Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "InternetRete/DesktopRemoto/OpenSsh"
Differenze tra le versioni 13 e 23 (in 10 versioni)
Versione 13 del 21/03/2007 21.06.33
Dimensione: 11379
Autore: DavideLuigi
Commento:
Versione 23 del 22/03/2007 19.27.15
Dimensione: 10237
Autore: DavideLuigi
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 1: Linea 1:
#LANGUAGE it
Linea 2: Linea 3:
||<tablestyle="float:right; font-size: 0.9em; width:50%; background:#F1F1ED; margin: 0 0 1em 1em;" style="padding:0.5em;">'''Indice'''[[BR]][[TableOfContents]]|| ##TODO:
##--usare risorse -> connessione al server... per avere disponibile un filesystem remoto in nautilus
##--criptare una connessione tramite tunneling
##--usare X11Forwarding per vedere in locale una applicazione grafica che gira in remoto
[[BR]]
||<tablestyle="float:right; font-size: 0.9em; width:30%; background:#F1F1ED; margin: 0 0 1em 1em;" style="padding:0.5em;">'''Indice'''[[BR]][[TableOfContents(1)]]||
Linea 6: Linea 12:
OpenSSH è un insieme di programmi per connettersi a un computer remoto in tutta sicurezza:
 * fornisce vari metodi di autenticazione
 * cripta tutto il traffico fra i due computer (password compresa) per eliminare il rischio di ascolto passivo, di hijacking della connessione e altri attacchi a livello di rete
 * fornisce una miriade di possibilità di tunneling sicuro.
 '''OpenSSH''' è un insieme di programmi che permettono, in tutta sicurezza, di svolgere diverse operazioni:
 * controllare un computer remoto (tramite terminale)
 * copiare file da un computer remoto al computer locale e viceversa
 * criptare qualunque traffico di dati tra computer locale e computer remoto tramite tunneling
OpenSSH sostituisce i vecchi e insicuri programmi '''telnet''', '''rlogin''' e '''ftp''' (questi programmi sono insicuri perchè trasmettono dati e password in chiaro, rendendone semplice il furto)
Linea 14: Linea 20:
È necessario disporre di un server ssh su ogni computer al quale ci si vuole connettere(chiamato in seguito "computer remoto"), e di un client ssh su ogni computer dal quale si vuole avviare la connessione(chiamato in seguito "computer locale"). Se ad esempio si dispone di due computer e si vuole che ognuno dei due possa connettersi all'altro tramite ssh, ognuno dei due computer dovrà avere sia il server che il client. È necessario disporre di un server ssh su ogni computer al quale ci si vuole connettere (chiamato in seguito "computer remoto"), e di un client ssh su ogni computer dal quale si vuole avviare la connessione (chiamato in seguito "computer locale"). Se ad esempio si dispone di due computer e si vuole che ognuno dei due possa connettersi all'altro tramite ssh, ognuno dei due computer dovrà avere sia il server che il client.
Linea 16: Linea 22:
Per avere il server ssh su ubuntu, è sufficiente installare il pacchetto ''openssh-server'', che si trova già nei repository standard e può essere installato tramite '''Synaptic''', o tramite terminale con il seguente comando: Per avere il server ssh su ubuntu, è sufficiente installare il pacchetto ''openssh-server'' (che si trova già nel [http://wiki.ubuntu-it.org/Repository/Ubuntu repository main]) tramite [http://wiki.ubuntu-it.org/SynapticHowto Synaptic], o tramite [:RigaDiComando: terminale] con il seguente comando:
Linea 24: Linea 30:
= Usare Nautilus con computer remoti in maniera sicura = = Usare Nautilus in modali sicura =
Linea 26: Linea 32:
'''Nautilus''' può visualizzare, editare e copiare file presenti su un computer remoto in tutta sicurezza, grazie a '''OpenSSH'''. E' sufficiente aprire Nautilus e inserire un indirizzo così composto:

