Sandbox: differenze tra le versioni

Vai alla navigazione Vai alla ricerca
liste caratteri e link
(tabella caratteri)
(liste caratteri e link)
Riga 1: Riga 1:
{{stub}}
Questa è la Sandbox, cioè la lettiera per i vostri bisognini ;-).
==Introduzione==
Ho deciso di fare questa guida poich� ho avuto molta difficolt� a creare una connessione remota sicura fra una macchina Windows ed una Linux in una LAN (o in una WAN) in quanto la maggior parte delle guide, degli How-To e delle FAQ che ho trovato in Internet esamina tale connessione fra due macchine Linux.


La connessione remota sicura, che esaminero`, e` una connessione che usa il protocollo [http://it.wikipedia.org/wiki/Ssh SSH (Secure SHell)] e, perci�, � detta '''connessione SSH''' la quale si basa sulla [http://it.wikipedia.org/wiki/Crittografia_asimmetrica criptografia asimetrica] detta anche '''criptografia a coppia di chiavi''' o, piu` semplicemente, '''a chiave pubblica/privata''' (o, semplicemente, '''a chiave pubblica''') che consiste nella generazione di una coppia di chiavi (chiamate [http://it.wikipedia.org/wiki/Chiave_privata chiave privata] e [http://it.wikipedia.org/wiki/Chiave_pubblica chiave pubblica]). In pratica, la '''chiave pubblica''' codifica la communicazione mentre la '''chiave privata''' decodifica tale comunicazione e vengono generate usando degli algoritmi asimetrici che sono [http://it.wikipedia.org/wiki/RSA RSA] e [http://en.wikipedia.org/wiki/Digital_Signature_Algorithm DSA] e le connessioni che usano tali coppie di chiavi prodotte da questi algoritmi asimetrici sono dette '''connessioni SSH'''. Tali algoritmi, per�, servono soltanto per instaurare una connessione criptata fra il client SSH e il server SSH in quanto, per il trasferimento vero e proprio dei dati, si usano degli algoritmi simmetrici, come AES o 3DES, che sono molto pi� efficenti per questo scopo ovvero per cifrare la comunicazione. Quindi:
Usate questa pagina per fare delle prove, potete scrivere quello che volete e provare tutte le formattazioni che vi vengono in mente, ma per favore non cancellate questa pagina, ne siate volgari.


Una '''connessione SSH''' � una connessione cifrata che utilizza gli algoritmi asimetrici RSA o DSA soltanto per verificare se una chiave pubblica, memorizzata sul Server, derivi da una chiave privata salvata sul Client (in modo da garantire la reciproca autenticita` del Server e del Client) in modo da essere utilizzata, per l'intera sessione, per la cifratura simmetrica con algoritmi come AES o 3DES.
Per informazioni sull'editing:


==Scelta del software==
* [[Help:Editing]]


Ora, dopo aver fatto questa introduzione per chiarire i termini che user in seguito, spiegher, in pratica, come si crea una connessione SSH da Windows a Linux. Per far ci, occorre scegliere un server-software SSH sulla macchina Linux (che funge dal Server) ed un client-software SSH su una macchina Windows (che funge da Client). Ora, per scegliere un server-software SSH per Linux, non esiste alcun problema in quanto la communit Open Source ha creato un ottimo prodotto che, ormai, tutte le distribuzione lo installano come default. Questo prodotto il software [http://www.openssh.com/ OpenSSH Server]. Ora, siccome Windows (in tutte le sue edizione per il Desktop) non ha nessun client-software SSH, occorre cercarne uno. Il pi semplice client SSH con licenza certificata Open Source [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] ma, chi volesse usare soprattutto la Shell di Linux ed avere qualche comodit in pi sullo stile di Windows, dovr valutare programmi commerciali come [http://www.vandyke.com/products/securecrt/ SecureCRT] o [http://www.ssh.com/products/tectia/client/ SSH Tectia Client] che, per fortuna, si possono prelevare le versioni di valutazione completamente funzionanti prima dell'acquisto.


