OpenSSH: Windows: differenze tra le versioni

Vai alla navigazione Vai alla ricerca

OpenSSH: Windows (visualizza wikitesto)

Versione delle 15:23, 9 giu 2006

2 byte aggiunti ,  9 giu 2006
m
nessun oggetto della modifica
mNessun oggetto della modifica
mNessun oggetto della modifica
Riga 1: Riga 1:
{{stub}}
Uniso � un tool molto comodo che risolve uno dei pi� grandi problemi dei possesori di portatili (dopo il risparmio energetico, ovviamente): la sincronizzazione.
==Introduzione==
Ho deciso di fare questa guida poichè ho avuto molta difficoltà a creare una connessione remota sicura fra una macchina Windows ed una Linux in una LAN (o in una WAN) in quanto la maggior parte delle guide, degli How-To e delle FAQ che ho trovato in Internet esamina tale connessione fra due macchine Linux.


La connessione remota sicura, che esaminero`, e` una connessione che usa il protocollo [http://it.wikipedia.org/wiki/Ssh SSH (Secure SHell)] e, perciò, é detta '''connessione SSH''' la quale si basa sulla [http://it.wikipedia.org/wiki/Crittografia_asimmetrica criptografia asimetrica] detta anche '''criptografia a coppia di chiavi''' o, piu` semplicemente, '''a chiave pubblica/privata''' (o, semplicemente, '''a chiave pubblica''') che consiste nella generazione di una coppia di chiavi (chiamate [http://it.wikipedia.org/wiki/Chiave_privata chiave privata] e [http://it.wikipedia.org/wiki/Chiave_pubblica chiave pubblica]). In pratica, la '''chiave pubblica''' codifica la communicazione mentre la '''chiave privata''' decodifica tale comunicazione e vengono generate usando degli algoritmi asimetrici che sono [http://it.wikipedia.org/wiki/RSA RSA] e [http://en.wikipedia.org/wiki/Digital_Signature_Algorithm DSA] e le connessioni che usano tali coppie di chiavi prodotte da questi algoritmi asimetrici sono dette '''connessioni SSH'''. Tali algoritmi, però, servono soltanto per instaurare una connessione criptata fra il client SSH e il server SSH in quanto, per il trasferimento vero e proprio dei dati, si usano degli algoritmi simmetrici, come AES o 3DES, che sono molto più efficenti per questo scopo ovvero per cifrare la comunicazione. Quindi:
Mi trovo spesso nella situazione in cui un semplice rsync non basta per sincronizzare le directory documenti, dato che ci sono state modifiche da entrambe le parti! Cos� mi viene in aiuto unison, che permette di gestire questo genere di situazioni.


Una '''connessione SSH''' é una connessione cifrata che utilizza gli algoritmi asimetrici RSA o DSA soltanto per verificare se una chiave pubblica, memorizzata sul Server, derivi da una chiave privata salvata sul Client (in modo da garantire la reciproca autenticita` del Server e del Client) in modo da essere utilizzata, per l'intera sessione, per la cifratura simmetrica con algoritmi come AES o 3DES.
Unison � utilizzabile sia da interfaccia grafica, sia da riga di comando. In questa guida le affronteremo entrambe!


==Scelta del software==
__TOC__


Ora, dopo aver fatto questa introduzione per chiarire i termini che userò in seguito, spiegherò, in pratica, come si crea una connessione SSH da Windows a Linux. Per far ciò, occorre scegliere un server-software SSH sulla macchina Linux (che funge dal Server) ed un client-software SSH su una macchina Windows (che funge da Client). Ora, per scegliere un server-software SSH per Linux, non esiste alcun problema in quanto la communità Open Source ha creato un ottimo prodotto che, ormai, tutte le distribuzione lo installano come default. Questo prodotto é il software [http://www.openssh.com/ OpenSSH Server]. Ora, siccome Windows (in tutte le sue edizione per il Desktop) non ha nessun client-software SSH, occorre cercarne uno. Il più semplice client SSH con licenza certificata Open Source é [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] ma, chi volesse usare soprattutto la Shell di Linux ed avere qualche comodità in più sullo stile di Windows, dovrà valutare programmi commerciali come [http://www.vandyke.com/products/securecrt/ SecureCRT] o [http://www.ssh.com/products/tectia/client/ SSH Tectia Client] che, per fortuna, si possono prelevare le versioni di valutazione completamente funzionanti prima dell'acquisto.
= Installazione =
I pacchetti sono due: ''unison'' ed ''unison-gtk'':
<pre>
# apt-get install unison unison-gtk
</pre>


