OpenSSH: Windows: differenze tra le versioni

nessun oggetto della modifica
Nessun oggetto della modifica
Nessun oggetto della modifica
Riga 23: Riga 23:
== Preparazione del lato Server ==
== Preparazione del lato Server ==


Le due sottosezioni seguenti permettono che la vostra Linux-Box faccia da Server SSH con la possibilità di controllare, da remoto, anche le sessioni grafiche.
Si vedano le guide [[OpenSSH]] e [[OpenSSH: file di configurazione]].
 
=== Configurazione del Server OpenSSH ===
 
Per installare l'OpenSSH Server (nel caso in cui la vostra distribuzione non lo avesse installato), occorre cercare, nel vostro gestore di pacchetti preferito, il pacchetto openssh-server ed installarlo con tutte le eventuali dipendenze. Una guida utile per aiutarvi in questo compito può essere: [[OpenSSH:_file_di_configurazione | OpenSSH: Configurazione di base]]
 
Una volta installato l'OpenSSH Server sulla macchina Linux, occorre configurarlo per scegliere il modo di autenticazione che volete che le macchine client utilizzino per accedere al server Linux.
 
Le varie autenticazioni che OpenSSH Server può offrire sono:
 
#Autenticazione tramite '''password'''
#Autenticazione '''ChallengeResponseAuthentication''' o '''Keyboard-Interactive'''
#Autenticazione '''a chiave pubblica'''
#Autenticazione '''GSSAPI'''
<br/>
* '''L'autenticazione tramite password''' utilizza la Username e la Password dell'utente (le stesse usate per l'autenticazione in locale) per verificare se l'utente è autorizzato ad accedere da remoto alla macchina Linux.
 
* '''L'autenticazione ChallengeResponseAuthentication o Keyboard-Interactive''' utilizza una serie di autenticazioni caratterizzate da richieste, fatte dal server SSH, che devono essere confermate dalle risposte mandate dal client SSH. Se le risposte coincidono con quelle memorizzate sul Server, l'utente è autorizzato ad accedere da remoto alla macchina Linux altrimenti questi non può accedere alla macchina Linux.
 
* '''L'autenticazione a chiave pubblica''' verifica se la chiavi pubblica, memorizzata sul Server, '''derivi''' dalla chiave privata memorizzata sul client dell'utente. Se tale verifica ha esito positivo, l'utente può accedere alla macchina Linux altrimenti no. Siccome la chiave privata è praticamente un file, che autorizza chiunque entra in possesso ad entrare in un Server SSH, è consigliabile proteggerla con una '''passphrase''' che, in sostanza, è una password da inserire ogni volta, o quasi, che si effettua una connessione verso tale Server SSH.
 
* '''L'autenticazione GSSAPI''', basata su un'API generica, implementata su vari sistemi operativi, utilizza un determinato protocollo, che, normalmente, è Kerberos 5, per trasferire i dati per l'autenticazione.
<br/>
Le autenticazioni più comode ed usate in una rete LAN (ma non solo) sono l''''autenticazione tramite password''' e l''''autenticazione a chiave pubblica'''. Quindi, la mia attenzione andrà soprattutto su queste due autenticazioni in quanto sono, forse, le più semplici da essere implementate.
 
Il file di configurazione di OpenSSH Server si chiama <code>''sshd_config''</code> e, normalmente, si trova nella directory <code>''/etc/ssh''</code>.
 
Questo è un file di testo composto da '''direttive''' (dette '''Keywords'''), che sono '''case-insensitive''', e da '''valori''', che sono '''case-sensitive'''. Quindi, per editarlo, basta un semplice editor di testo come '''vi''' o '''Emacs''' che avete già nella vostra distribuzione.
 
Quindi, attiviamo, in forma base, le autenticazioni tramite password e a chiave pubblica e disattiviamo le altre per evitare conflitti ed accessi non desiderati a causa di eventuali bachi.
 