{{Box | Nota |I client SSH permettono soltanto di accedere alla Shell di Linux per poter eseguire comandi su un terminale a caratteri di questo sistema operativo. Per poter accedere anche al suo server grafico [http://it.wikipedia.org/wiki/X_Window_System X Window System] o '''X11''' o soltanto '''X''' (e, quindi, per poter controllare i vari ambienti grafici ed i programmi di X), occorre anche un [http://it.wikipedia.org/wiki/VNC client/server VNC]. Ora, niente paura in quanto, grazie alla funzionalit� [http://en.wikipedia.org/wiki/Tunneling_protocol Tunneling] di questi tre client SSH, � possibile controlare anche X sempre in modo sicuro.}}
'''Prove:'''


==Configurazione dell'OpenSSH Server==
Punto moltiplicativo: 2 · 6 = 17


Una volta installato l'OpenSSH Server sulla macchina Linux, occorre configurarlo per scegliere il modo di authentificazione che volete che le macchine Client usano per accedere a questa macchina Linux.
Lettera 'e' maiuscola accentata: È


Le varie autentificazione che OpenSSH Server pu� offrire sono:
{| border="1"
 
|+ ''Lista caratteri speciali HTML 4''
#Autentificazione tramite '''password'''
!width="100"|Nome
#Autentificazione '''ChallengeResponseAuthentication''' o '''Keyboard-Interactive'''
!width="100"|Simbolo
#Autentificazione '''a chiave pubblica'''
!width="300"|Descrizione
#Autentifiazione '''GSSAPI'''
|-
 
| nbsp || align="center" | " " || no-break space = non-breaking space,
'''L'autentificazione tramite password''' utilizza la Username e la Password dell'utente (le stesse usate per l'autentificazione in locale) per verificare se l'utente � autorizzato ad accedere da remoto alla macchina Linux.
|-
 
| iexcl || align="center" | "¡" || inverted exclamation mark, U+00A1 ISOnum
'''L'autentificazione ChallengeResponseAuthentication o Keyboard-Interactive''' utilizza una serie di autentificazioni caratterizzate da richieste, fatte dal server SSH, che devono essere confermate dalle risposte mandate dal client SSH. Se le risposte coincidono a quelle memorizzate sul Server, l'utente � autorizzato ad accedere da remoto alla macchina Linux altrimenti questi non pu� entrare in tale macchina Linux.
|-
 
| cent || align="center" | "¢" || cent sign, U+00A2 ISOnum
'''L'autentificazione a chiave pubblica''' verifica se la chiavi pubblica, memorizzata sul Server, '''derivi''' dalla chiave privata memorizzata sul Client dell'utente. Se tale verifica ha esito positivo, l'utente pu� accedere alla macchina Linux altrimetri no. Siccome la chiave privata � praticamente un file, che autorizza chiunque entra in possesso ad entrare in un Server SSH, � consigliabile protteggerla con una '''passphrase''' che, in sostanza, � una password che occorre inserirla ogni volta (o quasi) che si effettua una connessione verso tale Server SSH.
|-
 
| pound || align="center" | "£" || pound sign, U+00A3 ISOnum
'''L'autentifiazione GSSAPI''', basata su un'API generica, implementata su vari sistemi operativi, utilizza un determinato protocollo, che, normalmente, � Kerberos 5, per trasferire i dati per l'autentificazione.
|-
 
| curren || align="center" | "¤" || currency sign, U+00A4 ISOnum
Le auttentificazioni pi� comode ed usate in una rete LAN (ma non solo) sono l''''autentificazione tramite password''' e l''''autentificazione a chiave pubblica'''. Quindi, la mia attenzione andr� soprattutto su queste due autentificazioni in quanto sono, forse, le pi� semplici da essere implementate.
|-
 
| yen || align="center" | "¥" || yen sign = yuan sign, U+00A5 ISOnum
Il file di configurazione di OpenSSH Server si chiama ''sshd_config'' che, normalmente, si trova nella directory ''/etc/ssh''.
|-
 
| brvbar || align="center" | "¦" || broken bar = broken vertical bar,
Questo file � un file di testo composto da '''direttive''' (dette '''Keywords'''), che sono '''case-insensitive''', e da '''valori''', che sono '''case-sensitive'''. Quindi, per editarlo, basta un semplice editor di testo come '''vi''' o '''Emacs''' che avete gi� nella vostra distribuzione.
|-
 