{{{
ssh://<nomeutente>@<indirizzoIP>
}}}

per vedere il filesystem di un computer remoto come se fosse locale(ricordarsi di sostituire <nomeutente> e <indirizzoIP> in maniera adeguata).		 '''Nautilus''' può visualizzare, editare e copiare file presenti su un computer remoto (con server ssh installato) in tutta sicurezza, grazie a '''OpenSSH'''. E' sufficiente aprire Nautilus e inserire un indirizzo come `ssh://<nomeutente>@<indirizzoIP>` per vedere il filesystem di un computer remoto come se fosse locale(ricordarsi di sostituire `<nomeutente>` e `<indirizzoIP>` in maniera adeguata).
Linea 36: Linea 36:
= Copiare file da un computer a un altro tramite terminale = = Copia di file =
Linea 65: Linea 65:
[[Immagine(Icone/Piccole/note.png,,left)]] Con '''scp''' non si possono spostare file tra due computer remoti. La sorgente o la destinazione devono essere file locali.[[BR]][[BR]] [[Immagine(Icone/Piccole/note.png,,left)]] Con '''scp''' non si possono copiare file tra due computer remoti. La sorgente o la destinazione devono essere file locali.[[BR]][[BR]]
Linea 68: Linea 68:
= Usare il terminale di un computer remoto = = Controllo da remoto =
Linea 70: Linea 70:
Per accedere al terminale di un computer remoto, '''OpenSSH''' fornisce il comando '''ssh'''. È sufficiente digitare il comando: Per accedere alla linea di comando di un computer remoto, '''OpenSSH''' fornisce il comando '''ssh'''. È sufficiente digitare il comando:
Linea 82: Linea 82:
Grazie a questo comando si disporrà in locale del computer remoto, tutto cioò che faremo in questo terminale avverrà sul computer remoto(e non sul computer locale). Grazie a questo comando si disporrà in locale del computer remoto, tutto ciò che faremo in questo terminale avverrà sul computer remoto(e non sul computer locale).
Linea 84: Linea 84:
Se il computer remoto ha ubuntu come sistema operativo, risulterà impossibile connettersi ad esso come utente root, perchè in ubuntu l'utente root non è abilitato. Se si desidera svolgere compiti amministrativi su un computer remoto con ubuntu, connettersi prima come utente normale, quindi usare sudo per dare comandi con privilegi amministrativi; in alternativa, abilitare l'utente root sul computer remoto. [[Immagine(Icone/Piccole/note.png,,left)]] Se il computer remoto ha ubuntu come sistema operativo, risulterà impossibile connettersi ad esso come utente root, perchè in ubuntu l'utente root non è abilitato. Se si desidera svolgere compiti amministrativi su un computer remoto con ubuntu, connettersi prima come utente normale, quindi usare sudo per dare comandi con privilegi amministrativi; in alternativa, abilitare l'utente root sul computer remoto.
Linea 88: Linea 88:
Precedentemente è stata utilizzata l'autenticazione tipica con username e password. Tuttavia se qualcuno è venuto in possesso della password dell'utente del computer remoto, vi si potrà connettere dall'esterno a nostra insaputa, compromettendone la sicurezza. Da tempo '''OpenSSH''' è in grado di prevenire il problema, tramite l'autenticazione con chiave pubblica. Per impostazione predefinita, OpenSSH su ubuntu permette il log-in tramite autenticazione con username e password dell'utente remoto. Tuttavia se qualcuno è venuto in possesso di nome e password dell'utente del computer remoto, vi si potrà connettere dall'esterno e a nostra insaputa, compromettendo la sicurezza del computer remoto. Da tempo '''OpenSSH''' è in grado di prevenire il problema, grazie all'autenticazione con chiave pubblica.
Linea 90: Linea 90:
'''OpenSSH''' può usare chiavi di accesso private e pubbliche al posto della coppia utente/password. '''OpenSSH''' può usare chiavi di accesso private e pubbliche al posto della password utente remoto.
Linea 99: Linea 99:
Verrà chiesto dove salvare la chiave privata (si consiglia di accettare la posizione predefinita) e di scegliere una "passphrase". La passphrase è una nuova password, usata per criptare la chiave privata. Ogni qualvolta servirà la nostra chiave privata, bisognerà prima fornire la passphrase(per decriptare la chiave privata). Verrà chiesto dove salvare la chiave privata (si consiglia di accettare la posizione predefinita ~/.ssh/id_dsa) e di scegliere una "passphrase". La passphrase è una nuova password, usata per criptare la chiave privata. Ogni qualvolta servirà la nostra chiave privata, bisognerà prima fornire la passphrase(per decriptare la chiave privata).
Linea 101: Linea 101:
[[Immagine(Icone/Piccole/note.png,,left)]] Potremmo anche scegliere di non creare la passphrase(basta non inserirla e premere invio), ma sarebbe una pessima scelta, in quanto un cracker che venisse in possesso della nostra chiave privata in chiaro, avrebbe facile accesso a tutti i servizi cui noi accediamo tramite la suddetta chiave; invece, con una chiave privata criptata, l'eventuale cracker si ritroverebbe in mano un'inutile ammasso di caratteri senza senso(gli serve la passphrase per decifrarla).[[BR]][[BR]] [[Immagine(Icone/Piccole/note.png,,left)]] Si può anche scegliere di non creare la passphrase(basta non inserirla e premere invio) e quindi non criptare la chiave privata, ma sarebbe una pessima scelta, in quanto un cracker che venisse in possesso della nostra chiave privata in chiaro, avrebbe facile accesso a tutti i servizi cui noi accediamo tramite la suddetta chiave; al contrario, con una chiave privata criptata mediante passphrase, l'eventuale cracker si ritroverebbe in mano un inutile ammasso di caratteri senza senso(gli serve la passphrase per decifrarla).[[BR]][[BR]]
Linea 103: Linea 103:
Insieme alla chiave privata, è stata creata anche la chiave pubblica(localizzata in `~/.ssh/id_dsa.pub` sul computer locale), che è quella che possiamo dare liberamente in giro; in questo caso specifico, dobbiamo dare la nostra chiave pubblica al nostro computer remoto per garantirci la sua "fiducia", cioè l'accesso tramite ssh. Insieme alla chiave privata viene creata anche la chiave pubblica(localizzata in `~/.ssh/id_dsa.pub` sul computer locale), che è quella che possiamo dare liberamente in giro; in questo caso specifico, dobbiamo dare la nostra chiave pubblica al nostro computer remoto per garantirci la sua "fiducia", cioè l'accesso tramite ssh.
Linea 105: Linea 105:
L'utente che usiamo sul computer remoto deve avere la nostra chiave pubblica nel relativo file di autorizzazione, cioè il file `~/.ssh/authorized_keys2` del computer remoto; pertanto si deve o copiare ed incollare la linea di caratteri ASCII nel file authorized_keys2 oppure usare il comando `ssh-copy-id` come nell'esempio L'utente che usiamo sul computer remoto deve avere la nostra chiave pubblica nel relativo file di autorizzazione, cioè il file `~/.ssh/authorized_keys2` del computer remoto; per lo scopo, '''OpenSSH''' mette a disposizione il comando `ssh-copy-id`, da usare sul computer locale come nell'esempio
Linea 107: Linea 107:
ssh-copy-id root@fileserver01 ssh-copy-id <nomeutente>@<indirizzoIP>
Linea 110: Linea 110:
Verrà chiesta la password di root di quel computer. Se l'autenticazione con password è disabilitata si deve copiare e incollare la chiave con un altro mezzo.
Linea 112: Linea 111:
Successivamente all'aggiunta della chiave pubblica si sarà "affidabili". Digitare [[Immagine(Icone/Piccole/note.png,,left)]]Se l'autenticazione con password utente remoto è disabilitata, si deve copiare e incollare la chiave con un altro mezzo.[[BR]][[BR]][[BR]]