Perciò, verifichiamo, da root, che, nel file <code>/etc/ssh/sshd_config</code>, ci siano le seguenti keyword ed i corrispettivi valori; se si dovessero trovare delle keyword mancanti o dei valori che non corrispondessero a quelli sotto enunciati, modificate semplicemente il testo stando attenti a non fare incominciare le keyword con il simbolo # (sto facendo riferimento al file <code>/etc/ssh/sshd_config</code> creato da OpenSSH Server di default):
<br/><br/>
{|
|style="width:20em;vertical-align:top;"|''Port <Numero porta d'ascolto>''
|Il valore di questa keyword indica la porta d'ascolto dell'OpenSSH Server. Conviene cambiare la porta d'ascolto di default per evitare, fin da subito, degli attacchi esterni e mettere un numero superiore a 1024 che non sia già usato da altri servizi locali o di Internet (per sapere le porte Internet di default usate dai comuni servizi Internet, andate [http://www.iana.org/assignments/port-numbers qui]). Si deve ricordare, dopo aver scelto tale porta, di "dire" al vostro firewall di aprire in entrata tale porta per fare in modo che i vostri utenti remoti possono accedere alla vostra macchina Linux.
|-
|style="width:20em;vertical-align:top;"|''Protocol 2''
|Il valore di questa keyword indica quale protocollo SSH utilizzare. Consiglio di utilizzare soltanto il protocollo 2 in quanto il protocollo 1 ha seri problemi di sicurezza.
|-
|style="width:20em;vertical-align:top;"|''PermitRootLogin no''
|Il valore di questa keyword evita l'accesso come root da remoto con '''una sola''' autenticazione. Ciò garantisce maggior sicurezza alla vostra Linux-Box poiché, se si volesse accedere come root, sarebbe necessario prima autenticarsi come utente normale per poi autenticarsi come root tramite il comando ''su''. In altre parole, con questa keyword impostata su '''no''', chi volesse accedere come root da remoto, dovrebbe autenticarsi '''due''' volte anziché '''una'''.
|-
|style="width:20em;vertical-align:top;"|''PasswordAuthentication yes''
|Il valore di questa keyword permette l'autenticazione mediante un semplice Login (Username e Password) da remoto.
|-
|style="width:20em;vertical-align:top;"|KerberosAuthentication no''
|Il valore di questa keyword evita che la password fornita mediante l'autenticazione tramite password sia convalidata dal KDC (Kerberos Key Distribution Center).
|-
|style="width:20em;vertical-align:top;"|''PermitEmptyPasswords no''
|Il valore di questa keyword evita che l'autenticazione mediante un semplice Login remoto avvenga senza la richiesta di una password se la keyword ''PasswordAuthentication'' è impostata sul ''yes''.
|-
|style="width:20em;vertical-align:top;"|''ChallengeResponseAuthentication no''
|Il valore di questa keyword non permette l'autenticazione mediante richieste-risposte ben precise fra il server ed il client SSH.
|-
|style="width:20em;vertical-align:top;"|''PubkeyAuthentication yes''
|Il valore di questa keyword permette l'autenticazione mediante una coppia di chiavi, una '''pubblica''', memorizzata sul server, ed una '''privata''' salvata sul client.
|-
|style="width:20em;vertical-align:top;"|''AuthorizedKeysFile <File chiavi pubbliche>''
|Il valore di questa keyword è il nome del file in cui vengono memorizzate le chiavi pubbliche degli utenti remoti che servono per verificare se una di queste derivi dalla chiave privata memorizzata dal client SSH che cerca di effettuare una connessione SSH utilizzando un''''autenticazione a chiave pubblica'''. Logicamente, tale keyword viene considerata soltanto se la keyword ''PubkeyAuthentication'' è impostata su ''yes''. Il valore di tale keyword deve contenere il path assoluto o relativo di questo file compreso il nome stesso (il valore di default è <code>.ssh/authorized_keys</code>). Normalmente, il path assoluto si usa quando il gestore del Server vuole tenere sott'occhio un unico file (che può anche essere memorizzato, per motivi di sicurezza, su un'altra macchina); mentre il path relativo alla home directory di ogni utente remoto viene, normalmente, usato per far sì che ogni utente gestisca lui stesso il file mettendo una o più delle sue chiavi pubbliche.