| sect || align="center" | "§" || section sign, U+00A7 ISOnum
Quindi, attiviamo, in forma base, le autentificazioni tramite password e a chiave pubblica e disattiviamo le altre per evitare conflitti ed accessi non desiderati a causa di eventuali bachi.
|-
 
| uml || align="center" | "¨" || diaeresis = spacing diaeresis,
Perci�, verichiamo, da root, che, nel file ''/etc/ssh/sshd_config'', ci siano le seguenti keyword ed i corrispettivi valori; se si dovessero trovare delle keyword mancanti o dei valori che non corrispodessero a quei sotto-ennunciati, modificate semplicemente il testo stando attenti a non fare incominciare le keyword con il simbolo # (sto facendo rifferimento al file ''/etc/ssh/sshd_config'' creato da OpenSSH Server come default):
|-
 
| copy || align="center" | "©" || copyright sign, U+00A9 ISOnum
{|
|-
|style="width:20em;vertical-align:top;"|''Port <Numero porta d'ascolto>''
| ordf || align="center" | "&ordf;" || feminine ordinal indicator, U+00AA ISOnum
|Il valore di questa keyword indica la porta d'ascolto dell'OpenSSH Server. Conviene cambiare la porta d'ascolto di default per evitare, fin da subito, degli attacchi esterni e mettere un numero superiore a 1024 che non sia gi� usato da altri servizi locali o di Internet (per sapere le porte Internet di default usate dai comuni servizi Internet, andate [http://www.iana.org/assignments/port-numbers qui]). Si deve ricordare, dopo aver scelto tale porta, di "dire" al vostro firewall di aprire in entrata tale porta per fare in modo che i vostri utenti remoti possono accedere alla vostra macchina Linux.
|-
| laquo || align="center" | "&laquo;" || left-pointing double angle quotation mark
|-
| not || align="center" | "&not;" || not sign, U+00AC ISOnum
|-
| shy || align="center" | "&shy;" || soft hyphen = discretionary hyphen,
|-
| reg || align="center" | "&reg;" || registered sign = registered trade mark sign,
|-
| macr || align="center" | "&macr;" || macron = spacing macron = overline
|-
| deg || align="center" | "&deg;" || degree sign, U+00B0 ISOnum
|-
| plusmn || align="center" | "&plusmn;" || plus-minus sign = plus-or-minus sign,
|-
| sup2 || align="center" | "&sup2;" || superscript two = superscript digit two
|-
| sup3 || align="center" | "&sup3;" || superscript three = superscript digit three
|-
| acute || align="center" | "&acute;" || acute accent = spacing acute,
|-
| micro || align="center" | "&micro;" || micro sign, U+00B5 ISOnum
|-
| para || align="center" | "&para;" || pilcrow sign = paragraph sign,
|-
| middot || align="center" | "&middot;" || middle dot = Georgian comma
|-
| cedil || align="center" | "&cedil;" || cedilla = spacing cedilla, U+00B8 ISOdia
|-
| sup1 || align="center" | "&sup1;" || superscript one = superscript digit one,
|-
| ordm || align="center" | "&ordm;" || masculine ordinal indicator,
|-
| raquo || align="center" | "&raquo;" || right-pointing double angle quotation mark
|-
| frac14 || align="center" | "&frac14;" || vulgar fraction one quarter
|-
| frac12 || align="center" | "&frac12;" || vulgar fraction one half
|-
| frac34 || align="center" | "&frac34;" || vulgar fraction three quarters
|-
| iquest || align="center" | "&iquest;" || inverted question mark
|-
| Agrave || align="center" | "&Agrave;" || latin capital letter A with grave
|-
| Aacute || align="center" | "&Aacute;" || latin capital letter A with acute,
|-
| Acirc || align="center" | "&Acirc;" || latin capital letter A with circumflex,
|-
| Atilde || align="center" | "&Atilde;" || latin capital letter A with tilde,
|-
| Auml || align="center" | "&Auml;" || latin capital letter A with diaeresis,
|-
| Aring || align="center" | "&Aring;" || latin capital letter A with ring above
|-
| AElig || align="center" | "&AElig;" || latin capital letter AE
|-
| Ccedil || align="center" | "&Ccedil;" || latin capital letter C with cedilla,
