Attenzione: questo articolo è ancora incompleto e in fase di scrittura da parte del suo autore. Sentitevi liberi di contribuire, proponendo modifiche alla guida tramite l'apposita pagina di discussione, in modo da non interferire con il lavoro portato avanti sulla voce. Per altre informazioni si rimanda al template.

Versioni Compatibili ERRORE: valore non valido ( Debian Etch 4.0 Debian Lenny 5.0 Debian Squeeze Debian Sid )! Vedi qui.

Introduzione

Ho deciso di scrivere questa guida poiché ho avuto molta difficoltà a creare una connessione remota sicura fra una macchina Windows ed una Linux in una LAN (o in una WAN) in quanto la maggior parte delle guide, degli How-To e delle FAQ che ho trovato in Internet esamina tale connessione fra due macchine Linux.

La connessione remota sicura, che esaminerò, è una connessione che usa il protocollo SSH (Secure SHell) e, perciò, è detta connessione SSH. Questo tipo di connessione si basa sulla criptografia asimmetrica detta anche crittografia a coppia di chiavi o, più semplicemente, a chiave pubblica/privata (o, semplicemente, a chiave pubblica) che consiste nella generazione di una coppia di chiavi (chiamate chiave privata e chiave pubblica). In pratica, la chiave pubblica codifica la comunicazione mentre la chiave privata decodifica tale comunicazione e vengono generate usando degli algoritmi asimmetrici che sono RSA e DSA: le connessioni che usano tali coppie di chiavi prodotte da questi algoritmi asimmetrici sono dette connessioni SSH. Tali algoritmi, però, servono soltanto per instaurare una connessione criptata fra il client SSH e il server SSH in quanto, per il trasferimento vero e proprio dei dati, si usano degli algoritmi simmetrici, come AES o 3DES, che sono molto più efficienti per questo scopo ovvero per cifrare la comunicazione. Quindi:
una connessione SSH èm una connessione cifrata che utilizza gli algoritmi asimetrici RSA o DSA soltanto per verificare se una chiave pubblica, memorizzata sul server, derivi da una chiave privata salvata sul client (in modo da garantire la reciproca autenticità del server e del client) in modo da essere utilizzata, per l'intera sessione, per la cifratura simmetrica con algoritmi come AES o 3DES.

Scelta del software

Ora, dopo aver fatto questa introduzione per chiarire i termini che userò in seguito, spiegherò, in pratica, come si crea una connessione SSH da Windows a Linux. Per far ciò, occorre scegliere un server-software SSH sulla macchina Linux (che funge da server) ed un client-software SSH su una macchina Windows (che funge da client). Per scegliere un server-software SSH per Linux, non esiste alcun problema in quanto la comunità Open Source ha creato un ottimo prodotto che, ormai, tutte le distribuzioni installano come predefinito. Questo prodotto è il software OpenSSH Server. Ora, siccome Windows (in tutte le sue edizione per il desktop) non ha nessun client-software SSH, occorre cercarne uno. Il più semplice client SSH con licenza certificata Open Source è PuTTY ma, chi volesse usare soprattutto la Shell di Linux ed avere qualche comodità in più sullo stile di Windows, dovrà valutare programmi commerciali come SecureCRT o SSH Tectia Client: si possono utilizzare le versioni di prova, completamente funzionanti, prima dell'acquisto.

Nota I client SSH permettono soltanto di accedere alla Shell di Linux per poter eseguire comandi su un terminale a caratteri di questo sistema operativo. Per poter accedere anche al suo server grafico X Window System o X11 o soltanto X (e, quindi, per poter controllare i vari ambienti grafici ed i programmi di X), occorre anche un client/server VNC. Ora, niente paura in quanto, grazie alla funzionalità Tunneling di questi tre client SSH, é possibile controllare anche X sempre in modo sicuro.

Preparazione del lato Server

Le due sottosezioni seguenti permettono che la vostra Linux-Box faccia da Server SSH con la possibilità di controllare, da remoto, anche le sessioni grafiche.

Configurazione del Server OpenSSH

Per installare l'OpenSSH Server (nel caso in cui la vostra distribuzione non lo avesse installato), occorre cercare, nel vostro gestore di pacchetti preferito, il pacchetto openssh-server ed installarlo con tutte le eventuali dipendenze. Una guida utile per aiutarvi in questo compito può essere: OpenSSH: Configurazione di base

Una volta installato l'OpenSSH Server sulla macchina Linux, occorre configurarlo per scegliere il modo di autenticazione che volete che le macchine client utilizzino per accedere al server Linux.

Le varie autenticazioni che OpenSSH Server può offrire sono:

1. Autenticazione tramite password
2. Autenticazione ChallengeResponseAuthentication o Keyboard-Interactive
3. Autenticazione a chiave pubblica
4. Autenticazione GSSAPI

• L'autenticazione tramite password utilizza la Username e la Password dell'utente (le stesse usate per l'autenticazione in locale) per verificare se l'utente é autorizzato ad accedere da remoto alla macchina Linux.