Grazie all'aggiunta della chiave pubblica sul computer remoto si diventerà "affidabili". Adesso, digitando
Linea 114: Linea 115:
ssh root@fileserver01 ssh <nomeutente>@<indirizzoIP>
Linea 117: Linea 118:
e successivamente sarà chiesta la nostra "passphrase" conservata in locale e non la password dell'utente root remoto(salvata in `/etc/password` del computer remoto). verrà chiesta la nostra "passphrase" conservata in locale e non la password dell'utente remoto(salvata in `/etc/password` del computer remoto).
Linea 119: Linea 120:
Ricapitolando: l'attuale sicurezza di una autenticazione con chiave pubblica rispetto a una semplice autenticazione con utente/password è che per avere un accesso si necessita di avere: [[Immagine(Icone/Piccole/note.png,,left)]] Se si sceglie di usare solo l'autenticazione tramite chiave pubblica, per aumentare ulteriormente la sicurezza si può disabilitare l'autenticazione tramite password utente settando "Password``Authentication no" nel file `/etc/ssh/sshd_config` (è necessario riavviare il server ssh per rendere effettivo il cambiamento).[[BR]]
Linea 121: Linea 122:
 * la chiave privata (criptata mediante passphrase) == Memorizzazione della passphrase ==
Linea 123: Linea 124:
 * la passphrase per decriptare la chiave privata Se si usa l'autenticazione a chiave pubblica, '''OpenSSH''' fornisce un metodo grazie al quale la passphrase verrà chiesta solo una volta durante tutta la sessione. Questa caratteristica è utile ad esempio a chi usa spesso il comando '''scp''', o agli amministratori di computer remoti, in quanto evita di dover reinserire la password ogni volta che si lancia un comando della suite OpenSSH.
Linea 125: Linea 126:
Il comando per aggiungere la propria passphrase al gestore delle identità è '''ssh-add''', usato semplicemente con:
{{{
ssh-add
}}}
verrà chiesta la passphrase, dopodiché la nostra chiave privata sarà disponibile senza ulteriori richieste.
Linea 126: Linea 132:
[[Immagine(Icone/Piccole/note.png,,left)]] Se ci si allontana dal proprio computer, altre persone potrebbero usarlo e sfruttare la chiave privata senza conoscere la passphrase. Se si teme una simile eventualità, si consiglia di bloccare lo schermo con la combinazione di tasti '''CTRL+ALT+L''' prima di allontanarsi.[[BR]][[BR]]
Linea 127: Linea 134:
[[Immagine(Icone/Piccole/note.png,,left)]] Per aumentare la sicurezza si può disabilitare l'autenticazione tramite utente/password settando "Password``Authentication no" nel file `/etc/ssh/sshd_config` (è necessario riavviare il server ssh per rendere effettivo il cambiamento).[[BR]]