{{Box | Nota |I client SSH permettono soltanto di accedere alla Shell di Linux per poter eseguire comandi su un terminale a caratteri di questo sistema operativo. Per poter accedere anche al suo server grafico [http://it.wikipedia.org/wiki/X_Window_System X Window System] o '''X11''' o soltanto '''X''' (e, quindi, per poter controllare i vari ambienti grafici ed i programmi di X), occorre anche un [http://it.wikipedia.org/wiki/VNC client/server VNC]. Ora, niente paura in quanto, grazie alla funzionalità [http://en.wikipedia.org/wiki/Tunneling_protocol Tunneling] di questi tre client SSH, é possibile controlare anche X sempre in modo sicuro.}}
= Utilizzo =
== Riga di Comando ==
L'utilizzo � semplice ed intuitivo; la sintassi da utilizzare � la seguente:
<pre>
$ unison  root1  root2  [opzioni]
</pre>


==Configurazione dell'OpenSSH Server==
il comando permette la sincronizzazione tra le due directory. � possibile indicare la directory di un host remoto utilizzando il protocollo ssh:
<pre>
ssh://username@server/directory
</pre>


Una volta installato l'OpenSSH Server sulla macchina Linux, occorre configurarlo per scegliere il modo di authentificazione che volete che le macchine Client usano per accedere a questa macchina Linux.
Supponendo di voler sincronizzare la directory Documenti presente sul dekstop con quella presente sul laptop, possiamo usare il seguente comando:
<pre>
$ unison ssh://username@ipdesktop/Documenti Documenti
</pre>


Le varie autentificazione che OpenSSH Server può offrire sono:
Verr� avviato il processo che controller� lo stato delle due directory; al termine del controllo verranno poste delle domande sul da farsi, come nell'esempio sottostante:
<pre>
Looking for changes
  Avis/5 minuti/PER CONOSCERE I NOSTRI ESAMI.doc
  Avis/Verbali/2004/20040609.pdf
  Universita/Architettura di Elaboratori/Sis/Introduzione_a_SIS-Algebra_di_Commutazione.pdf
  Universita/Sistemi Operativi/Slide/filesys-1_x2.pdf
  Universita/Sistemi Operativi/Slide/synchro-2_x1.pdf
  Waiting for changes from server
Reconciling changes


#Autentificazione tramite '''password'''
knio          local
#Autentificazione '''ChallengeResponseAuthentication''' o '''Keyboard-Interactive'''
chgd dir <-?-> deleted    Avis/DonareAvis  []    </pre>
#Autentificazione '''a chiave pubblica'''
Si possono individuare 5 colonne:
#Autentifiazione '''GSSAPI'''
# host1: stato del file
# verso dell'azione
# host2: stato del file (se vuoto indica ''non presente'')
# File/Directory in questione
# Scelta suggerita


'''L'autentificazione tramite password''' utilizza la Username e la Password dell'utente (le stesse usate per l'autentificazione in locale) per verificare se l'utente é autorizzato ad accedere da remoto alla macchina Linux.
Se inseriamo un '?', otterremo una breve guida sulle opzioni disponibili:
; f : sostituisci le raccomandazioni di Unison (equivale a premere invio)
; I : ignora questa directory in modo definitivo
; E : ignora i file con questa estensione in modo definitivo
; N : ignora i percorsi che finiscono con questo nome
; m : effettua un merge tra i due file
; d : mostra le differenze
; x : mostra i dettagli
; l : elenca tutti i cambiamenti suggeriti
; p : vai alla scelta precedente
; b : come p
; g : procedi immediatamente ad applicare i cambiamenti
; q : esci senza effettuare alcun cambiamento
; / : salta
; > : effettua le modifiche da host1 a host2
; . : come >
; < : effettua le modifiche da host2 a host1
; , : come <


'''L'autentificazione ChallengeResponseAuthentication o Keyboard-Interactive''' utilizza una serie di autentificazioni caratterizzate da richieste, fatte dal server SSH, che devono essere confermate dalle risposte mandate dal client SSH. Se le risposte coincidono a quelle memorizzate sul Server, l'utente é autorizzato ad accedere da remoto alla macchina Linux altrimenti questi non può entrare in tale macchina Linux.
== Interfaccia Grafica ==
L'interfaccia grafica offre uno strumento sicuramente pi� intuitivo e facile da usare. A differenza della riga di comando, per�, consente la creazione di profili (che verranno salvati in ~/.unison/ ), permettendo di riutilizzare ogni profilo in modo rapido (viene conservato un database dello stato dei file).


