OpenSSH: file di configurazione: differenze tra le versioni

Vai alla navigazione Vai alla ricerca

OpenSSH: file di configurazione (visualizza wikitesto)

Versione delle 10:50, 21 set 2015

Nessun cambiamento nella dimensione ,  21 set 2015
m
nessun oggetto della modifica
mNessun oggetto della modifica
mNessun oggetto della modifica
Riga 33: Riga 33:


{|
{|
|style="width:20em;vertical-align:top;"|''AllowUsers user1 user2''
|Permette il login via SSH solo agli user specificati. Da notare che gli user sono separati da spazi vuoti, quindi niente virgole o punti o altro
|-
|style="width:20em;vertical-align:top;"|''AllowGroups group1 group2''
|Permette il login via SSH solo ai gruppi specificati. Da notare che i gruppi sono separati da spazi vuoti, quindi niente virgole o punti o altro
|-
|style="width:20em;vertical-align:top;"|''Port <Numero porta d'ascolto>''
|style="width:20em;vertical-align:top;"|''Port <Numero porta d'ascolto>''
|Il valore di questa keyword indica la porta d'ascolto dell'OpenSSH Server, il cui valore predefinito è 22. Per questioni di sicurezza e per evitare che il nostro server SSH possa essere trovato da un portscan occasionale è consigliato cambiarla, scegliendone una superiore alla 1024 che non sia già usato da altri [http://www.iana.org/assignments/port-numbers servizi locali o di Internet], poiché le porte fino alla 1024 sono riservate per servizi noti.
|Il valore di questa keyword indica la porta d'ascolto dell'OpenSSH Server, il cui valore predefinito è 22. Per questioni di sicurezza e per evitare che il nostro server SSH possa essere trovato da un portscan occasionale è consigliato cambiarla, scegliendone una superiore alla 1024 che non sia già usato da altri [http://www.iana.org/assignments/port-numbers servizi locali o di Internet], poiché le porte fino alla 1024 sono riservate per servizi noti.
Riga 86: Riga 92:
|style="width:20em;vertical-align:top;"|''HostKey /etc/ssh/ssh_host_key''
|style="width:20em;vertical-align:top;"|''HostKey /etc/ssh/ssh_host_key''
|Specifica la posizione che contiene le chiavi private di un host e può essere lasciato il valore di default. Possono essere specificati più file ripetendo HostKey e cambiando il file di destinazione
|Specifica la posizione che contiene le chiavi private di un host e può essere lasciato il valore di default. Possono essere specificati più file ripetendo HostKey e cambiando il file di destinazione
|-
|style="width:20em;vertical-align:top;"|''UsePrivilegeSeparation yes''
|yes è il valore di default, e indica che per ogni login viene creato un processo figlio con i privilegi dell’user che ha effettuato il login per evitare tecniche di “privilege escalation” basati sui privilegi dei processi
|-
|style="width:20em;vertical-align:top;"|''ServerKeyBits 1024''
|Dice quanti bit devono essere utilizzati per la creazione della chiave di criptazione della connessione. Si preferisce di solito utilizzare 1024 che è un buon compromesso tra velocità ed efficacia di crittazione.
|-
|style="width:20em;vertical-align:top;"|''LoginGraceTime 120''
|Rappresenta il tempo massimo in secondi che intercorre tra il momento in cui viene stabilita la connessione e quello in cui avviene un login con successo.
|-
|style="width:20em;vertical-align:top;"|''KeyRegenerationInterval 3600''
|Rappresenta il massimo tempo in secondi che il demone aspetta prima di rigenerare una nuova chiave per la connessione corrente. Non deve essere eccessivamente elevato per evitare il cracking della chiave utilizzata nella sessione corrente
|-
|-
|style="width:20em;vertical-align:top;"|''IgnoreRhosts yes''
|style="width:20em;vertical-align:top;"|''IgnoreRhosts yes''
Riga 105: Riga 99:
|Dice al daemon di ignorare la lista degli hosts conosciuti presente in <code>$HOME/.ssh/known_hosts</code> durante la RhostsRSAAuthentication.
|Dice al daemon di ignorare la lista degli hosts conosciuti presente in <code>$HOME/.ssh/known_hosts</code> durante la RhostsRSAAuthentication.
