FAQ: differenze tra le versioni

Vai alla navigazione Vai alla ricerca

FAQ (visualizza wikitesto)

Versione delle 11:17, 4 giu 2006

66 byte aggiunti ,  4 giu 2006
m
→‎Come posso riconfigurare il server X?: agg. link
Riga 1: Riga 1:
==Debian==
{{stub}}
==Introduzione==
Ho deciso di fare questa guida poich� ho avuto molta difficolt� a creare una connessione remota sicura fra una macchina Windows ed una Linux in una LAN (o in una WAN) in quanto la maggior parte delle guide, degli How-To e delle FAQ che ho trovato in Internet esamina tale connessione fra due macchine Linux.


===Installazione===
La connessione remota sicura, che esaminero`, e` una connessione che usa il protocollo [http://it.wikipedia.org/wiki/Ssh SSH (Secure SHell)] e, perci�, � detta '''connessione SSH''' la quale si basa sulla [http://it.wikipedia.org/wiki/Crittografia_asimmetrica criptografia asimetrica] detta anche '''criptografia a coppia di chiavi''' o, piu` semplicemente, '''a chiave pubblica/privata''' (o, semplicemente, '''a chiave pubblica''') che consiste nella generazione di una coppia di chiavi (chiamate [http://it.wikipedia.org/wiki/Chiave_privata chiave privata] e [http://it.wikipedia.org/wiki/Chiave_pubblica chiave pubblica]). In pratica, la '''chiave pubblica''' codifica la communicazione mentre la '''chiave privata''' decodifica tale comunicazione e vengono generate usando degli algoritmi asimetrici che sono [http://it.wikipedia.org/wiki/RSA RSA] e [http://en.wikipedia.org/wiki/Digital_Signature_Algorithm DSA] e le connessioni che usano tali coppie di chiavi prodotte da questi algoritmi asimetrici sono dette '''connessioni SSH'''. Tali algoritmi, per�, servono soltanto per instaurare una connessione criptata fra il client SSH e il server SSH in quanto, per il trasferimento vero e proprio dei dati, si usano degli algoritmi simmetrici, come AES o 3DES, che sono molto pi� efficenti per questo scopo ovvero per cifrare la comunicazione. Quindi:
==== � possibile installare, con apt-get, anche i pacchetti indicati come 'suggeriti' e/o 'raccomandati'?====
Apt-get non offre ancora questa opzione, ma sono presenti due soluzioni:
* installare aptitude ed utilizzarlo al posto di apt:<pre># aptitude install nomepacchetti</pre>
* uno script che fa quanto richiesto appoggiandosi ad apt-get: <br/>'''aag''' - advanced-apt-get apt-get install with support for recommends and suggested - http://www.formorer.de/code/aag/


===Release===
Una '''connessione SSH''' � una connessione cifrata che utilizza gli algoritmi asimetrici RSA o DSA soltanto per verificare se una chiave pubblica, memorizzata sul Server, derivi da una chiave privata salvata sul Client (in modo da garantire la reciproca autenticita` del Server e del Client) in modo da essere utilizzata, per l'intera sessione, per la cifratura simmetrica con algoritmi come AES o 3DES.
==== A cosa servono le release successive di una versione Stable di Debian (ad esempio Woody 3.0r4 o r6...)?====
Le varie release successive di una Debian Stable sono dovute a degli aggiornamenti di sicurezza, bugfix, rimozione di pacchetti non pi� usabili, ...


