OpenSSH: differenze tra le versioni

Riga 123: Riga 123:
==== hostbased ====
==== hostbased ====


Usando questa modalità non vengono autenticati i singoli utenti, ma la macchina stessa. In pratica la macchina remota controlla solo che la macchina client sia veramente chi dice di essere, ma non esegue alcun controllo sugli utenti. Superata tale verifica gli account della macchina client hanno immediatamente accesso all'account omonimo presente sulla macchina remota.<br/>
Usando questa modalità non vengono autenticati i singoli utenti, ma la macchina stessa. In pratica la macchina remota controlla solo che la macchina client sia veramente chi dice di essere, ma non esegue alcun controllo sugli utenti. Superata tale verifica gli account della macchina client hanno immediatamente accesso all'account omonimo presente sulla macchina remota.
 
Risulta quindi evidente come una compromissione di uno o più account della macchina client implichino necessariamente la compromissione immediata dei corrispondenti account della macchina remota. Si può dunque affermare che questa modalità di autenticazione risulta utile quando:
Risulta quindi evidente come una compromissione di uno o più account della macchina client implichino necessariamente la compromissione immediata dei corrispondenti account della macchina remota. Si può dunque affermare che questa modalità di autenticazione risulta utile quando:
* sulla macchina client esistono diversi account presenti anche sulla macchina remota e tutti quanti, o buona parte di essi, necessitano di usare SSH. Si noti che tali account debbono necessariamente avere '''lo stesso nome''';
* sulla macchina client esistono diversi account presenti anche sulla macchina remota e tutti quanti, o buona parte di essi, necessitano di usare SSH. Si noti che tali account debbono necessariamente avere '''lo stesso nome''';
* la macchina client è considerata "assolutamente" sicura.
* la macchina client è considerata "assolutamente" sicura.
{{Box|Alternative|Il server SSH in modalità autenticazione ''hostbased'' può essere anche configurato per permettere ad un singolo utente della macchina client di accedere ad utenze multiple, o perfino tutte, della macchina remota. In questa guida ci si limiterà al caso ''utente client --> utente remoto omonimo''. Se il lettore fosse interessato alle altre possibilità veda il manuale relativamente ai file <code>/etc/hosts.equiv</code> e <code>~/shosts.equiv</code>}}


===== Generazione chiavi =====
===== Generazione chiavi =====
Riga 205: Riga 208:
* Si noti che digitare dalla macchina remota il comando <code>host ip_client</code>, è condizione necessaria, ma NON sufficiente per assicurarsi che SSH risolva correttamente i FQDN.
* Si noti che digitare dalla macchina remota il comando <code>host ip_client</code>, è condizione necessaria, ma NON sufficiente per assicurarsi che SSH risolva correttamente i FQDN.
* Controllare sempre di aver scritto correttamente il FQDN della macchina client.}}
* Controllare sempre di aver scritto correttamente il FQDN della macchina client.}}
===== Note =====
* È possibile configurare il server SSH affinché un utente della macchina client abbia accesso a utenze multiple della macchina remota (<code>~/shosts.equiv</code>) o addirittura a tutte le utenze di quest'ultima (<code>/etc/hosts.equiv</code>).


==Inserire le chiavi pubbliche==
==Inserire le chiavi pubbliche==
3 155

contributi