Guide@Debianizzati.Org

OpenSSH: Windows: differenze tra le versioni

Pagina Discussione

OpenSSH: Windows (visualizza wikitesto)

Versione delle 09:07, 10 giu 2006

1 631 byte aggiunti ,  10 giu 2006
m
nessun oggetto della modifica
mNessun oggetto della modifica
mNessun oggetto della modifica
Riga 1: Riga 1:
[[immagine:Hp-compaq-nx6110.jpg|frame|right|HP Compaq nx6110]]
{{stub}}
Il portatile HP Compaq NX 6110 viene certificato da HP come compatibile al 100% con GNU/Linux. HP distribuisce opzionalmente (almeno ufficialmente, io non ne ho trovati disponibili) questi portatili senza alcun sistema operativo ed ha lavorato con Ubuntu per utilizzare hardware pienamente funzionante anche con GNU/Linux.  
==Introduzione==
Ho deciso di fare questa guida poich� ho avuto molta difficolt� a creare una connessione remota sicura fra una macchina Windows ed una Linux in una LAN (o in una WAN) in quanto la maggior parte delle guide, degli How-To e delle FAQ che ho trovato in Internet esamina tale connessione fra due macchine Linux.


''Guida segnalata su [http://tuxmobil.org/hp_compaq.html TuxMobil] e [http://www.linux-on-laptops.com/hp.html Linux On Laptops]''
La connessione remota sicura, che esaminero`, e` una connessione che usa il protocollo [http://it.wikipedia.org/wiki/Ssh SSH (Secure SHell)] e, perci�, � detta '''connessione SSH''' la quale si basa sulla [http://it.wikipedia.org/wiki/Crittografia_asimmetrica criptografia asimetrica] detta anche '''criptografia a coppia di chiavi''' o, piu` semplicemente, '''a chiave pubblica/privata''' (o, semplicemente, '''a chiave pubblica''') che consiste nella generazione di una coppia di chiavi (chiamate [http://it.wikipedia.org/wiki/Chiave_privata chiave privata] e [http://it.wikipedia.org/wiki/Chiave_pubblica chiave pubblica]). In pratica, la '''chiave pubblica''' codifica la communicazione mentre la '''chiave privata''' decodifica tale comunicazione e vengono generate usando degli algoritmi asimetrici che sono [http://it.wikipedia.org/wiki/RSA RSA] e [http://en.wikipedia.org/wiki/Digital_Signature_Algorithm DSA] e le connessioni che usano tali coppie di chiavi prodotte da questi algoritmi asimetrici sono dette '''connessioni SSH'''. Tali algoritmi, per�, servono soltanto per instaurare una connessione criptata fra il client SSH e il server SSH in quanto, per il trasferimento vero e proprio dei dati, si usano degli algoritmi simmetrici, come AES o 3DES, che sono molto pi� efficenti per questo scopo ovvero per cifrare la comunicazione. Quindi:


=Hardware=
Una '''connessione SSH''' � una connessione cifrata che utilizza gli algoritmi asimetrici RSA o DSA soltanto per verificare se una chiave pubblica, memorizzata sul Server, derivi da una chiave privata salvata sul Client (in modo da garantire la reciproca autenticita` del Server e del Client) in modo da essere utilizzata, per l'intera sessione, per la cifratura simmetrica con algoritmi come AES o 3DES.
* Processore: Intel(R) Pentium(R) M processor 1.50GHz
* Memoria RAM: 512Mb
* Scheda Video: Intel 915GM
* Scheda Audio: Intel AC'97 (modem)
* Scheda Ethernet: Broadcom BCM 4401 100 Base TX
* Scheda Wireless: Intel PRO/Wireless LAN 2200 BG mini PCI


=Output di lspci=
==Scelta del software==
<pre>Host bridge: Intel Corporation Mobile 915GM/PM/GMS/910GML Express Processor
to DRAM Controller (rev 03)