Ecco alcuni esempi:
==Scelta del software==
Woody 3.0R3
Woody 3.0r4
Woody 3.0r5
Woody 3.0r6


===Repository===
Ora, dopo aver fatto questa introduzione per chiarire i termini che user� in seguito, spiegher�, in pratica, come si crea una connessione SSH da Windows a Linux. Per far ci�, occorre scegliere un server-software SSH sulla macchina Linux (che funge dal Server) ed un client-software SSH su una macchina Windows (che funge da Client). Ora, per scegliere un server-software SSH per Linux, non esiste alcun problema in quanto la communit� Open Source ha creato un ottimo prodotto che, ormai, tutte le distribuzione lo installano come default. Questo prodotto � il software [http://www.openssh.com/ OpenSSH Server]. Ora, siccome Windows (in tutte le sue edizione per il Desktop) non ha nessun client-software SSH, occorre cercarne uno. Il pi� semplice client SSH con licenza certificata Open Source � [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] ma, chi volesse usare soprattutto la Shell di Linux ed avere qualche comodit� in pi� sullo stile di Windows, dovr� valutare programmi commerciali come [http://www.vandyke.com/products/securecrt/ SecureCRT] o [http://www.ssh.com/products/tectia/client/ SSH Tectia Client] che, per fortuna, si possono prelevare le versioni di valutazione completamente funzionanti prima dell'acquisto.
==== Cos'� un repository?====
Un repository � un archivio di pacchetti .deb (quelli tipici Debian), che presenta una sruttura ben definita, molto simile a quella che si trova all'interno di uno dei CD di installazione.
I pacchetti contenuti in un repository sono indicizzati in questi file:
* '''Packages.gz''' (se sono pacchetti contenenti binari)
* '''Sources.gz''' (se sono pacchetti contenenti codice sorgente)


Il comando
{{Box | Nota |I client SSH permettono soltanto di accedere alla Shell di Linux per poter eseguire comandi su un terminale a caratteri di questo sistema operativo. Per poter accedere anche al suo server grafico [http://it.wikipedia.org/wiki/X_Window_System X Window System] o '''X11''' o soltanto '''X''' (e, quindi, per poter controllare i vari ambienti grafici ed i programmi di X), occorre anche un [http://it.wikipedia.org/wiki/VNC client/server VNC]. Ora, niente paura in quanto, grazie alla funzionalit� [http://en.wikipedia.org/wiki/Tunneling_protocol Tunneling] di questi tre client SSH, � possibile controlare anche X sempre in modo sicuro.}}
<pre>
# apt-get update
</pre>
non fa altro che scaricare uno di questi file (a seconda che si sia scelto di avere la lista dei pacchetti binari o quella dei pacchetti sorgente) per ogni riga non commentata presente nel file <tt>/etc/apt/sources.list</tt>, cos� da avere disponibile sul proprio computer un elenco dei pacchetti contenuti nel repository indicato in quella riga.
Per approfondimenti vedere la sezione del wiki: [[Indice_Guide#Gestione_dei_Pacchetti | Gestione dei Pacchetti]].


E' dunque consigliabile avere nel proprio <tt>/etc/apt/sources.list</tt> diversi repository, in quanto potrebbero contenere pacchetti diversi.
==Configurazione dell'OpenSSH Server==


Una lista completa dei repository ufficiali pu� essere trovata sul sito ufficiale Debian: http://www.debian.org/mirror/mirrors_full.
Una volta installato l'OpenSSH Server sulla macchina Linux, occorre configurarlo per scegliere il modo di authentificazione che volete che le macchine Client usano per accedere a questa macchina Linux.
Diversamente esistono in internet moltissimi repository non ufficiali per le pi� disparate esigenze. Un punto di partenza per cercare repository non ufficiali potrebbe essere http://www.apt-get.org


====Come mai per Testing e Unstable non ci sono pi� i repository non-US?====
Le varie autentificazione che OpenSSH Server pu� offrire sono:
Come si pu� leggere in [http://lists.debian.org/debian-release/2005/05/msg01163.html questa email] apparsa il 18 maggio su debian-release, il ramo non-US � stato assimilato a quello principale, non essendoci pi� le motivazioni necessarie per l'esistenza di questa sezione.