'''L'autentificazione a chiave pubblica''' verifica se la chiavi pubblica, memorizzata sul Server, '''derivi''' dalla chiave privata memorizzata sul Client dell'utente. Se tale verifica ha esito positivo, l'utente può accedere alla macchina Linux altrimetri no. Siccome la chiave privata é praticamente un file, che autorizza chiunque entra in possesso ad entrare in un Server SSH, é consigliabile protteggerla con una '''passphrase''' che, in sostanza, é una password che occorre inserirla ogni volta (o quasi) che si effettua una connessione verso tale Server SSH.
Per avviare l'interfaccia grafica, eseguiamo ''unison-gtk''.


'''L'autentifiazione GSSAPI''', basata su un'API generica, implementata su vari sistemi operativi, utilizza un determinato protocollo, che, normalmente, é Kerberos 5, per trasferire i dati per l'autentificazione.
Se � la prima volta che lo avviamo, ci verranno chiesti dei dati (la directory locale, quella remota) e verr� automaticamente creato un profilo. Inoltre riceveremo un messaggio di avvertimento, che notificher� la mancanza del database di sincronizzazione, che verr� subito creato.


Le auttentificazioni più comode ed usate in una rete LAN (ma non solo) sono l''''autentificazione tramite password''' e l''''autentificazione a chiave pubblica'''. Quindi, la mia attenzione andrà soprattutto su queste due autentificazioni in quanto sono, forse, le più semplici da essere implementate.
[[Immagine:Unison.jpg|thumb|center|Schermata riepilogativa di Unison]]


Il file di configurazione di OpenSSH Server si chiama ''sshd_config'' che, normalmente, si trova nella directory ''/etc/ssh''.
Al termine della sincronizzazione, verr� mostrata una schermata riepilogativa, che mostrer� le azioni consigliate (direttamente nella tabella) e le opzioni disponibili (sottoforma di tasti)!


Questo file é un file di testo composto da '''direttive''' (dette '''Keywords'''), che sono '''case-insensitive''', e da '''valori''', che sono '''case-sensitive'''. Quindi, per editarlo, basta un semplice editor di testo come '''vi''' o '''Emacs''' che avete già nella vostra distribuzione.
= Configurazioni d'esempio =
== Filesystem Fat ==
Unison sembra lo strumento perfetto per sincronizzare qualsiasi dispositivo, ma se viene utilizzato con dispositivi come chiavette USB o altri supporti formattati con FAT, si incorre in un errore banale, ma non facilmente sormontabile (o meglio... non immediatamente): i permessi!


Quindi, attiviamo, in forma base, le autentificazioni tramite password e a chiave pubblica e disattiviamo le altre per evitare conflitti ed accessi non desiderati a causa di eventuali bachi.
Se si cerca di sincronizzare una directory del proprio hard disk con una inserita in un filesystem fat, la copia fallir�, in quanto unison non � in grado di propagare correttamente i permessi sui file (ricordo che non sono supportati dal filesystem FAT).


Perciò, verichiamo, da root, che, nel file ''/etc/ssh/sshd_config'', ci siano le seguenti keyword ed i corrispettivi valori; se si dovessero trovare delle keyword mancanti o dei valori che non corrispodessero a quei sotto-ennunciati, modificate semplicemente il testo stando attenti a non fare incominciare le keyword con il simbolo # (sto facendo rifferimento al file ''/etc/ssh/sshd_config'' creato da OpenSSH Server come default):
Per ovviare a questo problema, allego un profilo di unison (da modificare e collocare nella propria ~/.unison/ ) per sinconizzare la directory documenti della propria home con quella contenuta in una chiavetta usb:


