Differences between revisions 6 and 7
Revision 6 as of 2012-04-06 18:57:24
Size: 6626
Comment: sync with English version
Revision 7 as of 2012-07-08 12:19:07
Size: 7048
Comment: sync with English version
Deletions are marked like this. Additions are marked like this.
Line 36: Line 36:

== File di configurazione ==

I principali file di configurazione sono nella directory ''/etc/ssh'' :

 * '''ssh_config''' : file di configurazione del client
 * '''sshd_config''' : file di configurazione del server

In aggiunta questa directory contiene le coppie di chiavi private/pubbliche che identificano l'host:

 * ssh_host_dsa_key
 * ssh_host_dsa_key.pub
 * ssh_host_rsa_key
 * ssh_host_rsa_key.pub

Translation(s): English - ?Français - ?Italiano

DaFare(vedi originale inglese): unire (e tradurre) questa pagina e quella in francese che è più completa.

Introduzione

SSH sta per Secure Shell ed è un protocollo per login remoto sicuro e altri servizi di rete sicuri su reti non sicure1. Vedere Secure Shell su Wikipedia per maggiori informazioni generiche e ssh, lsh-client o dropbear per implementazioni software, di cui OpenSSH è il più popolare e utilizzato2. SSH rimpiazza i protocolli non cifrati telnet, rlogin e rsh e apporta molte funzionalità.

In questo documento verrà usata la suite OpenSSH, si presume che siano definite le seguenti due variabili:

remote_host=<il computer remoto>
remote_user=<il nome utente su $remote_host>

Perciò, se si desiderano usare le indicazioni fornite più avanti, come prima cosa impostare queste variabili con il nome del computer remoto e il nome utente su quel computer remoto. Poi i comandi indicati in seguito potranno essere copiati e incollati con successo. remote_host può anche essere un indirizzo IP.

Installazione

Installazione del client

Normalmente il client viene installato in modo predefinito. Se ciò non accadesse, eseguire come root:

aptitude install openssh-client

Installazione del server

Il server permette di connettersi da remoto e si installa eseguendo da root:

aptitude install openssh-server

File di configurazione

I principali file di configurazione sono nella directory /etc/ssh :

  • ssh_config : file di configurazione del client

  • sshd_config : file di configurazione del server

In aggiunta questa directory contiene le coppie di chiavi private/pubbliche che identificano l'host:

  • ssh_host_dsa_key
  • ssh_host_dsa_key.pub
  • ssh_host_rsa_key
  • ssh_host_rsa_key.pub

Login remoto

Se si desidera fare il login su $remote_host come utente $remote_user digitare semplicemente

ssh $remote_user@$remote_host

Se il nome utente remoto è uguale a quello locale, si può omettere la parte $remote_user@ e scrivere solamente

ssh $remote_host

Se questa è la prima volta che si fa il login sulla macchina remota, ssh chiede se si è certi di volersi connettere al computer remoto. Rispondere "sì" e poi inserire la propria password, e ssh effettua il login remoto.

Comandi in remoto

Se si desidera eseguire un solo comando sul computer remoto, non è necessario fare il login. Si può semplicemente dire a ssh di eseguire il comando senza login, ad esempio:

ssh $remote_user@$remote_host 'ls *.txt'

elenca tutti i file con estensione .txt sul computer remoto. Questo comando funziona con le virgolette singole '...' come nell'esempio, con le virgolette doppie "..." e senza virgolette. Ci possono essere differenze tra le tre cose, però, anche se non verranno documentate in questa pagina.

ssh senza password

Se si lavora spesso su un computer remoto, dover digitare la password ogni volta che si usa ssh può diventare noioso. Si può configurare ssh in modo che non chieda più la password per quella particolare connessione. Si deve generare sulla propria macchina una chiave di cifratura privata e una pubblica e fornire la chiave pubblica alla macchina remota.

Per generare le chiavi eseguire:

ssh-keygen

e rispondere a tutte le domande semplicemente premendo Invio.

Per fornire la chiave pubblica alla macchina remota, creare prima una directory .ssh su di essa (se non è già presente) e poi aggiungere la chiave pubblica della propria macchina locale al file authorized_keys sulla macchina remota.

ssh $remote_user@$remote_host mkdir -p .ssh
cat .ssh/id_rsa.pub | ssh $remote_user@$remote_host 'cat >> .ssh/authorized_keys'

Notare che in questo esempio il comando cat all'interno del comando ssh prende il proprio input dalla pipe.

Oppure si può usare

ssh-copy-id -i ~/.ssh/id_rsa.pub $remote_user@$remote_host

Da questo momento in poi dovrebbe essere possibile fare il login con ssh senza password.

  • ANNOTAZIONE: Se i nomi utente sulla macchina locale e sulla macchina remota sono identici, e se il computer locale e quello remoto hanno accesso alla stessa directory home per quell'utente, ad esempio perché sono client diversi nella stessa LAN con una directory home comune montata via nfs, allora la chiave privata, la chiave pubblica e il file authorized_keys saranno tutti nella stessa directory. Perciò non solo si potrà fare il login senza password dalla macchina locale a quella remota, ma anche vice versa. Di fatto si potrà fare il login da qualsiasi computer nella LAN a qualsiasi altro computer. (La voce nome_utente@nome_host alla fine della chiave pubblica nel file authorized_keys non ha importanza per ssh, lo si può cancellare o cambiare se lo si desidera (o così crede l'autore di questa nota)).

    ANNOTAZIONE: L'esempio soprastante presume l'uso del protocollo SSH 2 e usa la cifratura RSA. La cifratura DSA per il protocollo SSH 2 e il protocollo SSH 1 sono entrambi obsoleti3 e non raccomandati4

    RISOLUZIONE DI PROBLEMI (ssh continua a chiedere la password): Il login senza password non funziona se il gruppo o tutti hanno il permesso di scrittura per la directory home sulla macchina remota. Per risolvere il problema, eseguire:

    ssh $remote_user@$remote_host chmod g-w,o-w /home/$remote_user

    FONTE: Mathias Kettner, SSH login without password, http://www.linuxproblem.org/art_9.html, visitato il 2007-10-06.

Login SSH in Debian da un altro sistema operativo

SSH e la sicurezza

Server SSH

  • Considerare l'uso di fail2ban che è uno strumento di monitoraggio dei file di log che mette al bando automaticamente un indirizzo IP dopo un numero predefinito di tentativi di login falliti. Protegge dagli attacchi con forza bruta.

  • Usare chiavi SSH piuttosto che la password.

Client SSH