OpenSSH: Windows: differenze tra le versioni

Vai alla navigazione Vai alla ricerca

OpenSSH: Windows (visualizza wikitesto)

Versione delle 08:36, 6 giu 2006

46 byte aggiunti ,  6 giu 2006
nessun oggetto della modifica
mNessun oggetto della modifica
Nessun oggetto della modifica
Riga 1: Riga 1:
{{stub}}
{{stub}}
==Introduzione==
Ho deciso di fare questa guida poich ho avuto molta difficolt a creare una connessione remota sicura fra una macchina Windows ed una Linux in una LAN (o in una WAN) in quanto la maggior parte delle guide, degli How-To e delle FAQ che ho trovato in Internet esamina tale connessione fra due macchine Linux.


=Introduzione=
La connessione remota sicura, che esaminero`, e` una connessione che usa il protocollo [http://it.wikipedia.org/wiki/Ssh SSH (Secure SHell)] e, perci�, � detta '''connessione SSH''' la quale si basa sulla [http://it.wikipedia.org/wiki/Crittografia_asimmetrica criptografia asimetrica] detta anche '''criptografia a coppia di chiavi''' o, piu` semplicemente, '''a chiave pubblica/privata''' (o, semplicemente, '''a chiave pubblica''') che consiste nella generazione di una coppia di chiavi (chiamate [http://it.wikipedia.org/wiki/Chiave_privata chiave privata] e [http://it.wikipedia.org/wiki/Chiave_pubblica chiave pubblica]). In pratica, la '''chiave pubblica''' codifica la communicazione mentre la '''chiave privata''' decodifica tale comunicazione e vengono generate usando degli algoritmi asimetrici che sono [http://it.wikipedia.org/wiki/RSA RSA] e [http://en.wikipedia.org/wiki/Digital_Signature_Algorithm DSA] e le connessioni che usano tali coppie di chiavi prodotte da questi algoritmi asimetrici sono dette '''connessioni SSH'''. Tali algoritmi, per�, servono soltanto per instaurare una connessione criptata fra il client SSH e il server SSH in quanto, per il trasferimento vero e proprio dei dati, si usano degli algoritmi simmetrici, come AES o 3DES, che sono molto pi� efficenti per questo scopo ovvero per cifrare la comunicazione. Quindi:
Spesso ci si trova in situazioni in cui alcuni pacchetti non sono installabili, oppure sembrano spariti dai repository, ...


Questa piccola guida mostra alcuni strumenti utilizzabili dagli utenti per monitorare lo stato di un pacchetto...
Una '''connessione SSH''' � una connessione cifrata che utilizza gli algoritmi asimetrici RSA o DSA soltanto per verificare se una chiave pubblica, memorizzata sul Server, derivi da una chiave privata salvata sul Client (in modo da garantire la reciproca autenticita` del Server e del Client) in modo da essere utilizzata, per l'intera sessione, per la cifratura simmetrica con algoritmi come AES o 3DES.


=Debian Quality Assurance=
==Scelta del software==
Faremo riferimento a questo progetto Debian, che ha lo scopo di mantenere la qualit� della distribuzione Debian al livello pi� alto possibile!
La home page del progetto � raggiungibile all'indirizzo http://qa.debian.org .


=PTS: Package Tracking System=
Ora, dopo aver fatto questa introduzione per chiarire i termini che user� in seguito, spiegher�, in pratica, come si crea una connessione SSH da Windows a Linux. Per far ci�, occorre scegliere un server-software SSH sulla macchina Linux (che funge dal Server) ed un client-software SSH su una macchina Windows (che funge da Client). Ora, per scegliere un server-software SSH per Linux, non esiste alcun problema in quanto la communit� Open Source ha creato un ottimo prodotto che, ormai, tutte le distribuzione lo installano come default. Questo prodotto � il software [http://www.openssh.com/ OpenSSH Server]. Ora, siccome Windows (in tutte le sue edizione per il Desktop) non ha nessun client-software SSH, occorre cercarne uno. Il pi� semplice client SSH con licenza certificata Open Source � [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] ma, chi volesse usare soprattutto la Shell di Linux ed avere qualche comodit� in pi� sullo stile di Windows, dovr� valutare programmi commerciali come [http://www.vandyke.com/products/securecrt/ SecureCRT] o [http://www.ssh.com/products/tectia/client/ SSH Tectia Client] che, per fortuna, si possono prelevare le versioni di valutazione completamente funzionanti prima dell'acquisto.
Il Package Tracking System ha lo scopo di tener traccia dei pacchetti presenti in Debian nei seguenti campi:
* Storia del Pacchetto
* Dati del [[Maintainer]]
* Rapporto con Testing
* Bug del pacchetto
* Versioni presenti in Debian
* Dati correlati al pacchetto:
** [[Changelog]]
** [[Copyright]]
** [[Buildd]] log
** [[Lintian]] report
** [[Popcon]] report