|-
|-
|style="width:20em;vertical-align:top;"|''StrictModes yes''
|style="width:20em;vertical-align:top;"|''IgnoreUserKnownHost yes''
|Serve per proteggere i file nelle home degli user che di solito vengono lasciati “world-writable”.
|Ignora l’utilizzo di <code>~/.ssh/known_host</code> e per il login si basa unicamente su user e password
|-
|style="width:20em;vertical-align:top;"|''KeyRegenerationInterval 3600''
|Rappresenta il massimo tempo in secondi che il demone aspetta prima di rigenerare una nuova chiave per la connessione corrente. Non deve essere eccessivamente elevato per evitare il cracking della chiave utilizzata nella sessione corrente
|-
|-
|style="width:20em;vertical-align:top;"|''X11Forwarding no''
|style="width:20em;vertical-align:top;"|''LoginGraceTime 120''
|Permette di disabilitare o abilitare il forwarding su X11. Se non abbiamo una GUI installata nel server (di solito è così) possiamo settarlo su ''no''.
|Rappresenta il tempo massimo in secondi che intercorre tra il momento in cui viene stabilita la connessione e quello in cui avviene un login con successo.
|-
|-
|style="width:20em;vertical-align:top;"|''PrintMotd yes''
|style="width:20em;vertical-align:top;"|''PrintMotd yes''
|Abilita la visualizzazione di <code>/etc/motd</code> a login avvenuto.
|Abilita la visualizzazione di <code>/etc/motd</code> a login avvenuto.
|-
|-
|style="width:20em;vertical-align:top;"|''IgnoreUserKnownHost yes''
|style="width:20em;vertical-align:top;"|''RSAAuthentication yes''
|Ignora l’utilizzo di <code>~/.ssh/known_host</code> e per il login si basa unicamente su user e password
|Indica se sono concessi i login con solo RSA (valido solo per la versione 1.5 del protocollo).
|-
|style="width:20em;vertical-align:top;"|''ServerKeyBits 1024''
|Dice quanti bit devono essere utilizzati per la creazione della chiave di criptazione della connessione. Si preferisce di solito utilizzare 1024 che è un buon compromesso tra velocità ed efficacia di crittazione.
|-
|style="width:20em;vertical-align:top;"|''StrictModes yes''
|Serve per proteggere i file nelle home degli user che di solito vengono lasciati “world-writable”.
|-
|-
|style="width:20em;vertical-align:top;"|''SyslogFacility AUTH''<br/>''LogLevel INFO''
|style="width:20em;vertical-align:top;"|''SyslogFacility AUTH''<br/>''LogLevel INFO''
|Indicano il grado di prolissità dei log. I valori possibili sono QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2, DEBUG3. Utilizzare un flag di DEBUG viola la privacy degli utenti e pertanto non è consigliato
|Indicano il grado di prolissità dei log. I valori possibili sono QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2, DEBUG3. Utilizzare un flag di DEBUG viola la privacy degli utenti e pertanto non è consigliato
|-
|-
|style="width:20em;vertical-align:top;"|''RSAAuthentication yes''
|style="width:20em;vertical-align:top;"|''UsePrivilegeSeparation yes''
|Indica se sono concessi i login con solo RSA (valido solo per la versione 1.5 del protocollo).
|yes è il valore di default, e indica che per ogni login viene creato un processo figlio con i privilegi dell’user che ha effettuato il login per evitare tecniche di “privilege escalation” basati sui privilegi dei processi
|-
|-
|style="width:20em;vertical-align:top;"|''AllowUsers user1 user2''
|style="width:20em;vertical-align:top;"|''X11Forwarding no''
|Permette il login via SSH solo agli user specificati. Da notare che gli user sono separati da spazi vuoti, quindi niente virgole o punti o altro
|Permette di disabilitare o abilitare il forwarding su X11. Se non abbiamo una GUI installata nel server (di solito è così) possiamo settarlo su ''no''.
|-
|style="width:20em;vertical-align:top;"|''AllowGroups group1 group2''
|Permette il login via SSH solo ai gruppi specificati. Da notare che i gruppi sono separati da spazi vuoti, quindi niente virgole o punti o altro
|}
|}


Wtf
2 894

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/39651"

Menu di navigazione