VGA compatible controller: Intel Corporation Mobile 915GM/GMS/910GML Express
Ora, dopo aver fatto questa introduzione per chiarire i termini che user� in seguito, spiegher�, in pratica, come si crea una connessione SSH da Windows a Linux. Per far ci�, occorre scegliere un server-software SSH sulla macchina Linux (che funge dal Server) ed un client-software SSH su una macchina Windows (che funge da Client). Ora, per scegliere un server-software SSH per Linux, non esiste alcun problema in quanto la communit� Open Source ha creato un ottimo prodotto che, ormai, tutte le distribuzione lo installano come default. Questo prodotto � il software [http://www.openssh.com/ OpenSSH Server]. Ora, siccome Windows (in tutte le sue edizione per il Desktop) non ha nessun client-software SSH, occorre cercarne uno. Il pi� semplice client SSH con licenza certificata Open Source � [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] ma, chi volesse usare soprattutto la Shell di Linux ed avere qualche comodit� in pi� sullo stile di Windows, dovr� valutare programmi commerciali come [http://www.vandyke.com/products/securecrt/ SecureCRT] o [http://www.ssh.com/products/tectia/client/ SSH Tectia Client] che, per fortuna, si possono prelevare le versioni di valutazione completamente funzionanti prima dell'acquisto.
Graphics Controller (rev 03)


Display controller: Intel Corporation Mobile 915GM/GMS/910GML Express Graphics
{{Box | Nota |I client SSH permettono soltanto di accedere alla Shell di Linux per poter eseguire comandi su un terminale a caratteri di questo sistema operativo. Per poter accedere anche al suo server grafico [http://it.wikipedia.org/wiki/X_Window_System X Window System] o '''X11''' o soltanto '''X''' (e, quindi, per poter controllare i vari ambienti grafici ed i programmi di X), occorre anche un [http://it.wikipedia.org/wiki/VNC client/server VNC]. Ora, niente paura in quanto, grazie alla funzionalit� [http://en.wikipedia.org/wiki/Tunneling_protocol Tunneling] di questi tre client SSH, � possibile controlare anche X sempre in modo sicuro.}}
Controller (rev 03)


USB Controller: Intel Corporation 82801FB/FBM/FR/FW/FRW (ICH6 Family) USB UHCI
==Configurazione dell'OpenSSH Server==
#1 (rev 03)


USB Controller: Intel Corporation 82801FB/FBM/FR/FW/FRW (ICH6 Family) USB UHCI
Una volta installato l'OpenSSH Server sulla macchina Linux, occorre configurarlo per scegliere il modo di authentificazione che volete che le macchine Client usano per accedere a questa macchina Linux.
#2 (rev 03)


USB Controller: Intel Corporation 82801FB/FBM/FR/FW/FRW (ICH6 Family) USB UHCI
Le varie autentificazione che OpenSSH Server pu� offrire sono:
#3 (rev 03)


USB Controller: Intel Corporation 82801FB/FBM/FR/FW/FRW (ICH6 Family) USB UHCI
#Autentificazione tramite '''password'''
#4 (rev 03)
#Autentificazione '''ChallengeResponseAuthentication''' o '''Keyboard-Interactive'''
#Autentificazione '''a chiave pubblica'''
#Autentifiazione '''GSSAPI'''


USB Controller: Intel Corporation 82801FB/FBM/FR/FW/FRW (ICH6 Family) USB2 EHCI
'''L'autentificazione tramite password''' utilizza la Username e la Password dell'utente (le stesse usate per l'autentificazione in locale) per verificare se l'utente � autorizzato ad accedere da remoto alla macchina Linux.
Controller (rev 03)


PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev d3)
'''L'autentificazione ChallengeResponseAuthentication o Keyboard-Interactive''' utilizza una serie di autentificazioni caratterizzate da richieste, fatte dal server SSH, che devono essere confermate dalle risposte mandate dal client SSH. Se le risposte coincidono a quelle memorizzate sul Server, l'utente � autorizzato ad accedere da remoto alla macchina Linux altrimenti questi non pu� entrare in tale macchina Linux.