==Stato di un pacchetto==
{{Box | Nota |I client SSH permettono soltanto di accedere alla Shell di Linux per poter eseguire comandi su un terminale a caratteri di questo sistema operativo. Per poter accedere anche al suo server grafico [http://it.wikipedia.org/wiki/X_Window_System X Window System] o '''X11''' o soltanto '''X''' (e, quindi, per poter controllare i vari ambienti grafici ed i programmi di X), occorre anche un [http://it.wikipedia.org/wiki/VNC client/server VNC]. Ora, niente paura in quanto, grazie alla funzionalit� [http://en.wikipedia.org/wiki/Tunneling_protocol Tunneling] di questi tre client SSH, � possibile controlare anche X sempre in modo sicuro.}}


==General Information==
==Configurazione dell'OpenSSH Server==
Informazioni relative ai [[maintainer]] del pacchetto ed al suo stato (versione, sezione, priorit�, ...)


==Bugs Count==
Una volta installato l'OpenSSH Server sulla macchina Linux, occorre configurarlo per scegliere il modo di authentificazione che volete che le macchine Client usano per accedere a questa macchina Linux.
Monitor dei bug di un pacchetto. Sono classificati nel seguente modo:
;All bugs : tutti i bug presenti nel pacchetto
;Release Critical : bug con severit� ''critical'', ''grave'' o ''serious'' che potrebbero determinare la rimozione del pacchetto nel momento di rilascio della prossima release stabile
;Important and Normal : bug con severit� alta
;Minor and Wishlist : piccoli bug e richieste
;Fixed and Pending : numero di bug chiusi ed in attesa di chiusura (quando il pacchetto � in compilazione, quindi non presente nei repository)


==Subscription - Package Tracking System==
Le varie autentificazione che OpenSSH Server pu� offrire sono:
Consente di essere informati sullo sviluppo del pacchetto (nuove versioni, bug, aggiornamenti) tramite una e-mail.


Questo servizio consente, quindi, di essere informati su qualsiasi cambiamento relativo allo stato del pacchetto, consigliato per tutti i pacchetti importanti/indispensabili per fine lavorativi o di studio :)
#Autentificazione tramite '''password'''
#Autentificazione '''ChallengeResponseAuthentication''' o '''Keyboard-Interactive'''
#Autentificazione '''a chiave pubblica'''
#Autentifiazione '''GSSAPI'''


==Binary Package(s)==
'''L'autentificazione tramite password''' utilizza la Username e la Password dell'utente (le stesse usate per l'autentificazione in locale) per verificare se l'utente � autorizzato ad accedere da remoto alla macchina Linux.
Elenco dei pacchetti binari (il collegamento porta alla pagina ufficiale del pacchetto su [http://packages.debian.org packages.debian.org]) ed i suoi relativi bug, riportati nell'ordine descritto in ''Bugs Count''.


==Available versions==
'''L'autentificazione ChallengeResponseAuthentication o Keyboard-Interactive''' utilizza una serie di autentificazioni caratterizzate da richieste, fatte dal server SSH, che devono essere confermate dalle risposte mandate dal client SSH. Se le risposte coincidono a quelle memorizzate sul Server, l'utente � autorizzato ad accedere da remoto alla macchina Linux altrimenti questi non pu� entrare in tale macchina Linux.
Le versioni disponibile del pacchetto. Un ottimo indicatore per sapere subito se il pacchetto � presente o no nella release interessata.


