6 999
contributi
S3v (discussione | contributi) Nessun oggetto della modifica |
S3v (discussione | contributi) m (piccole modifiche) |
||
Riga 2: | Riga 2: | ||
=Premessa= | =Premessa= | ||
Da diverso tempo i server dell'MM Team hanno raggiunto una buona stabilità, e gli uptime lunghi e le poche operazioni di | Da diverso tempo i server dell'MM Team hanno raggiunto una buona stabilità, e gli uptime lunghi e le poche operazioni di manutenzione hanno portato fisicamente le macchine fuori dai piedi, con l'avvio senza KDM.<br> | ||
manutenzione hanno portato fisicamente le macchine fuori dai piedi, con l'avvio senza KDM.<br> | |||
Ora però resta da risolvere come effettuare la periodiche sessioni di aggiornamento.<br> | Ora però resta da risolvere come effettuare la periodiche sessioni di aggiornamento.<br> | ||
Da diverso tempo avevo pensato a SSH ma, un po' per paura, ho sempre tardato a provarlo; ora finalmente mi sono deciso ma | Da diverso tempo avevo pensato a SSH ma, un po' per paura, ho sempre tardato a provarlo; ora finalmente mi sono deciso ma adottando alcune precauzioni.<br> | ||
adottando alcune precauzioni.<br> | |||
La seguente lettura porterà a ottenere una connessione SSH sicura, con l'autenticazione basata sul controllo della chiave pubblica. | La seguente lettura porterà a ottenere una connessione SSH sicura, con l'autenticazione basata sul controllo della chiave pubblica. | ||
Riga 21: | Riga 19: | ||
La sintassi su sistemi UNIX-like è la seguente: | La sintassi su sistemi UNIX-like è la seguente: | ||
<pre> | <pre> | ||
$ ssh [opzioni] nomeutente@host [comando] | |||
</pre> | </pre> | ||
dove con "$" si intende il prompt della shell utilizzata. | dove con "$" si intende il prompt della [[shell]] utilizzata. | ||
In questo specifico caso useremo una connessione SSH con chiave, questo metodo di autenticazione è basato sulla crittografia asimmetrica. Per utilizzarlo l'utente genera una coppia di chiavi. | In questo specifico caso useremo una connessione SSH con chiave, questo metodo di autenticazione è basato sulla crittografia asimmetrica. Per utilizzarlo l'utente genera una coppia di chiavi. | ||
Riga 42: | Riga 40: | ||
Oltre al pacchetto '''ssh''' verrà installato '''openssh-blacklist''','''openssh-client''' e '''openssh-server''' . | Oltre al pacchetto '''ssh''' verrà installato '''openssh-blacklist''','''openssh-client''' e '''openssh-server''' . | ||
Dopo aver terminato l'installazione, è già possibile autenticarsi a SSH con le impostazioni di default che ora andremo a correggere . | Dopo aver terminato l'installazione, è già possibile autenticarsi a SSH con le impostazioni di default che ora andremo a correggere. | ||
==Porta== | ==Porta== | ||
Riga 54: | Riga 52: | ||
==Utente per la connessione== | ==Utente per la connessione== | ||
Sul server ho un solo utente e per giunta oltre ad avere una password fragile, ha abilitato l'uso di sudo ( che saltuariamente uso). | Sul server ho un solo utente e per giunta oltre ad avere una password fragile, ha abilitato l'uso di [[sudo]] ( che saltuariamente uso). | ||
Per fornire maggior sicurezza al sistema, si dovrà creare un nuovo utente dedicato alla sola connessione SSH, a cui possiamo dare un bel nome a scelta : | Per fornire maggior sicurezza al sistema, si dovrà creare un nuovo utente dedicato alla sola connessione SSH, a cui possiamo dare un bel nome a scelta : | ||
Riga 70: | Riga 68: | ||
Creare nella dir <code>/home/m3gac4mmell0/.ssh</code> il file <code>authorized_keys</code>. Se la directory non esiste, crearla con proprietario l'user prescelto: | Creare nella dir <code>/home/m3gac4mmell0/.ssh</code> il file <code>authorized_keys</code>. Se la directory non esiste, crearla con proprietario l'user prescelto: | ||
<pre> | <pre> | ||
$ mkdir /home/user/.ssh | |||
$ chmod 700 /home/user/.ssh | |||
$ cd /home/user/.ssh | |||
$ touch authorized_keys | |||
$ chmod 600 authorized_keys | |||
</pre> | </pre> | ||
Riga 81: | Riga 79: | ||
Ora inseriamo le chiavi pubbliche nel file <code>authorized_keys</code>. | Ora inseriamo le chiavi pubbliche nel file <code>authorized_keys</code>. | ||
Come amante di MC e mcedit faccio la cosa | Come amante di MC e mcedit faccio la cosa manualmente, ma pare sia possibile usare un semplice comando: | ||
<pre>$ scp -P <porta> ~/.ssh/id_dsa.pub <username>@<ip del server>:~/.ssh/ authorized_keys</pre> | <pre>$ scp -P <porta> ~/.ssh/id_dsa.pub <username>@<ip del server>:~/.ssh/ authorized_keys</pre> | ||
Riga 207: | Riga 205: | ||
Installare fail2ban è semplice : | Installare fail2ban è semplice : | ||
<pre>#aptitude install fail2ban</pre> | <pre># aptitude install fail2ban</pre> | ||
Per maggiori info visitate la documentazione ufficiale, mentre per utilizzarlo come nel nostro caso interverremo operando alcune modifiche al file <code>''/etc/fail2ban/jail.conf''</code>. | Per maggiori info visitate la documentazione ufficiale, mentre per utilizzarlo come nel nostro caso interverremo operando alcune modifiche al file <code>''/etc/fail2ban/jail.conf''</code>. | ||
Riga 308: | Riga 306: | ||
Prepariamo la nostra chiave, che sarà composta da una chiave pubblica e una privata: | Prepariamo la nostra chiave, che sarà composta da una chiave pubblica e una privata: | ||
<pre> | <pre> | ||
$ ssh-keygen -t rsa -b 1024 | |||
</pre> | </pre> | ||
contributi