OpenSSH: file di configurazione: differenze tra le versioni
mNessun oggetto della modifica |
Nessun oggetto della modifica |
||
Riga 1: | Riga 1: | ||
==OpenSSH: configurazione di base== | ==OpenSSH: configurazione di base== | ||
Installazione lato server [[SSH]] digitando da [[root]]: | |||
<pre> | <pre> | ||
# apt-get install ssh | # apt-get install ssh | ||
</pre> | </pre> | ||
[[APT]] provvederà ad installare automaticamente il daemon SSH. | [[APT]] provvederà ad installare automaticamente il daemon SSH. | ||
==Analisi dei file di configurazione== | |||
I file di configurazione di OpenSSH si trovano in <code>/etc/ssh</code>. Per configurare in modo corretto il nostro Server SSH il file da modificare è <code>'''/etc/ssh/sshd_config'''</code>. | I file di configurazione di OpenSSH si trovano in <code>/etc/ssh</code>. Per configurare in modo corretto il nostro Server SSH il file da modificare è <code>'''/etc/ssh/sshd_config'''</code>. | ||
Riga 54: | Riga 54: | ||
* <code>'''AllowGroups group1 group2'''</code> | * <code>'''AllowGroups group1 group2'''</code> | ||
Permette il login via SSH solo ai gruppi specificati. Da notare che i gruppi sono separati da spazi vuoti, quindi niente virgole o punti o altro | Permette il login via SSH solo ai gruppi specificati. Da notare che i gruppi sono separati da spazi vuoti, quindi niente virgole o punti o altro | ||
==Configurazione di sshd per l'autenticazione mediante password== | |||
<pre> | |||
# sudo nano /etc/ssh/sshd_config | |||
</pre> | |||
Il consiglio è di decommentare ed impostare | |||
* <code>'''PermitRootLogin no</code> | |||
Riavviare il servizio con il comando | |||
<pre> | |||
sudo /etc/init.d/sshd restart | |||
</pre> | |||
==Configurazione del client per la connessione remota== | |||
Installazione del client sul client | |||
<pre> | |||
sudo apt-get install openssh-client | |||
</pre> | |||
*<code>'''Connessione al server remoto </code> | |||
<pre> | |||
ssh [IP del server] | |||
</pre> | |||
oppure | |||
<pre> | |||
ssh [utente@hostname] | |||
</pre> | |||
Essendo la prima connessione, ssh mostrerà un messaggio simile a questo: | |||
<pre> | |||
utente@localhost:~# ssh server@xxxx.xxxx.xxxxxx | |||
The authenticity of host 'xxxx.xxxxx.xxxxx (<no hostip for proxy command>)' can't be established. | |||
ECDSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx. | |||
Are you sure you want to continue connecting (yes/no)? | |||
</pre> | |||
Rispondiamo yes | |||
<pre> | |||
Warning: Permanently added 'xxxx.xxxxx.xxxxx' (ECDSA) to the list of known hosts. | |||
</pre> | |||
Ci verra' infine richiesto di inserire nome utente e password per l'accesso | |||
<pre> | |||
server@xxx.xxxx.xxxxx password: # password of the user | |||
utente@xxx.xxxx.xxxxx:~$ # logined | |||
</pre> | |||
Guida basata sull'originale presente sul sito: [http://www.oscene.net/site/sysadmin/networking/howto-configurare-nel-dettaglio-ssh Oscene.net] | Guida basata sull'originale presente sul sito: [http://www.oscene.net/site/sysadmin/networking/howto-configurare-nel-dettaglio-ssh Oscene.net] | ||
Riga 59: | Riga 104: | ||
{{Autori | {{Autori | ||
|Autore = [[Utente:Ferdybassi|Ferdybassi]] 17:49, 22 dic 2009 (CET) | |Autore = [[Utente:Ferdybassi|Ferdybassi]] 17:49, 22 dic 2009 (CET) | ||
|Estesa_da = : [[Utente:Nydebianized|Nydebianized]] 12:14, 12 set 2015 (CEST) | |||
}} | }} | ||
[[Categoria:SSH server e amministrazione remota]] | [[Categoria:SSH server e amministrazione remota]] | ||
[[Categoria:Shell]] | [[Categoria:Shell]] |
Versione delle 10:14, 12 set 2015
OpenSSH: configurazione di base
Installazione lato server SSH digitando da root:
# apt-get install ssh
APT provvederà ad installare automaticamente il daemon SSH.
Analisi dei file di configurazione
I file di configurazione di OpenSSH si trovano in /etc/ssh
. Per configurare in modo corretto il nostro Server SSH il file da modificare è /etc/ssh/sshd_config
.
La sua struttura è molto intuitiva, però potrebbe valer la pena osservare alcune opzioni:
Port 22
Di default viene aperta la porta 22. Però per questioni di sicurezza e per evitare che il nostro server SSH possa essere trovato da un portscan occasionale è consigliato cambiarla, possibilmente scegliendone una superiore alla 1024, poiché le porte fino alla 1024 sono riservate per servizi noti.