|-
| Egrave || align="center" | "&Egrave;" || latin capital letter E with grave,
|-
| Eacute || align="center" | "&Eacute;" || latin capital letter E with acute,
|-
| Ecirc || align="center" | "&Ecirc;" || latin capital letter E with circumflex,
|-
| Euml || align="center" | "&Euml;" || latin capital letter E with diaeresis,
|-
| Igrave || align="center" | "&Igrave;" || latin capital letter I with grave,
|-
| Iacute || align="center" | "&Iacute;" || latin capital letter I with acute,
|-
| Icirc || align="center" | "&Icirc;" || latin capital letter I with circumflex,
|-
| Iuml || align="center" | "&Iuml;" || latin capital letter I with diaeresis,
|-
| ETH || align="center" | "&ETH;" || latin capital letter ETH, U+00D0 ISOlat1
|-
| Ntilde || align="center" | "&Ntilde;" || latin capital letter N with tilde,
|-
| Ograve || align="center" | "&Ograve;" || latin capital letter O with grave,
|-
| Oacute || align="center" | "&Oacute;" || latin capital letter O with acute,
|-
| Ocirc || align="center" | "&Ocirc;" || latin capital letter O with circumflex,
|-
| Otilde || align="center" | "&Otilde;" || latin capital letter O with tilde,
|-
| Ouml || align="center" | "&Ouml;" || latin capital letter O with diaeresis,
|-
| times || align="center" | "&times;" || multiplication sign, U+00D7 ISOnum
|-
| Oslash || align="center" | "&Oslash;" || latin capital letter O with stroke
|-
| Ugrave || align="center" | "&Ugrave;" || latin capital letter U with grave,
|-
| Uacute || align="center" | "&Uacute;" || latin capital letter U with acute,
|-
| Ucirc || align="center" | "&Ucirc;" || latin capital letter U with circumflex,
|-
| Uuml || align="center" | "&Uuml;" || latin capital letter U with diaeresis,
|-
| Yacute || align="center" | "&Yacute;" || latin capital letter Y with acute,
|-
| THORN || align="center" | "&THORN;" || latin capital letter THORN,
|-
| szlig || align="center" | "&szlig;" || latin small letter sharp s = ess-zed,
|-
| agrave || align="center" | "&agrave;" || latin small letter a with grave
|-
| aacute || align="center" | "&aacute;" || latin small letter a with acute,
|-
| acirc || align="center" | "&acirc;" || latin small letter a with circumflex,
|-
| atilde || align="center" | "&atilde;" || latin small letter a with tilde,
|-
| auml || align="center" | "&auml;" || latin small letter a with diaeresis,
|-
| aring || align="center" | "&aring;" || latin small letter a with ring above
|-
| aelig || align="center" | "&aelig;" || latin small letter ae
|-
| ccedil || align="center" | "&ccedil;" || latin small letter c with cedilla,
|-
| egrave || align="center" | "&egrave;" || latin small letter e with grave,
|-
| eacute || align="center" | "&eacute;" || latin small letter e with acute,
|-
| ecirc || align="center" | "&ecirc;" || latin small letter e with circumflex,
|-
| euml || align="center" | "&euml;" || latin small letter e with diaeresis,
|-
| igrave || align="center" | "&igrave;" || latin small letter i with grave,
|-
| iacute || align="center" | "&iacute;" || latin small letter i with acute,
|-
| icirc || align="center" | "&icirc;" || latin small letter i with circumflex,
|-
| iuml || align="center" | "&iuml;" || latin small letter i with diaeresis,
|-
| eth || align="center" | "&eth;" || latin small letter eth, U+00F0 ISOlat1
|-
| ntilde || align="center" | "&ntilde;" || latin small letter n with tilde,
|-
| ograve || align="center" | "&ograve;" || latin small letter o with grave,
|-
| oacute || align="center" | "&oacute;" || latin small letter o with acute,
|-
| ocirc || align="center" | "&ocirc;" || latin small letter o with circumflex,
|-
| otilde || align="center" | "&otilde;" || latin small letter o with tilde,
|-
| ouml || align="center" | "&ouml;" || latin small letter o with diaeresis,
|-
| divide || align="center" | "&divide;" || division sign, U+00F7 ISOnum