= Permettere solo l'esecuzione di specifici comandi =		 = Permessi sui comandi =
Linea 138: Linea 143:
= Evitare l'inserimento della password a ogni connessione = = Connessione da altri sistemi =
Linea 140: Linea 145:
Se si ha frequentemente bisogno di copiare file attraverso ssh o di avere accesso agli altri computer della propria rete (che è una cosa comune per un amministratore) si sarà felici di sapere che '''OpenSSH''' offre un programma che ci evita di digitare la passphrase ogni volta: '''ssh-agent'''. == Microsoft Windows ==
Linea 142: Linea 147:
Si necessita solo di digitare la propria passphrase dopo aver lanciato "ssh-add" e ogni volta che verra lanciato un sub-processo di ssh-agent la passphrase sarà ricordata. Un computer con Microsoft Windows non può fare da server ssh, però può fare da client, basta scaricare un piccolo programma che si chiama [http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html Putty].
Linea 144: Linea 149:
Troppa teoria?!? bhe, non ci deve preoccupare dell'agent. La tua X session sta già lavorando automaticamente in una sessione di ssh agent.... Tutto ciò che si deve fare è lanciare "ssh-add" e digitare la passphrase. La prossima volta che si userà ssh per aver accesso ad un altro computer non si dovrà ridigitare la passphrase. == Cellulare Symbian ==
Linea 146: Linea 151:
[[Immagine(Icone/Piccole/note.png,,left)]] Se ci si allontana dal proprio computer per un po' di tempo, altre persone potrebbero avere accesso ad altri computer dal proprio computer senza conoscere la passphrase. Se si teme una simile eventualità, si consiglia di bloccare lo schermo con la combinazione di tasti '''CTRL+ALT+L''' prima di allontanarsi.[[BR]][[BR]] '''`Putty`''' è disponibile anche in una [http://s2putty.sourceforge.net/ versione per i cellulari Symbian].
Linea 148: Linea 153:
Se si vuole che venga chiesta la passphrase una volta dopo il login si può aggiungere una chiamata ad '''`ssh-agent`''' come in questo caso:
Linea 150: Linea 154:
 * Selezionare ''`Sistema -> Preferenze -> Sessioni`''

