZjVi1VlIbipff6n7Z6vF0hJRg6l
[cut]
gjLLTka0/QF8SP4JYFKs0Iasdju6y1slmx9IdzQt+hvMqF2+PPchCWcyBP3S5Zje4T6Az1MgrvuwCXIW6oUZXCA== user@host

Copiamo il contenuto nel file ~/.ssh/authorized_keys presente sul server, nella home relativa all'utente usato su quella macchina e salviamo il file.

Copia automatica della chiave pubblica

Alternativamente, è possibile usare lo script ssh-copy-id in questo modo dal client:

$ ssh-copy-id -i ~/.ssh/id_rsa.pub utente@server

oppure ancora utilizzando scp:

$ scp -P <porta> ~/.ssh/id_rsa.pub <username>@<ip del server>:~/.ssh/authorized_keys

I permessi sulla directory remota ~/.ssh devono essere settati a:

drwxr-xr-x 2 utente utente  4096 30 dic 00:31 .ssh

mentre sul file ~/.ssh/authorized_keys:

-rw-r--r-- 1 utente utente  610 30 dic 00:17 authorized_keys

Configurazione del server

Sul server, in cui deve essere già presente un'installazione di base funzionante di SSH, aggiornate il file /etc/ssh/sshd_config e settate i campi:

HostbasedAuthentication yes
RSAAuthentication yes
PubkeyAuthentication yes

Riavviate il servizio:

# /etc/init.d/ssh restart

e verificate di essere in grado di autenticarvi tramite chiave:

$ ssh utente@server
Info.png Consiglio:
se non volete permettere il login tramite password, ma solo attraverso public key, settate anche le opzioni:
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no

Da non usare se avete utilizzato una passphrase nella generazione della chiave.


Attenzione: in caso di autenticazione tramite chiavi, nel file di configurazione del server non va utilizzata la direttiva AllowUsers.

Per un'installazione di base di SSH si veda ad esempio la guida OpenSSH: file di configurazione.

Test di funzionamento

Se tutto è stato eseguito correttamente, sarà possibile connettersi al server tramite un semplice:

$ ssh utente@server

Se è stata inserita, durante la generazione delle chiavi, una passphrase, sarà necessario usarla per completare il processo di autenticazione, altrimenti apparirà direttamente il prompt della macchina remota.

Approfondimenti