Multimedia audio controller: Intel Corporation 82801FB/FBM/FR/FW/FRW (ICH6 Family)
'''L'autentificazione a chiave pubblica''' verifica se la chiavi pubblica, memorizzata sul Server, '''derivi''' dalla chiave privata memorizzata sul Client dell'utente. Se tale verifica ha esito positivo, l'utente pu� accedere alla macchina Linux altrimetri no. Siccome la chiave privata � praticamente un file, che autorizza chiunque entra in possesso ad entrare in un Server SSH, � consigliabile protteggerla con una '''passphrase''' che, in sostanza, � una password che occorre inserirla ogni volta (o quasi) che si effettua una connessione verso tale Server SSH.
AC'97 Audio Controller (rev 03)


Modem: Intel Corporation 82801FB/FBM/FR/FW/FRW (ICH6 Family) AC'97 Modem
'''L'autentifiazione GSSAPI''', basata su un'API generica, implementata su vari sistemi operativi, utilizza un determinato protocollo, che, normalmente, � Kerberos 5, per trasferire i dati per l'autentificazione.
Controller (rev 03)


ISA bridge: Intel Corporation 82801FBM (ICH6M) LPC Interface Bridge (rev 03)
Le auttentificazioni pi� comode ed usate in una rete LAN (ma non solo) sono l''''autentificazione tramite password''' e l''''autentificazione a chiave pubblica'''. Quindi, la mia attenzione andr� soprattutto su queste due autentificazioni in quanto sono, forse, le pi� semplici da essere implementate.


IDE interface: Intel Corporation 82801FB/FBM/FR/FW/FRW (ICH6 Family) IDE
Il file di configurazione di OpenSSH Server si chiama ''sshd_config'' che, normalmente, si trova nella directory ''/etc/ssh''.
Controller (rev 03)


Network controller: Intel Corporation PRO/Wireless 2200BG (rev 05)
Questo file � un file di testo composto da '''direttive''' (dette '''Keywords'''), che sono '''case-insensitive''', e da '''valori''', che sono '''case-sensitive'''. Quindi, per editarlo, basta un semplice editor di testo come '''vi''' o '''Emacs''' che avete gi� nella vostra distribuzione.


CardBus bridge: Texas Instruments PCIxx21/x515 Cardbus Controller
Quindi, attiviamo, in forma base, le autentificazioni tramite password e a chiave pubblica e disattiviamo le altre per evitare conflitti ed accessi non desiderati a causa di eventuali bachi.


FireWire (IEEE 1394): Texas Instruments OHCI Compliant IEEE 1394 Host Controller
Perci�, verichiamo, da root, che, nel file ''/etc/ssh/sshd_config'', ci siano le seguenti keyword ed i corrispettivi valori; se si dovessero trovare delle keyword mancanti o dei valori che non corrispodessero a quei sotto-ennunciati, modificate semplicemente il testo stando attenti a non fare incominciare le keyword con il simbolo # (sto facendo rifferimento al file ''/etc/ssh/sshd_config'' creato da OpenSSH Server come default):


