|
|
| Riga 252: |
Riga 252: |
| <pre>$ scp ~/.ssh/id_rsa.pub utenteremoto@nomeremoto:~/.ssh/authorized_keys</pre> | | <pre>$ scp ~/.ssh/id_rsa.pub utenteremoto@nomeremoto:~/.ssh/authorized_keys</pre> |
|
| |
|
| ==Inserire le chiavi pubbliche==
| | {{Box|Nota|Se si trasferisce manualmente la chiave pubblica facendo copia ed incolla tra due editor di testo si presti ATTENZIONE a non spezzare la chiave su più righe. È infatti obbligatoria l'indicazione di '''una sola chiave per riga'''.}} |
| | |
| {{Warningbox|Per la generazione delle chiavi di autenticazione fate riferimento a questa altra guida: | |
| '''[[Ssh_e_autenticazione_tramite_chiavi|Ssh e autenticazione tramite chiavi]]'''.}}
| |
| | |
| Creare nella dir <code>/home/m3gac4mmell0/.ssh</code> il file <code>authorized_keys</code>. Se la directory non esiste, crearla con proprietario l'user prescelto:
| |
| <pre>
| |
| $ mkdir /home/user/.ssh
| |
| $ chmod 700 /home/user/.ssh
| |
| $ cd /home/user/.ssh
| |
| $ touch authorized_keys
| |
| $ chmod 600 authorized_keys
| |
| </pre>
| |
| | |
| Prestiamo attenzione ai permessi attribuiti.
| |
| | |
| Ora inseriamo le chiavi pubbliche nel file <code>authorized_keys</code>.
| |
| | |
| Come amante di MC e mcedit faccio la cosa manualmente, ma pare sia possibile usare un semplice comando:
| |
| | |
| <pre>$ scp -P <porta> ~/.ssh/id_rsa.pub <username>@<ip del server>:~/.ssh/authorized_keys</pre>
| |
| | |
| Per maggiori informazioni consultare anche : ''ssh-copy-id'' e ''ssh-add''
| |
| | |
| Se la modifica viene fatta con un editor di testo (''es. mcedit'') '''ATTENZIONE''' a inserire le chiavi in una singola riga.
| |
| | |
| ==Configurazione==
| |
| | |
| Quella che riporto ora è la configurazione di SSH inserita nel file <code>''/etc/ssh/sshd_config''</code> .
| |
| | |
| <pre># Package generated configuration file
| |
| # See the sshd_config(5) manpage for details
| |
| | |
| # What ports, IPs and protocols we listen for
| |
| Port 2974
| |
| # Use these options to restrict which interfaces/protocols sshd will bind to
| |
| #ListenAddress ::
| |
| #ListenAddress 0.0.0.0
| |
| Protocol 2
| |
| # HostKeys for protocol version 2
| |
| HostKey /etc/ssh/ssh_host_rsa_key
| |
| HostKey /etc/ssh/ssh_host_dsa_key
| |
| #Privilege Separation is turned on for security
| |
| UsePrivilegeSeparation yes
| |
| | |
| # Lifetime and size of ephemeral version 1 server key
| |
| KeyRegenerationInterval 3600
| |
| ServerKeyBits 768
| |
| | |
| # Logging
| |
| SyslogFacility AUTH
| |
| LogLevel INFO
| |
| | |
| # Authentication:
| |
| LoginGraceTime 120
| |
| PermitRootLogin no
| |
| StrictModes yes
| |
| | |
| RSAAuthentication yes
| |
| PubkeyAuthentication yes
| |
| AuthorizedKeysFile %h/.ssh/authorized_keys
| |
| | |
| # Don't read the user's ~/.rhosts and ~/.shosts files
| |
| IgnoreRhosts yes
| |
| # For this to work you will also need host keys in /etc/ssh_known_hosts
| |
| RhostsRSAAuthentication no
| |
| # similar for protocol version 2
| |
| HostbasedAuthentication no
| |
| # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
| |
| #IgnoreUserKnownHosts yes
| |
| | |
| # To enable empty passwords, change to yes (NOT RECOMMENDED)
| |
| PermitEmptyPasswords no
| |
| | |
| # Change to yes to enable challenge-response passwords (beware issues with
| |
| # some PAM modules and threads)
| |
| ChallengeResponseAuthentication no
| |
| | |
| # Change to no to disable tunnelled clear text passwords
| |
| PasswordAuthentication no
| |
| | |
| # Kerberos options
| |
| #KerberosAuthentication no
| |
| #KerberosGetAFSToken no
| |
| #KerberosOrLocalPasswd yes
| |
| #KerberosTicketCleanup yes
| |
| | |
| # GSSAPI options
| |
| #GSSAPIAuthentication no
| |
| #GSSAPICleanupCredentials yes
| |
| | |
| X11Forwarding no
| |
| X11DisplayOffset 10
| |
| PrintMotd no
| |
| PrintLastLog yes
| |
| TCPKeepAlive no
| |
| #UseLogin no
| |
| | |
| #MaxStartups 10:30:60
| |
| #Banner /etc/issue.net
| |
| | |
| # Allow client to pass locale environment variables
| |
| AcceptEnv LANG LC_*
| |
| | |
| Subsystem sftp /usr/lib/openssh/sftp-server
| |
| | |
| # Set this to 'yes' to enable PAM authentication, account processing,
| |
| # and session processing. If this is enabled, PAM authentication will
| |
| # be allowed through the ChallengeResponseAuthentication and
| |
| # PasswordAuthentication. Depending on your PAM configuration,
| |
| # PAM authentication via ChallengeResponseAuthentication may bypass
| |
| # the setting of "PermitRootLogin without-password".
| |
| # If you just want the PAM account and session checks to run without
| |
| # PAM authentication, then enable this but set PasswordAuthentication
| |
| # and ChallengeResponseAuthentication to 'no'.
| |
| UsePAM no
| |
| </pre>
| |
| | |
| La parte modificata per forzare l'accesso con le chiavi è di sole 3 righe:
| |
| <pre>ChallengeResponseAuthentication no
| |
| PasswordAuthentication no
| |
| UsePAM no</pre>
| |
| Se avete problemi basta riportare a 'yes' le opzioni sopra indicate.
| |
| | |
| Oltre alla porta cambiata come segnalato a priori, occorre decommentare la riga:
| |
| <pre>AuthorizedKeysFile %h/.ssh/authorized_keys</pre>
| |
| | |
| In più ho preferito impostare a 'no' questa:
| |
| <pre>X11Forwarding no</pre>
| |
| | |
| * Se la sessione si blocca per inutilizzo, provare con ''TCPKeepAlive yes'' .
| |
| * È possibile porre alcune restrizioni aggiuntive quali ''AllowUsers'' e ''MaxAuthTries''.
| |
|
| |
|
| ==Optional== | | ==Optional== |