Differences between revisions 11 and 12
Revision 11 as of 2013-12-15 17:55:16
Size: 6289
Comment: sync with English master
Revision 12 as of 2013-12-25 08:46:53
Size: 5336
Comment: sync with English master
Deletions are marked like this. Additions are marked like this.
Line 26: Line 26:
L'impronta digitale delle chiavi SSH di Alioth è la seguente (firmata con GPG): L'impronta digitale delle chiavi SSH host di Alioth può essere trovata all'indirizzo http://db.debian.org/machines.cgi?host=moszumanska
Line 28: Line 28:
{{{
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

2048 8c:c0:b8:9f:0a:79:ee:1c:77:c4:b8:a1:70:55:b7:31 /etc/ssh/ssh_host_rsa_key.pub (RSA)

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
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=Q2IV
-----END PGP SIGNATURE-----

}}}

Translation(s): English - Italiano


Accesso tramite SSH su alioth.debian.org (conosciuto anche come svn.debian.org)

In molti casi si dovrà effettuare il login con SSH per accedere ad alioth.debian.org (o uno dei suoi alias come {svn,bzr,git,hg,darcs,arch}.debian.org), sia per aggiornare il sito web del proprio progetto sia per accedere ai repository VCS associati. Questa pagina contiene tutte le informazioni che è necessario sapere riguardo l'accesso SSH.

Come gestire nomi utente differenti

In molti casi i dati di accesso su Alioth non sono gli stessi usati abitualmente (per esempio a causa del suffisso -guest), per evitare di impostare ovunque il nome utente si può inserire questo nel file ~/.ssh/config:

Host svn.debian.org git.debian.org bzr.debian.org hg.debian.org darcs.debian.org arch.debian.org
    User nome_utente-alioth

Con questa configurazione si potrà usare ssh git.debian.org invece di ssh nome_utente-alioth@git.debian.org che evita inoltre di inserire il nome utente in molti URL VCS.

Connettersi per la prima volta

La prima volta che si accede ad una macchina il client SSH chiede di verificare l'impronta digitale della chiave pubblica SSH dell'host Alioth, se è diversa significa che non ci si sta connettendo ad Alioth e ci si dovrebbe immediatamente fermare.

L'impronta digitale delle chiavi SSH host di Alioth può essere trovata all'indirizzo http://db.debian.org/machines.cgi?host=moszumanska

Installare le chiavi SSH

Alioth non permette l'autenticazione con password via SSH; è necessario autenticarsi con le proprie chiavi pubbliche/private SSH. Attualmente sono permesse solo chiavi RSA.

Per generare una coppia di chiavi SSH sul computer, si esegue ssh-keygen -t rsa associando una password per proteggere la chiave privata. La chiave pubblica verrà memorizzata nel file ~/.ssh/id_rsa.pub, il contenuto di quel file andrà incollato nel modulo di inserimento dati di Gforge indicato di seguito.

Gforge memorizza le chiavi nel suo database e genera automaticamente il file ~/.ssh/authorized_keys, quindi per aggiungere la propria chiave SSH è necessario utilizzare la pagina web dedicata: https://alioth.debian.org/account/editsshkeys.php

Qualsiasi file ~/.ssh/authorized_keys creato manualmente verrà cancellato automaticamente ogni ora.

Non si è in grado di connettersi via SSH, ...

... e il progetto è stato aggiunto di recente

Bisogna attendere 24 ore, questa è l'attuale prassi amministrativa. Per essere in grado di accedere via ssh si deve essere membri di almeno un progetto, nel caso ce ne siano, https://alioth.debian.org/users/<nomeutente> mostrerà i progetti dei quali si è membri.

... e la chiave pubblica SSH è stata aggiunta di recente ad Alioth

Sarà necessario attendere fino ad un'ora, l'elaborazione delle chiavi è gestita da un compito temporizzato tramite cron.

... ma Alioth risponde al ping

Su Alioth è installato fail2ban, questo bloccherà l'accesso SSH per 10 minuti dopo 3 tentativi di identificazione falliti. Questo comprende i casi in cui il client SSH prova a connettersi con una chiave non registrata, anche se viene in seguito inviata la chiave corretta. La soluzione è semplice, modificare il file ~/.ssh/config affinché invii solo la chiave corretta:

Host svn.debian.org git.debian.org bzr.debian.org hg.debian.org darcs.debian.org arch.debian.org
    IdentityFile ~/.ssh/id_alioth

Naturalmente ~/.ssh/id_alioth va sostituito con il nome del file della chiave privata con la cui pubblica controparte ci si è registrati su Alioth. Gli sviluppatori Debian dovrebbero utilizzare le loro chiavi standard (da configurare tramite db.debian.org).

Gli host master.debian.org e ravel.debian.org sono in whitelist nella configurazione di fail2ban di Alioth. È possibile utilizzare il seguente blocco in ~/.ssh/config per scopi di debug:

Host svn.debian.org git.debian.org bzr.debian.org hg.debian.org darcs.debian.org arch.debian.org
    ProxyCommand ssh master.debian.org nc -q0 %h %p

Domanda: cosa fare quando la chiave viene aggiunta a via ssh-agent? È possibile dire al client ssh di offrire solo una determinata chiave per un host? Perché fail2ban viene utilizzato quando l'autenticazione via pasword è disabilitata?

Risposta: Impostare "?IdentitiesOnly yes" nella propria sezione ssh per alioth.

Buone pratiche di utilizzo SSH

Si deve leggere questa pagina: http://lackof.org/taggart/hacking/ssh/

Questo documento riassume molte buone pratiche che gli utenti SSH abituali dovrebbero seguire per evitare di compromettere la sicurezza dei propri account (ed allo stesso tempo dell'intera macchina).

Collegamenti esterni


CategoryAlioth