Ethernet controller: Broadcom Corporation BCM4401-B0 100Base-TX (rev 02)</pre>
{|
|style="width:14.5em;vertical-align:top;"|''Port <Numero porta d'ascolto>''
|Il valore di questa keyword indica la porta d'ascolto dell'OpenSSH Server. Conviene cambiare la porta d'ascolto di default per evitare, fin da subito, degli attacchi esterni e mettere un numero superiore a 1024 che non sia gi� usato da altri servizi locali o di Internet (per sapere le porte Internet di default usate dai comuni servizi Internet, andate [http://www.iana.org/assignments/port-numbers qui]). Si deve ricordare, dopo aver scelto tale porta, di "dire" al vostro firewall di aprire in entrata tale porta per fare in modo che i vostri utenti remoti possono accedere alla vostra macchina Linux.
|-
|style="width:14.5em;vertical-align:top;"|''Protocol 2''
|Il valore di questa keyword indica quale protocollo SSH utilizzare. Consiglio di utilizzare soltanto il protocollo 2 in quanto il protocollo 1 ha seri problemi di sicurezza.
|-
|style="width:14.5em;vertical-align:top;"|''PermitRootLogin no''
|Il valore di questa keyword evita l'accesso come root da remoto con '''una sola''' autentificazione. Cio' garantisce maggior sicurezza alla vostra Linux-Box poich�, se uno volesse accedere come root, dovrebbe prima autentificarsi come utente normale per poi autentificarsi come root tramite il comando ''su''. In altre parore, con questa keyword impostata su '''no''', si volesse accedere come root da remoto, occorrerebbe autentificarsi '''due''' volte anzich� '''una'''.
|-
|style="width:14.5em;vertical-align:top;"|''PasswordAuthentication yes''
|Il valore di questa keyword permette l'autentificazione mediante un semplice Login (Username e Password) da remoto.|-
|style="width:14.5em;vertical-align:top;"|''PermitEmptyPasswords no''
|Il valore di questa keyword evita che l'autentificazione mediante un semplice Login remoto avenga senza la richiesta di una password se la keyword ''PasswordAuthentication'' � impostata sul ''yes''.
|-
|style="width:14.5em;vertical-align:top;"|''ChallengeResponseAuthentication no''
||Il valore di questa keyword non permette l'autentificazione mediante richieste-risposte ben precise fra il server ed il client SSH.
|-
|style="width:14.5em;vertical-align:top;"|''PubkeyAuthentication yes''
|Il valore di questa keyword permette l'autentificazione mediante una coppia di chiavi, una '''pubblica''', memorizzata sul Server, ed una '''privata''' salvata sul Client.
|}


=Configurazione=


==Il Kernel==


===Kernel 2.6.12 e 2.6.13===
Metto a disposizione degli interessati il file di configurazione per i kernel [[Kernel config per HP Compaq NX 6110| 2.6.12 e 2.6.13]] (dovrebbe funzionare anche con altre versioni comunque). Andate al link, copiate il testo e incollatelo in un file sul vostro PC e quindi spostatelo nella directory dove risiedono i sorgenti del kernel che volete compilare (normalmente /usr/src/linux/) rinominandolo in ''.config''.
{{Warningbox|Il kernel configurato per fornire supporto ai filesystems ext2 e reiserFS (oltre a VFAT, NTFSrw e NCPFS). Se la vostra installazione prevede l' uso di altri filesystems, ''' necessario''' abilitarli prima di ricompilare il kernel. Altra peculiarit&agrave; da notare &egrave; la mancanza dei moduli per il PPP anche questi da abilitare se necessari.}}


===Kernel 2.6.16 (aggiornamento)===
&Egrave; disponibile il file di configurazione per kernel della serie [[Kernel config per HP Compaq NX 6110 2.6.16|2.6.16]] testato con successo sia con sorgenti del tree ufficiale ''vanilla'' che ''debian''. A differenza del file di configurazione precedente, i moduli per il supporto ACPI a batteria, ventole di raffreddamento, ecc... sono compilati come modulo, ma dovrebbero essere caricati automaticamente durante l' avvio del sistema.
In questo file di configurazione ho compilato staticamente il supporto grafico VESA, in questo modo &egrave; possibile abilitare risoluzioni superiori a quella standard gi&agrave; durante l' avvio del kernel. Per fare questo &egrave; sufficiente aggiungere il parametro "vga=771" (o altro) a quelli di avvio del nostro kernel.