|-
|style="width:20em;vertical-align:top;"|''GSSAPIAuthentication no''
|Il valore di questa keyword non permette l'autenticazione utilizzando l'API GSSAPI.
|-
|style="width:20em;vertical-align:top;"|''Ciphers aes256-cbc,aes256-ctr,3des-cbc''
|Il valore di questa keyword permette di scegliere quali algoritmi simmetrici verranno usati per cifrare i dati trasferiti. Siccome l'utente del client SSH o il client stesso possono decidere quale sarà l'algoritmo simmetrico da utilizzare per l'intera sessione di lavoro, conviene "obbligare" l'utente o il client SSH a scegliere gli algoritmi che garantiscono la massima sicurezza con un occhio di riguardo alla velocità di trasferimento dei dati fra il server ed il client (e viceversa).
|-
|style="width:20em;vertical-align:top;"|''ClientAliveInterval 60''
|Il valore di questa keyword imposta il numero di secondi dopo i quali, se da un client SSH remoto non viene inviato al server SSH alcun dato, tale server invia un messaggio di verifica, nel canale criptato, dell'ancora esistenza del client (detto alive message) ed aspetta una risposta. Se tale risposta non arriva, interviene la keyword ''ClientAliveCountMax''.
|-
|style="width:20em;vertical-align:top;"|''ClientAliveCountMax 3''
|Il valore di questa keyword indica quante volte mandare un alive message, sempre nel canale criptato, al client SSH che non risponde. Se, dopo l'ultima richiesta "di vita", il client SSH non risponde, il server SSH termina la connessione con quel client. Quindi, impostando correttamente i valori delle keyword ''ClientAliveInterval'' e ''ClientAliveCountMax'' si evita il sovraccarico del vostro server (con un risparmio delle sue risposte) impostando '''una disconnessione automatica''' del client da parte del Server ogni 180 (60&middot;3) secondi.
|-
|style="width:20em;vertical-align:top;"|''TCPKeepAlive no''
|Il valore di questa keyword non permette di mandare dei '''TCP keepalive message''' per verificare se la rete è caduta o se il client SSH remoto è andato in crash. Poiché i TCP keepalive message non vengono mandati nel canale criptato e possono contenere delle informazioni sensibili, si preferisce disabilitare questa tecnica di analisi sullo stato delle connessioni SSH usufruendo delle keyword ''ClientAliveInterval'' e ''ClientAliveCountMax'' per eliminare le connessioni SSH non più utilizzate.
|-
|style="width:20em;vertical-align:top;"|''Subsystem sftp /usr/lib/openssh/sftp-server''
|Il valore di questa keyword permette di configurare un sottosistema esterno, come un server FTP, da avviare insieme al servizio SSH. Conviene far partire un server FTP che possa sfruttare il protocollo SSH in modo da poter trasferire, in modo sicuro, dei file dal client al server e viceversa.
|}
<br/>
Questo è tutto ciò che vi serve per far funzionare, in forma base ma efficiente ed in tutta sicurezza, un Server SSH in grado di dialogare con le macchine Windows (per chi volesse conoscere altre keyword per personalizzare il vostro Server SSH, basato sull'OpenSSH Server, consiglio di digitare, dalla Shell, il comando <code>''man 5 sshd_config''</code>).
 
{{Box | Nota |Dato che nel file <code>/etc/ssh/sshd_config</code> ci potrebbero essere dati sensibili (come la porta d'ascolto del Server SSH), forse, si vorrebbe proteggerlo dagli utenti locali. Quindi, basta che, dopo averlo salvato, scriviate da root <code>chmod 600 /etc/ssh/sshd_config</code>.}}


=== Configurazione per accedere da remoto alle sessioni grafiche ===
=== Configurazione per accedere da remoto alle sessioni grafiche ===
3 155

contributi