• L'autenticazione ChallengeResponseAuthentication o Keyboard-Interactive utilizza una serie di autenticazioni caratterizzate da richieste, fatte dal server SSH, che devono essere confermate dalle risposte mandate dal client SSH. Se le risposte coincidono con quelle memorizzate sul Server, l'utente è autorizzato ad accedere da remoto alla macchina Linux altrimenti questi non può accedere alla macchina Linux.

• L'autenticazione a chiave pubblica verifica se la chiavi pubblica, memorizzata sul Server, derivi dalla chiave privata memorizzata sul client dell'utente. Se tale verifica ha esito positivo, l'utente può accedere alla macchina Linux altrimenti no. Siccome la chiave privata é praticamente un file, che autorizza chiunque entra in possesso ad entrare in un Server SSH, è consigliabile proteggerla con una passphrase che, in sostanza, è una password da inserire ogni volta, o quasi, che si effettua una connessione verso tale Server SSH.

• L'autenticazione GSSAPI, basata su un'API generica, implementata su vari sistemi operativi, utilizza un determinato protocollo, che, normalmente, è Kerberos 5, per trasferire i dati per l'autenticazione.

Le autenticazioni più comode ed usate in una rete LAN (ma non solo) sono l'autenticazione tramite password e l'autenticazione a chiave pubblica. Quindi, la mia attenzione andrà soprattutto su queste due autenticazioni in quanto sono, forse, le più semplici da essere implementate.

Il file di configurazione di OpenSSH Server si chiama sshd_config e, normalmente, si trova nella directory /etc/ssh.

Questo è un file di testo composto da direttive (dette Keywords), che sono case-insensitive, e da valori, che sono case-sensitive. Quindi, per editarlo, basta un semplice editor di testo come vi o Emacs che avete già nella vostra distribuzione.

Quindi, attiviamo, in forma base, le autenticazioni tramite password e a chiave pubblica e disattiviamo le altre per evitare conflitti ed accessi non desiderati a causa di eventuali bachi.

Perciò, verifichiamo, da root, che, nel file /etc/ssh/sshd_config, ci siano le seguenti keyword ed i corrispettivi valori; se si dovessero trovare delle keyword mancanti o dei valori che non corrispondessero a quelli sotto enunciati, modificate semplicemente il testo stando attenti a non fare incominciare le keyword con il simbolo # (sto facendo riferimento al file /etc/ssh/sshd_config creato da OpenSSH Server di default):

Questo è tutto ciò che vi serve per far funzionare, in forma base ma efficiente ed in tutta sicurezza, un Server SSH in grado di dialogare con le macchine Windows (per chi volesse conoscere altre keyword per personalizzare il vostro Server SSH, basato sull'OpenSSH Server, consiglio di digitare, dalla Shell, il comando man 5 sshd_config).

Nota Dato che nel file /etc/ssh/sshd_config ci potrebbero essere dati sensibili (come la porta d'ascolto del Server SSH), forse, si vorrebbe proteggerlo dagli utenti locali. Quindi, basta che, dopo averlo salvato, scriviate da root chmod 600 /etc/ssh/sshd_config.

Configurazione per accedere da remoto alle sessioni grafiche

Fin qui, sarete in grado solo di accedere, mediante un client SSH, alla sola shell della vostra Linux-Box che, pur essendo molto potente ed utile, non é troppo amichevole. Quindi, per far sì che i vostri utenti remoti possano usare anche un server grafico X (quasi sicuramente già installato e configurato), é neccessario, prima, autorizzare tali utenti ad accedere a tale server e, poi, ad avviare, su questa stessa macchina, un server VNC che permetta di controllare un X display in modo da poter usare qualunque programma per X compresi i Desktop Environment come GNOME o KDE.

Osservazione Un X Display é un display virtuale, creato da un server X Window System detto, comunemente, X11 o figli (come XFree86 o X.Org), atto a ricevere l'input da una tastiera, da un mouse e da una scheda grafica, situate in locale o in remoto, mediante un qualsiasi programma-client X che può essere installato sulla macchina locale o in una remota.

Perciò, per fare in modo che anche gli utenti remoti possono usare l'X server, occorre accedere alla vostra Linux-Box come root e modificare il valore di una variabile nel file /etc/X11/Xwrapper.config (nel caso in cui tale variabile mancasse, aggiungetela senza paura). Quindi, questa variabile é allowed_users e deve assumere il valore anybody (ossia allowed_users=anybody). Dopo, per dare la possibilità ai vostri utenti remoti, che usano Windows, di gestire i vari programmi di X, occorre che alla partenza dell'X Server parta anche un VNC server che permetta di far visualizzare, tramite un client VNC (installato su Windows), i programmi di X. In Linux, ci sono vari VNC server free per Linux come RealVNC o TightVNC o x11vnc. Quest'ultimo ha una caratteristica particolare: quella di poter essere controllato un X Display già in uso da un qualsiasi VNC client installato su una macchina remota. Perciò, questa particolarità é molto utile anche per effettuare l'insegnamento a distanza.

--Balubeto 10:52, 9 Giu 2006 (EDT)