ListenAddress 0.0.0.0
Di default è 0.0.0.0 e indica che il demone SSH è in ascolto su tutte le interfacce di rete configurate e tutti gli indirizzi IP associati. Potrebbe essere utile cambiarlo con l’indirizzo IP specifico sul quale ci si aspettiamo connessioni SSH
HostKey /etc/ssh/ssh_host_key
Specifica la posizione che contiene le chiavi private di un host e può essere lasciato il valore di default. Possono essere specificati più file ripetendo HostKey e cambiando il file di destinazione
Protocol 2
Indica il protocollo da utilizzare. Possono essere indicati 1 o 2 o entrambi, separandoli con la virgola (1,2), tuttavia non è consigliato permettere connessioni con il protocollo 1
UsePrivilegeSeparation yes
yes è il valore di default, e indica che per ogni login viene creato un processo figlio con i privilegi dell’user che ha effettuato il login per evitare tecniche di “privilege escalation” basati sui privilegi dei processi
ServerKeyBits 1024
Dice quanti bit devono essere utilizzati per la creazione della chiave di criptazione della connessione. Si preferisce di solito utilizzare 1024 che è un buon compromesso tra velocità ed efficacia di crittazione.
LoginGraceTime 120
Rappresenta il tempo massimo in secondi che intercorre tra il momento in cui viene stabilita la connessione e quello in cui avviene un login con successo.
KeyRegenerationInterval 3600
Rappresenta il massimo tempo in secondi che il demone aspetta prima di rigenerare una nuova chiave per la connessione corrente. Non deve essere eccessivamente elevato per evitare il cracking della chiave utilizzata nella sessione corrente
PermitRootLogin no
In genere di default è impostato su yes, ma è altamente sconsigliato permettere ad un utente di effettuare il login remoto come root; è molto più sicuro fare in modo che si effettui un login come normal user per poi guadagnare i permessi di root.
IgnoreRhosts yes
Dichiara di ignorare i file rhosts
e shosts
per l’autenticazione.
IgnoreUserKnownHosts yes
Dice al daemon di ignorare la lista degli hosts conosciuti presente in $HOME/.ssh/known_hosts
durante la RhostsRSAAuthentication.
StrictModes yes
Serve per proteggere i file nelle home degli user che di solito vengono lasciati “world-writable”.
X11Forwarding no
Permette di disabilitare o abilitare il forwarding su X11. Se non abbiamo una GUI installata nel server (di solito è così) possiamo settarlo su no.
PrintMotd yes
Abilita la visualizzazione di /etc/motd
a login avvenuto.
IgnoreUserKnownHost yes
Ignora l’utilizzo di ~/.ssh/known_host
e per il login si basa unicamente su user e password
SyslogFacility AUTH
LogLevel INFO
Indicano il grado di prolissità dei log. I valori possibili sono QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2, DEBUG3. Utilizzare un flag di DEBUG viola la privacy degli utenti e pertanto non è consigliato
RSAAuthentication yes
Indica se sono concessi i login con solo RSA
PasswordAuthentication yes
Indica se utilizzare come metodo di accesso le password o meno
PermitEmptyPasswords no
Non permette i login senza user o senza password
AllowUsers user1 user2
Permette il login via SSH solo agli user specificati. Da notare che gli user sono separati da spazi vuoti, quindi niente virgole o punti o altro
AllowGroups group1 group2
Permette il login via SSH solo ai gruppi specificati. Da notare che i gruppi sono separati da spazi vuoti, quindi niente virgole o punti o altro
Configurazione di sshd per l'autenticazione mediante password
# sudo nano /etc/ssh/sshd_config
Il consiglio è di decommentare ed impostare
PermitRootLogin no
Riavviare il servizio con il comando
sudo /etc/init.d/sshd restart
Configurazione del client per la connessione remota
Installazione del client sul client
sudo apt-get install openssh-client
Connessione al server remoto
ssh [IP del server]
oppure
ssh [utente@hostname]
Essendo la prima connessione, ssh mostrerà un messaggio simile a questo:
utente@localhost:~# ssh server@xxxx.xxxx.xxxxxx The authenticity of host 'xxxx.xxxxx.xxxxx (<no hostip for proxy command>)' can't be established. ECDSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx. Are you sure you want to continue connecting (yes/no)?
Rispondiamo yes
Warning: Permanently added 'xxxx.xxxxx.xxxxx' (ECDSA) to the list of known hosts.
Ci verra' infine richiesto di inserire nome utente e password per l'accesso
server@xxx.xxxx.xxxxx password: # password of the user utente@xxx.xxxx.xxxxx:~$ # logined
Guida basata sull'originale presente sul sito: Oscene.net
Guida scritta da: Ferdybassi 17:49, 22 dic 2009 (CET) | Debianized 20% |
Estesa da:
| |
Verificata da: | |
Verificare ed estendere la guida | Cos'è una guida Debianized |