===Security===
#Autentificazione tramite '''password'''
==== Come arrivano in testing gli aggiornamenti di sicurezza?====
#Autentificazione '''ChallengeResponseAuthentication''' o '''Keyboard-Interactive'''
Gli aggiornamenti di sicurezza giungono nella distribuzione testing tramite unstable. Essi sono solitamente inviati con una priorit� impostata ad high, il che ridurr� il loro tempo di quarantena a due giorni. Dopo questo periodo, i pacchetti migreranno in testing automaticamente, se compilati per tutte le architetture e con tutte le dipendendenze soddisfatte in testing.
#Autentificazione '''a chiave pubblica'''
#Autentifiazione '''GSSAPI'''


==== Come � gestita la sicurezza per contrib e non-free?====
'''L'autentificazione tramite password''' utilizza la Username e la Password dell'utente (le stesse usate per l'autentificazione in locale) per verificare se l'utente � autorizzato ad accedere da remoto alla macchina Linux.
La risposta breve �: non lo �. Contrib e non-free non sono parti ufficiali della distribuzione Debian e per questo non sono supportate dal team sicurezza. Alcuni pacchetti non-free sono distribuiti senza sorgenti o senza una licenza che permetta la distribuzione di versioni modificate. E in quei casi sono completamente impossibili i fix di sicurezza. Se c'� la possibilit� di risolvere il problema e il manutentore del pacchetto o qualcun altro fornisce un pacchetto correttamente aggiornato, allora di solito il team sicurezza lo processa e rilascia un advisory.


====Per quanto tempo sono assicurati gli aggiornamenti di sicurezza?====
'''L'autentificazione ChallengeResponseAuthentication o Keyboard-Interactive''' utilizza una serie di autentificazioni caratterizzate da richieste, fatte dal server SSH, che devono essere confermate dalle risposte mandate dal client SSH. Se le risposte coincidono a quelle memorizzate sul Server, l'utente � autorizzato ad accedere da remoto alla macchina Linux altrimenti questi non pu� entrare in tale macchina Linux.
Il team sicurezza cerca di supportare una distribuzione stable per circa un anno dal rilascio della successiva distribuzione stable, a meno che un'ulteriore distribuzione stable sia rilasciata nell'anno stesso. Non � possibile supportare tre distribuzioni; supportarne due contemporaneamente � gi� abbastanza difficile.


'''L'autentificazione a chiave pubblica''' verifica se la chiavi pubblica, memorizzata sul Server, '''derivi''' dalla chiave privata memorizzata sul Client dell'utente. Se tale verifica ha esito positivo, l'utente pu� accedere alla macchina Linux altrimetri no. Siccome la chiave privata � praticamente un file, che autorizza chiunque entra in possesso ad entrare in un Server SSH, � consigliabile protteggerla con una '''passphrase''' che, in sostanza, � una password che occorre inserirla ogni volta (o quasi) che si effettua una connessione verso tale Server SSH.


==Java==
'''L'autentifiazione GSSAPI''', basata su un'API generica, implementata su vari sistemi operativi, utilizza un determinato protocollo, che, normalmente, � Kerberos 5, per trasferire i dati per l'autentificazione.
=== Come posso installare Java su Debian, senza 'sporcare' il sistema? ===
Le soluzioni sono due:
* scaricarlo da un repository non ufficiale
* Crearsi da soli il pacchetto seguendo [[Make-jpkg:_Pacchettiziamo_Java_Sun | Questa Guida]]


=== Come mai non � presente, in Debian, il Java di Sun? ===
Le auttentificazioni pi� comode ed usate in una rete LAN (ma non solo) sono l''''autentificazione tramite password''' e l''''autentificazione a chiave pubblica'''. Quindi, la mia attenzione andr� soprattutto su queste due autentificazioni in quanto sono, forse, le pi� semplici da essere implementate.
Debian, come spesso ricordato, fornisce una Distribuzione Linux 100% FreeSoftware. Quindi Java (quello di Sun) non pu� venir incluso, visto che non � assolutamente considerabile FreeSoftware.  


Vengono, quindi, inclusi dei 'cloni' o, meglio, delle nuove implementazioni del linguaggio (kaffe, ad esempio).
Il file di configurazione di OpenSSH Server si chiama ''sshd_config'' che, normalmente, si trova nella directory ''/etc/ssh''.