==Sources Files==
'''L'autentificazione a chiave pubblica''' verifica se la chiavi pubblica, memorizzata sul Server, '''derivi''' dalla chiave privata memorizzata sul Client dell'utente. Se tale verifica ha esito positivo, l'utente pu� accedere alla macchina Linux altrimetri no. Siccome la chiave privata � praticamente un file, che autorizza chiunque entra in possesso ad entrare in un Server SSH, � consigliabile protteggerla con una '''passphrase''' che, in sostanza, � una password che occorre inserirla ogni volta (o quasi) che si effettua una connessione verso tale Server SSH.
Link ai sorgenti del pacchetto (quelli alla versione pi� recente, presente in unstable).


I sorgenti sono composti da due file, pi� uno contenente la 'descrizione':
'''L'autentifiazione GSSAPI''', basata su un'API generica, implementata su vari sistemi operativi, utilizza un determinato protocollo, che, normalmente, � Kerberos 5, per trasferire i dati per l'autentificazione.
* .orig.tar.gz rappresenta il pacchetto ufficiale, rilasciato dall'[[Upstream Author]]
* .diff.gz contiene la patch da applicare ai sorgenti ufficiali per ottenere il pacchetto Debian (di norma aggiunge una directory ''debian/'' all'interno dei sorgenti
* .dsc contiene la descrizione del pacchetto pi� altri dati importanti.


==Testing Status==
Le auttentificazioni pi� comode ed usate in una rete LAN (ma non solo) sono l''''autentificazione tramite password''' e l''''autentificazione a chiave pubblica'''. Quindi, la mia attenzione andr� soprattutto su queste due autentificazioni in quanto sono, forse, le pi� semplici da essere implementate.
Questa � la sezione pi� importante del PTS, in quanto mostra lo stato del pacchetto nei confronti della release [[Testing]].


Altro sito (questo non ufficiale) per monitorare lo stato dei pacchetti che cercano di entrare in testing � il seguente: [http://bjorn.haxx.se/debian/]. Cercando un pacchetto potrete vedere tutti i motivi che bloccano la migrazione di un pacchetti in testing (bug release critical, attese di altri pacchetti, tempo minimo non trascorso ecc...).
Il file di configurazione di OpenSSH Server si chiama ''sshd_config'' che, normalmente, si trova nella directory ''/etc/ssh''.


Altra chicca del precedente link � la possibilit� di monitorare quali pacchetti entrano in testing o sono rimossi ogni giorno.
Questo file � un file di testo composto da '''direttive''' (dette '''Keywords'''), che sono '''case-insensitive''', e da '''valori''', che sono '''case-sensitive'''. Quindi, per editarlo, basta un semplice editor di testo come '''vi''' o '''Emacs''' che avete gi� nella vostra distribuzione.


...
Quindi, attiviamo, in forma base, le autentificazioni tramite password e a chiave pubblica e disattiviamo le altre per evitare conflitti ed accessi non desiderati a causa di eventuali bachi.


[[Categoria:Apt]]
Perci�, verichiamo, da root, che, nel file ''/etc/ssh/sshd_config'', ci siano le seguenti keyword ed i corrispettivi valori; se si dovessero trovare delle keyword mancanti o dei valori che non corrispodessero a quei sotto-ennunciati, modificate semplicemente il testo stando attenti a non fare incominciare le keyword con il simbolo #:


==Conclusione==
;''Port <Numero porta d'ascolto>'' : Questa keyword indica la porta d'ascolto dell'OpenSSH Server. Conviene cambiare la porta d'ascolto di default per evitare, fin da subito, degli attacchi esterni e mettere un numero superiore a 1024 che non sia gi� usato da altri servizi locali o di Internet (per sapere le porte Internet di default usate dai comuni servizi Internet, andate [http://www.iana.org/assignments/port-numbers qui]). Si deve ricordare, dopo aver scelto tale porta, di "dire" al vostro fireware aprire in entrata tale porta per fare in modo che i vostri utenti remoti possono acceedere alla vostra macchina Linux.
 
 
----
 
--[[Utente:Balubeto|Balubeto]] 05:29, 3 Giu 2006 (EDT)
Balubeto
93

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/13534"

Menu di navigazione