OpenSSH: differenze tra le versioni

Vai alla navigazione Vai alla ricerca

OpenSSH (visualizza wikitesto)

Versione delle 07:51, 9 ott 2017

1 632 byte rimossi ,  9 ott 2017
nessun oggetto della modifica
(verificata)
Nessun oggetto della modifica
(8 versioni intermedie di 4 utenti non mostrate)
Riga 1: Riga 1:
{{Versioni compatibili | Lenny | Squeeze | Wheezy | Jessie}}{{SSH}}
{{SSH
 
|successivo=SFTP: SSH File Transfer Protocol
}}{{Versioni compatibili | Lenny | Squeeze | Wheezy | Jessie | Stretch}}{{OpenSSH}}
== Installazione ==
== Installazione ==


Riga 6: Riga 7:
Premesso questo, per installare sia client che server digitare da terminale con [[privilegi di amministrazione]]:
Premesso questo, per installare sia client che server digitare da terminale con [[privilegi di amministrazione]]:


<pre># aptitude install ssh</pre>
<pre># apt-get install ssh</pre>


Per installare il solo client:
Per installare il solo client:


<pre># aptitude install openssh-client</pre>
<pre># apt-get install openssh-client</pre>


Per installare il solo server:
Per installare il solo server:


<pre># aptitude install openssh-server</pre>
<pre># apt-get install openssh-server</pre>


Opzionalmente è possibile installare anche il pacchetto <code>openssh-blacklist</code>
Opzionalmente è possibile installare anche il pacchetto <code>openssh-blacklist</code>


<pre># aptitude install openssh-blacklist</pre>
<pre># apt-get install openssh-blacklist</pre>


== Utilizzo base ==
== Utilizzo base ==
Riga 212: Riga 213:


{{Box|Nota|Se si trasferisce manualmente la chiave pubblica facendo copia ed incolla tra due editor di testo si presti ATTENZIONE a non spezzare la chiave su più righe. È infatti obbligatoria l'indicazione di '''una sola chiave per riga'''.}}
{{Box|Nota|Se si trasferisce manualmente la chiave pubblica facendo copia ed incolla tra due editor di testo si presti ATTENZIONE a non spezzare la chiave su più righe. È infatti obbligatoria l'indicazione di '''una sola chiave per riga'''.}}
<br/>
{{Warningbox|Se non si riuscisse a collegarsi ricevendo invece il messaggio ''Permission denied (publickey)'' verificare che:
* la chiave privata usata in fase di autenticazione sia quella corretta;
* la chiave pubblica necessaria sia stata effettivamente (e correttamente) aggiunta al file <code>authorized_keys</code>;
* il file <code>~/.ssh/authorized_keys</code> sia accessibile solo e soltanto al proprietario (600);
* la home dell'utenza che si vuole usare sia scrivibile solo da essa (755, 750 o 700)}};
<br/>


== Analisi dei file di configurazione ==
== Analisi dei file di configurazione ==
Riga 217: Riga 225:
Si veda [[OpenSSH: file di configurazione | la guida dedicata]].
Si veda [[OpenSSH: file di configurazione | la guida dedicata]].


== Strumenti complementari opzionali ==
=== Fail2ban ===
Questo strumento serve per limitare gli accessi indesiderati, bandendo per "X" secondi un IP che ha superato un numero di accessi impostato.
{{Warningbox|
* Il ban riguarda solo la porta interessata.
* Indicare più volte consecutivamente uno username errato in un client SSH, anche solo per un errore di battitura, attiva l'interdizione dell'IP.}}
Per maggiori informazioni sull'uso di tale applicativo si rimanda alla documentazione ufficiale o alla [[Fail2ban | guida presente sul wiki di debianizzati]].
Per fare una prova e verificare subito se tutto funziona è possibile seguire le istruzioni indicate nella sezione [[Fail2ban#Prova 2 | Prova 2]] della precedente guida, avendo cura di usare la seguente riga di comando invece di quella mostrata (relativa a ''proftp''):
<pre># fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf</pre>
=== Moblock ===
{{Warningbox|<code>moblock blockcontrol mobloquer</code> sono ormai considerati deprecati, si usi invece [http://sourceforge.net/p/peerguardian/wiki/pgl-Install-DebianUbuntu/ PeerGuardian Linux]}}
L'uso di <code>blockcontrol</code> è spiegato [http://e-zine.debianizzati.org/web-zine/numero_4/?page=82 nell'e-zine n°4] e nella guida [[Moblock - mobloquer]], quindi ci si limiterà ad alcune considerazioni.
L'unica eccezione che si aggiunge alla guida sull'e-zine riguarda l'apertura delle porte per la connessione all'interno del file di configurazione <code>''/etc/blockcontrol/blockcontrol.conf''</code>, dove sarà inserito in TCP-in e TCP-out la porta impostata per SSH.
<pre># Do a "blockcontrol restart" (sometimes even "reload" is enough) when you have
# edited this file.
WHITE_TCP_OUT="2974"
WHITE_TCP_IN="2974"</pre>
Grazie all'aggiunta di filtri, è possibile chiudere l'accesso a diversi range di IP. Per un server si consiglia il filtro proxy per ovviare al cambio IP se qualcuno viene bandito.
Si considerino inoltre validi anche i filtri nazioni in cui non ci si recherà mai e dalle quali non ci si aspetto connessioni, come Cina, Taiwan, Korea e Russia dalle quali è più probabile ricevere connessioni malevole.
Per maggiori informazioni sulle liste disponibili, visitare: http://www.iblocklist.com/lists.php


== Altri client OpenSSH compatibili ==
== Altri client OpenSSH compatibili ==
Riga 335: Riga 309:
* [http://users.telenet.be/mydotcom/howto/linux/sshpasswordless.htm SSH passwordless]
* [http://users.telenet.be/mydotcom/howto/linux/sshpasswordless.htm SSH passwordless]
* [https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Host-based_Authentication Host based authentication]
* [https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Host-based_Authentication Host based authentication]


{{Autori
{{Autori
Riga 344: Riga 317:
:[[Utente:Wtf|Wtf]] 13:05, 20 set 2015 (CEST)
:[[Utente:Wtf|Wtf]] 13:05, 20 set 2015 (CEST)
:[[Utente:HAL 9000|HAL 9000]] 13:56, 26 set 2015 (CEST)
:[[Utente:HAL 9000|HAL 9000]] 13:56, 26 set 2015 (CEST)
|Numero_revisori=2
:[[Utente:Ferdybassi|Ferdybassi]] 15:42, 12 mar 2016 (CET)
|Numero_revisori=3
}}
}}


[[Categoria:SSH_server_e_amministrazione_remota]]
[[Categoria:SSH_server_e_amministrazione_remota]]
Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/39675...42119"

Menu di navigazione