=== Come posso risolvere i problemi di dipendenze legati ai pacchetti dei programmi scritti in Java? ===
Questo file � un file di testo composto da '''direttive''' (dette '''Keywords'''), che sono '''case-insensitive''', e da '''valori''', che sono '''case-sensitive'''. Quindi, per editarlo, basta un semplice editor di testo come '''vi''' o '''Emacs''' che avete gi� nella vostra distribuzione.
L'unico modo per risolvere questi 'fastidiosi' problemi � installare Java in formato .deb. Per fare questo ci sono due strade:
* pacchettizzarlo da soli (tramite il comodo tool java-package, una guida � reperibile [[Make-jpkg:_Pacchettiziamo_Java_Sun | Qui]])
* scaricandolo direttamente da un repository contenente Java.


=== Come posso abilitare il supporto a Java in Firefox? ===
Quindi, attiviamo, in forma base, le autentificazioni tramite password e a chiave pubblica e disattiviamo le altre per evitare conflitti ed accessi non desiderati a causa di eventuali bachi.
Partiamo dal presupporto che java sia stato installato [[Make-jpkg:_Pacchettiziamo_Java_Sun | seguendo questo metodo]].


Localizziamo il file ''libjavaplugin_oji.so'' tramite il comando
Perci�, verichiamo, da root, che, nel file ''/etc/ssh/sshd_config'', ci siano le seguenti keyword ed i corrispettivi valori; se si dovessero trovare delle keyword mancanti o dei valori che non corrispodessero a quei sotto-ennunciati, modificate semplicemente il testo stando attenti a non fare incominciare le keyword con il simbolo #:
<pre>
# dpkg -L sun-j2re1.5 | grep libjavaplugin_oji.so
</pre>
(ovviamente sun-j2re2.5 rappresenta il pacchetto che � stato creato tramite il processo descritto nella guida alla pacchettizzazione di Java)


Una volta individuato, � sufficiente creare un link simbolico:
*''Port <Numero porta d'ascolto>'' Questa keyword indica la porta d'ascolto dell'OpenSSH Server. Conviene cambiare la porta
<pre>
                                  d'ascolto di default per evitare, fin da subito, degli attacchi esterni e mettere un numero
# ln -s /usr/lib/j2re1.5-sun/plugin/i386/ns7/libjavaplugin_oji.so /usr/lib/mozilla-firefox/plugins/
                                  superiore a 1024 che non sia gi� usato da altri servizi locali o di Internet (per sapere le
</pre>
                                  porte Internet di default usate dai comuni servizi Internet, andate
[http://www.iana.org/assignments/port-numbers qui]). Si deve ricordare, dopo aver scelto tale porta, di "dire" al vostro fireware
                                  aprire in entrata tale porta per fare in modo che i vostri utenti remoti possono acceedere alla
                                  vostra macchina Linux.




----


 
--[[Utente:Balubeto|Balubeto]] 05:29, 3 Giu 2006 (EDT)
 
==Kernel==
==== Si pu� aggiornare il kernel a una versione successiva senza doverlo ricompilare? ====
Certamente!
con il comando
<pre>
# apt-cache search kernel-image
</pre>
si ottiene una lista dei kernel precompilati disponibili per il download.
Una volta individuata la versione voluta, � necessario scegliere quello adatto per il proprio processore (in caso di incertezze, scegliere quello generico i386) ed installarlo come se si trattasse di un normale pacchetto:
<pre>
# apt-get install kernel-image.....
</pre>
Per installare il kernel dalla versione 2.6.12 in poi, bisogna cercare i pacchetti che iniziano con linux-image anzich� kernel-image.
 
 
 
 
==Linux==
=== Audio ===
==== Il volume � al minimo a ogni riavvio. Come salvo le impostazioni? ====
Per configurare la scheda audio si usa il comando alsaconf:
<pre>
# alsaconf
</pre>
Se il comando non viene trovato, significa che dobbiamo installare le alsa-utils:
<pre>
# aptitude install alsa-utils
</pre>
Il tool alsaconf rileva automaticamente la scheda audio e imposta il sistema per il suo utilizzo. Se al riavvio le impostazioni del volume vengono sempre riportate al minimo, dobbiamo forzare il salvataggio delle impostazioni:
<pre>
# alsaconf
# alsamixer
# alsactl store
</pre>
con alsamixer impostiamo i livelli del volume, con 'alsactl store' salviamo le impostazioni.
 