{|
<pre>
|style="width:20em;vertical-align:top;"|''Port <Numero porta d'ascolto>''
root = /home/maxer/Documenti/
|Il valore di questa keyword indica la porta d'ascolto dell'OpenSSH Server. Conviene cambiare la porta d'ascolto di default per evitare, fin da subito, degli attacchi esterni e mettere un numero superiore a 1024 che non sia già usato da altri servizi locali o di Internet (per sapere le porte Internet di default usate dai comuni servizi Internet, andate [http://www.iana.org/assignments/port-numbers qui]). Si deve ricordare, dopo aver scelto tale porta, di "dire" al vostro firewall di aprire in entrata tale porta per fare in modo che i vostri utenti remoti possono accedere alla vostra macchina Linux.
root = /media/sda1/Documenti/
|-
|style="width:20em;vertical-align:top;"|''Protocol 2''
|Il valore di questa keyword indica quale protocollo SSH utilizzare. Consiglio di utilizzare soltanto il protocollo 2 in quanto il protocollo 1 ha seri problemi di sicurezza.
|-
|style="width:20em;vertical-align:top;"|''PermitRootLogin no''
|Il valore di questa keyword evita l'accesso come root da remoto con '''una sola''' autentificazione. Cio' garantisce maggior sicurezza alla vostra Linux-Box poichè, se uno volesse accedere come root, dovrebbe prima autentificarsi come utente normale per poi autentificarsi come root tramite il comando ''su''. In altre parore, con questa keyword impostata su '''no''', si volesse accedere come root da remoto, occorrerebbe autentificarsi '''due''' volte anzichè '''una'''.
|-
|style="width:20em;vertical-align:top;"|''PasswordAuthentication yes''
|Il valore di questa keyword permette l'autentificazione mediante un semplice Login (Username e Password) da remoto.
|-
|style="width:20em;vertical-align:top;"|''PermitEmptyPasswords no''
|Il valore di questa keyword evita che l'autentificazione mediante un semplice Login remoto avenga senza la richiesta di una password se la keyword ''PasswordAuthentication'' é impostata sul ''yes''.
|-
|style="width:20em;vertical-align:top;"|''ChallengeResponseAuthentication no''
||Il valore di questa keyword non permette l'autentificazione mediante richieste-risposte ben precise fra il server ed il client SSH.
|-
|style="width:20em;vertical-align:top;"|''PubkeyAuthentication yes''
|Il valore di questa keyword permette l'autentificazione mediante una coppia di chiavi, una '''pubblica''', memorizzata sul Server, ed una '''privata''' salvata sul Client.
|-
|style="width:20em;vertical-align:top;"|''AuthorizedKeysFile <File chiavi pubbliche>
|Il valore di questa keyword é il nome del file dove vengono memorizzate le chiavi publiche degli utenti remoti che servono per verificare se una di queste derivi dalla chiave privata memorizzata dal client SSH che cerca di effettuare una connessione SSH utilizzando un''''autentificazione a chiave pubblica'''. Logicamente, tale keyword viene considerata soltanto se la keyword ''PubkeyAuthentication'' é impostata su ''yes''. Il valore di tale keyword deve contenere il path assoluto o relativo di questo file compreso il nome stesso (il valore di default é ''.ssh/authorized_keys''). Normalmente, il path assoluto si usa quando il gestore del Server vuole tenere sott'occhio un unico file (che può anche essere memorizzato, per motivi di sicurezza, su un'altra macchina); mentre il path relativo alla home directory di ogni utente remoto viene, normalmente, usato per far sì che ogni file venga gestito da lui stesso mettendo una o più delle sue chiavi pubbliche.
|}


# utili per non copiare sporcizia
ignore = Name Thumbs.db
ignore = Name *~
ignore = Name *.tmp


#vengono ignorati i permessi
perms = 0000
</pre>


= Conclusioni =
Questa piccola introduzione mostra l'utilizzo base di questo potente strumento. Nella directory /usr/share/doc/unison presente dell'ottima manualistica, che mostra tutti i possibili utilizzi di questo programma ;-)




 
[[Categoria:Desktop]]
----
[[Categoria:Laptop]]
 
--[[Utente:Balubeto|Balubeto]] 10:52, 9 Giu 2006 (EDT)
Balubeto
93

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/13559"

Menu di navigazione