OpenSSH: differenze tra le versioni

nessun oggetto della modifica
Nessun oggetto della modifica
Riga 252: Riga 252:
<pre>$ scp ~/.ssh/id_rsa.pub utenteremoto@nomeremoto:~/.ssh/authorized_keys</pre>
<pre>$ scp ~/.ssh/id_rsa.pub utenteremoto@nomeremoto:~/.ssh/authorized_keys</pre>


==Inserire le chiavi pubbliche==
{{Box|Nota|Se si trasferisce manualmente la chiave pubblica facendo copia ed incolla tra due editor di testo si presti ATTENZIONE a non spezzare la chiave su più righe. È infatti obbligatoria l'indicazione di '''una sola chiave per riga'''.}}
 
{{Warningbox|Per la generazione delle chiavi di autenticazione fate riferimento a questa altra guida:
'''[[Ssh_e_autenticazione_tramite_chiavi|Ssh e autenticazione tramite chiavi]]'''.}}
 
Creare nella dir <code>/home/m3gac4mmell0/.ssh</code> il file <code>authorized_keys</code>. Se la directory non esiste, crearla con proprietario l'user prescelto:
<pre>
$ mkdir /home/user/.ssh
$ chmod 700 /home/user/.ssh
$ cd /home/user/.ssh
$ touch authorized_keys
$ chmod 600 authorized_keys
</pre>
 
Prestiamo attenzione ai permessi attribuiti.
 
Ora inseriamo le chiavi pubbliche nel file <code>authorized_keys</code>.
 
Come amante di MC e mcedit faccio la cosa manualmente, ma pare sia possibile usare un semplice comando:
 
<pre>$ scp -P <porta> ~/.ssh/id_rsa.pub <username>@<ip del server>:~/.ssh/authorized_keys</pre>
 
Per maggiori informazioni consultare anche : ''ssh-copy-id'' e ''ssh-add''
 
Se la modifica viene fatta con un editor di testo (''es. mcedit'') '''ATTENZIONE''' a inserire le chiavi in una singola riga.
 
==Configurazione==
 
Quella che riporto ora è la configurazione di SSH inserita nel file <code>''/etc/ssh/sshd_config''</code> .
 
<pre># Package generated configuration file
# See the sshd_config(5) manpage for details
 
# What ports, IPs and protocols we listen for
Port 2974
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
 
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
 
# Logging
SyslogFacility AUTH
LogLevel INFO
 
# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
 
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
 
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
 
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
 
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
 
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no
 
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
 
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
 
X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive no
#UseLogin no
 
#MaxStartups 10:30:60
#Banner /etc/issue.net
 
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
 
Subsystem sftp /usr/lib/openssh/sftp-server
 
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no
</pre>
 
La parte modificata per forzare l'accesso con le chiavi è di sole 3 righe:
<pre>ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no</pre>
Se avete problemi basta riportare a 'yes' le opzioni sopra indicate.
 
Oltre alla porta cambiata come segnalato a priori, occorre decommentare la riga:
<pre>AuthorizedKeysFile %h/.ssh/authorized_keys</pre>
 
In più ho preferito impostare a 'no' questa:
<pre>X11Forwarding no</pre>
 
* Se la sessione si blocca per inutilizzo, provare con ''TCPKeepAlive yes'' .
* È possibile porre alcune restrizioni aggiuntive quali ''AllowUsers'' e ''MaxAuthTries''.


==Optional==
==Optional==
3 155

contributi