=== Mount/Filesystem ===
==== Come posso fare in modo che, indicando 'auto' come filesystem al comando 'mount' venga provato prima 'vfat' che 'msdos'? ====
 
� sufficiente creare un file '''/etc/filesystems''' dal quale, il comando mount, legger� i filesystem da provare e l'ordine con cui farlo...
In /proc, inoltre, � gi� presente quel file (che viene usato in mancanza di /etc/filesystems).
 
Per fare tutto questo:
 
<pre>
# cp /proc/filesystems /etc
# vi /etc/filesystems
</pre>
 
ed invertire le righe contenenti 'msdos' e 'vfat'.
Se si vuole togliere un determinato filesystem dalla prova, � sufficiente apporre la parola 'nodev'.
 
=== Shell ===
==== Perch�, se aggiungo il mio utente ad un gruppo, le applicazioni non sembrano risentire della modifica? ====
Per 'applicare' il cambiamento effettuato alla lista dei gruppi in cui un utente e' inserito e' necessario effettuare una operazione di '''logout - login''', per consentire il ricaricamento della lista.
 
==== Come posso modificare i 'locales'? ====
La localizzazione � modificabile col comando
<pre>
# dpkg-reconfigure locales
</pre>
Se si vogliono maggiori opzioni (ed una configurazione un po' pi� dettagliata) � possibile utilizzare localeconf
<pre>
# apt-get install localeconf
</pre>
 
=== Varie ===
==== Che cosa esprime il comando uptime? ====
Il comando Uptime, di cui viene riportato un classico output
<pre>
$ uptime
23:02:23 up 23 days, 23:25,  1 user,  load average: 0.57, 0.57, 0.83
</pre>
rappresenta (nell'ordine):
* Ora attuale (23:02:23)
* Per quanto la macchina � stata accesa (up 23 days, 23:25); cio� il tempo passato dall'avvio o dall'ultimo reboot della macchina espresso in giorni, ore, minuti.
* Il numero di utenti connessi (1 user)
* Il carico della Macchina (load average: 0.57, 0.57, 0.83)
 
Il carico della macchina rappresenta i punti di carico degli ultimi 1, 5, 15 minuti
Riporto una breve descrizione, tratta dal [http://autistici.org/loa/web/main.html Corso di Linux di LOA Hacklab MI ](reperibile nella sezione Docs del loro sito).
 
<blockquote>Un punto di carico equivale a dire che la CPU ha lavoro a su?cienza per riempire il suo naturale ciclo di calcolo della durata di un secondo. Per dirla in altro modo, nell�arco di un secondo la CPU non ha tempo di eseguire un NOP, ossia un�istruzione vuota, che non fa nulla, che viene abitualmente "eseguita� nelle pause di elaborazione.</blockquote>
 
====  Come posso cambiare l'editor testuale di default utilizzato in shell? ====
Il comando
<pre>update-alternatives --config editor</pre>
consente di scegliere, da una lista di editor installati, quello che si vuole usare come default.
 
==== Come posso inserire caratteri con accenti particolari umlaut, angolare o tilde? ====
� possibile sfruttare alcune combinazioni di tasti nel seguente modo:
digitare la seguenza illustrata, poi rilasciare i tasti (a video non apparir� niente) e poi digitare la lettere:
 
[AltGr + Shift + . ] + [aeiou] = ���
 
[AltGr + Shift + � ] + [aeiou] = ����
 
[AltGr + Shift + 3 ] + [aioun] = �?�?�
 
[AltGr + Shift + �] + [a] = �
 
Vale anche per le lettere maiuscole
 
== X ==
=== Generale ===
==== Come posso modificare il login manager di default? ====
Per cambiare il proprio login manager di default, � necessario prima installare quello sostituivo.
 