|-
| oslash || align="center" | "&oslash;" || latin small letter o with stroke,
|-
|-
|style="width:20em;vertical-align:top;"|''Protocol 2''
| ugrave || align="center" | "&ugrave;" || latin small letter u with grave,
|Il valore di questa keyword indica quale protocollo SSH utilizzare. Consiglio di utilizzare soltanto il protocollo 2 in quanto il protocollo 1 ha seri problemi di sicurezza.
|-
|-
|style="width:20em;vertical-align:top;"|''PermitRootLogin no''
| uacute || align="center" | "&uacute;" || latin small letter u with acute,
|Il valore di questa keyword evita l'accesso come root da remoto con '''una sola''' autentificazione. Cio' garantisce maggior sicurezza alla vostra Linux-Box poich�, se uno volesse accedere come root, dovrebbe prima autentificarsi come utente normale per poi autentificarsi come root tramite il comando ''su''. In altre parore, con questa keyword impostata su '''no''', si volesse accedere come root da remoto, occorrerebbe autentificarsi '''due''' volte anzich� '''una'''.
|-
|-
|style="width:20em;vertical-align:top;"|''PasswordAuthentication yes''
| ucirc || align="center" | "&ucirc;" || latin small letter u with circumflex,
|Il valore di questa keyword permette l'autentificazione mediante un semplice Login (Username e Password) da remoto.
|-
|-
|style="width:20em;vertical-align:top;"|''PermitEmptyPasswords no''
| uuml || align="center" | "&uuml;" || latin small letter u with diaeresis,
|Il valore di questa keyword evita che l'autentificazione mediante un semplice Login remoto avenga senza la richiesta di una password se la keyword ''PasswordAuthentication'' � impostata sul ''yes''.
|-
|-
|style="width:20em;vertical-align:top;"|''ChallengeResponseAuthentication no''
| yacute || align="center" | "&yacute;" || latin small letter y with acute,
||Il valore di questa keyword non permette l'autentificazione mediante richieste-risposte ben precise fra il server ed il client SSH.
|-
|-
|style="width:20em;vertical-align:top;"|''PubkeyAuthentication yes''
| thorn || align="center" | "&thorn;" || latin small letter thorn,
|Il valore di questa keyword permette l'autentificazione mediante una coppia di chiavi, una '''pubblica''', memorizzata sul Server, ed una '''privata''' salvata sul Client.
|-
|-
|style="width:20em;vertical-align:top;"|''AuthorizedKeysFile <File chiavi pubbliche>
| yuml || align="center" | "&yuml;" || latin small letter y with diaeresis,
|Il valore di questa keyword � il nome del file dove vengono memorizzate le chiavi publiche degli utenti remoti che servono per verificare se una di queste derivi dalla chiave privata memorizzata dal client SSH che cerca di effettuare una connessione SSH utilizzando un''''autentificazione a chiave pubblica'''. Logicamente, tale keyword viene considerata soltanto se la keyword ''PubkeyAuthentication'' � impostata su ''yes''. Il valore di tale keyword deve contenere il path assoluto o relativo di questo file compreso il nome stesso (il valore di default � ''.ssh/authorized_keys''). Normalmente, il path assoluto si usa quando il gestore del Server vuole tenere sott'occhio un unico file (che pu� anche essere memorizzato, per motivi di sicurezza, su un'altra macchina); mentre il path relativo alla home directory di ogni utente remoto viene, normalmente, usato per far s� che ogni file venga gestito da lui stesso mettendo una o pi� delle sue chiavi pubbliche.
|}
|}




La precedente tabella è stata generata tramite script dalla pagina di riferimento:


* [http://www.w3.org/TR/REC-html40/sgml/entities.html Character entity references in HTML 4]




''Vedere anche su Wikipedia:''


----
* [http://en.wikipedia.org/wiki/List_of_XML_and_HTML_character_entity_references List of XML and HTML character entity references]
 
--[[Utente:Balubeto|Balubeto]] 10:52, 9 Giu 2006 (EDT)
1 760

contributi

Menu di navigazione