==Processore, frequency scaling e ACPI==
=== Frequency Scaling===
Il kernel cos configurato supporta le tecnologie di scaling per la frequenza della CPU. Dato che il supporto compilato come modulo, necessario che esso venga caricato prima di poter essere disponibile (modulo '''speedstep-centrino'''). Offre inoltre il supporto per il demone [[Cpufreqd:_Cpuscaling_per_Intel_Pentium_M|cpufreqd]]. Per installare questo demone sufficiente:
<pre># apt-get install cpufreqd</pre>
===Supporto ACPI===
E' abilitato anche il supporto (modulare) per l' ACPI (battery, button, fan, thermal zone).
===Software Suspend===
E' possibile abilitare la sospensione del sistema tramite Software Suspend, e cio&egrave; salvando lo stato del sistema nella partizione di swap oppure in un file.
Per prima cosa assicuriamoci di avere i sorgenti del kernel ed un kernel funzionante (v
edi sopra). A questo punto provvediamo a scaricare [http://www.suspend2.net/ Suspend2] che consiste in una patch da applicare al nostro kernel. Usando un kernel vanilla 2.6.x &egrave; sufficiente scaricare la versione stabile pi aggiornata. &Egrave; importante che, se intendiamo utilizzare la partizione di swap per l' ibernazione, questa sia opportunamente dimensionata: 500Mb sono il minimo, 1Gb &egrave; senz'altro sufficiente.


==Server grafico (Xfree86 e Xorg) e accelerazione 3D==
----
Il supporto alla scheda grafica ed all' accelerazione 3D sono compilati nel kernel di cui sopra.
Il file [[Configurazione di Xorg per HP Compaq NX 6110 | xorg.conf]] rappresenta la configurazione per Xorg e prevede l' abilitazione per il DRI (accelerazione 3D) e l' uso simultaneo del touchpad e del mouse.
Il file di configurazione � perfettamente funzionante anche per Xfree86 (� sufficiente rinominarlo)


==Scheda Audio e ALSA==
--[[Utente:Balubeto|Balubeto]] 05:29, 3 Giu 2006 (EDT)
La scheda audio funziona perfettamente con ALSA.
Tutto quello che dobbiamo fare consiste in:
<pre># apt-get install alsa-base alsa-utils
# alsaconf</pre>
Scegliamo la nostra scheda da quelle disponibili ed il gioco � fatto.
 
==Modem==
Il modem � uno SmartLink, supportato da GNU/Linux senza eccessivi patemi. Assicuriamoci che il modulo '''snd_intel8x0m''' venga caricato dal kernel e procediamo a scaricare il software necessario.
 
Debian mette a disposizione il pacchetto ''slmodem'', che fornisce le utilities e il demone necessari al controllo del modem. Installiamolo con il comando:
<pre># apt-get install sl-modem-daemon</pre>
 
==Scheda Ethernet Broadcom BCM 4401==
Il supporto alla scheda ethernet � fornito nel kernel. Funziona anche con le immagini del kernel 2.6.8 installate da Debian per default.
==Scheda wireless Intel PRO/Wireless LAN 2200 BG mini PCI==
Per la configurazione di questa scheda, vi rimando alla guida [[Intel_PRO/Wireless_2200BG| Intel PRO Wireless 2200BG]].
 
Per abilitare la bella luce blu che segnala il link wireless dobbiamo impostare il parametro "led" per il modulo ipw2200.
 
Operiamo come segue:
<pre># touch /etc/modprobe.d/ipw2200
# echo "options ipw2200 led=1" > /etc/modprobe.d/ipw2200</pre>
 
=Abilitare il reboot=
La configurazione standard di Grub, non permette al sistema di riavviarsi. &Egrave; quindi necessario aggiungere il paramentro ''reboot=b'' alla direttiva ''kernel'' nel nostro file menu.lst.
 
----
Autore: [[Utente:Keltik|keltik]] 07:47, Set 17, 2005 (EDT)<br />
Aggiornato: [[Utente:Keltik|keltik]] 09:19, 28 Mag 2006 (EDT)
[[Categoria:Laptop]]
Balubeto
93

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/13565"