Facciamo un esempio con '''kdm''' (installato) e '''gdm''' (da installare).
 
1) Installiamo il nuovo Login Manager
<pre>
# apt-get install gdm
</pre>
 
2) Durante l'installazione verr� chiesto quale Login Manager settare come default. Scegliamo quello nuovo.
 
Nel caso si fosse gi� scaricato il login manager, � necessario eseguire:
<pre>
# dpkg-reconfigure gdm
</pre>
(ovviamente sostituendo a gdm il nome del pacchetto del login manager)
 
Questo comando far� apparire la stessa finestra apparsa durante l'installazione con apt-get. Da qui � possibile scegliere il login manager di default.
 
==== Come posso riconfigurare il server X? ====
Debian offre un comodo comando per fare questo:
<pre>
# dpkg-reconfigure xserver-xfree86
</pre>
Cos� facendo, si acceder� alla stessa procedura guidata che viene mostrata durante l'installazione del pacchetto.
 
Altrimenti sono sempre disponibili i comandi standard:
<pre>
# xf86config
</pre>
per una configurazione testuale
 
<pre>
# xf86cfg
</pre>
per una configurazione grafica con l'autorilevamento dell'hardware
 
 
====Aggiungere il supporto per la rotella del mouse====
Modificare il file /etc/X11/XF86Config (o /etc/X11/XF86Config-4 o /etc/X11/xorg.conf), nella sezione riguardante il mouse...
 
Pre prima cosa bisogna modificare il driver del mouse, che deve diventare:<pre>
Option "Driver" "imPS/2"</pre>
questo permette di avere un driver supportante la rotella ;-)
 
Per attivarla, si aggiunga nella sezione del mouse la seguente riga:
<pre>
Option "ZAxisMapping" "4 5"</pre>
 
=== kde ===
==== Come mai non riesco ad avviare kppp anche se � installato? ====
Kppp, accedendo ad una componente 'critica' come una porta seriale, per poter essere eseguito da un utente normale, richiede che questo utente appartenga a due gruppi: '''dialout''' e '''dip'''.
Per fare cio' e' sufficiente usare i seguenti comandi:
<pre>
# adduser nomeutente dip
# adduser nomeutente dialout
</pre>
ed effettuare un ''logout - login'' per l'aggiornamento dei permessi.
 
==== Come posso abilitare in Kmail il supporto per le firme S/MIME? ====
dal 17 Marzo � sufficiente un normale:
<pre>
# apt-get install gpgsm gnupg-agent
</pre>
(presenti anche in sarge)
cos�, inoltre, funzioner� anche il programma kleopatra
([http://lists.debian.org/debian-kde/2005/03/msg00134.html Link alla News])
 
==== L'avvio di kdm risulta essere lento, come fare per sistemarlo? ====
Normalmente sembra essere un fatto legato alla cache dei fonts...
con un
<pre>
# fc-cache
</pre>
dovrebbe tornare tutto a posto
 
==== Come posso avere pi� display utilizzabili contemporaneamente? ====
Per display si intendono le 'sessioni di X eseguite in contemporanea'!
In pratica, si pu� configurare kdm in modo da rendere possibile l'avvio di pi� sessioni grafiche (utili nel caso in cui pi� utenti lavorino sulla stessa macchina, ed uno di questi non possa chiudere la propria sessione).
 
� sufficiente modificare il file
'''/etc/kde3/kdm/Xservers'''
Decommentando una (o pi�) delle righe:
 
<pre>
:1 local@tty2 reserve /usr/X11R6/bin/X -nolisten tcp :1
:2 local@tty3 reserve /usr/X11R6/bin/X -nolisten tcp :2
:3 local@tty4 reserve /usr/X11R6/bin/X -nolisten tcp :3
:4 local@tty5 reserve /usr/X11R6/bin/X -nolisten tcp :4
</pre>
 
 
Apparir�, dopo il riavvio di X, un pulsante che permette l'avvio di una nuova sessione grafica!
TheNoise
1 760

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/13524"

Menu di navigazione