 * Selezionare la scheda «''Avvio programmi''»

 * Fare clic su «''Aggiungi''»

 * Inserire «''`ssh-add`''» come comando

Al prossimo login sarà richiesta la passphrase.

= Accesso automatico in batch scripts =

L'autenticazione con chiave pubblica può anche essere usata per automatizzare procedure che richiedono in genere la digitazione della password. Si immagini di voler copiare un file da un computer remoto ogni giorno a mezzanotte. Tutto quello di cui si ha bisogno è di stabilire 'un rapporto di fiducia' tra questi due computer.

Creare un service account su un computer, creare un chiave (ssh-keygen -t dsa) e quando viene chiesta la passphrase premere INVIO. Questo lascerà la chiave privata sprotetta. Aggiungere la chiave pubblica nel file authorized_keys2 dell'altro computer (ssh-copy-id). Ora ci si può connettere con questa macchina senza che venga chiesta la passphrase. Aggiungere infine una chiamata ad ssh nel cronotab.

[[Immagine(Icone/Piccole/warning.png,,left)]] '''Avere una chiave privata non protetta può compromettere la sicurezza. Eventuali cracker necessiterebbero solo di venire in possesso della chiave pubblica per connettersi liberamente al computer target.'''[[BR]][[BR]]

= Connettersi a un server ssh usando Microsoft Windows =

'''`ssh`''' si può utilizzare anche su sistemi Windows, basta scaricare un piccolo programma che si chiama [http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html Putty].

'''`Putty`''', inoltre, è disponibile anche in una [http://s2putty.sourceforge.net/ versione per i cellulari Symbian].
 Documento originale: [wiki:Ubuntu/SSHHowto SSHHowto] (lingua inglese)
Linea 175: Linea 156:
Documento originale: [wiki:Ubuntu/SSHHowto SSHHowto] {en}

CategoryInternet		 CategoryInternet CategoryDaRevisionare
## PrioritàBassa
## RevisioneStilistica

BR

Introduzione

OpenSSH è un insieme di programmi che permettono, in tutta sicurezza, di svolgere diverse operazioni:

  • controllare un computer remoto (tramite terminale)
  • copiare file da un computer remoto al computer locale e viceversa
  • criptare qualunque traffico di dati tra computer locale e computer remoto tramite tunneling

OpenSSH sostituisce i vecchi e insicuri programmi telnet, rlogin e ftp (questi programmi sono insicuri perchè trasmettono dati e password in chiaro, rendendone semplice il furto)

Preparazione dei computer

È necessario disporre di un server ssh su ogni computer al quale ci si vuole connettere (chiamato in seguito "computer remoto"), e di un client ssh su ogni computer dal quale si vuole avviare la connessione (chiamato in seguito "computer locale"). Se ad esempio si dispone di due computer e si vuole che ognuno dei due possa connettersi all'altro tramite ssh, ognuno dei due computer dovrà avere sia il server che il client.

Per avere il server ssh su ubuntu, è sufficiente installare il pacchetto openssh-server (che si trova già nel [http://wiki.ubuntu-it.org/Repository/Ubuntu repository main]) tramite [http://wiki.ubuntu-it.org/SynapticHowto Synaptic], o tramite [:RigaDiComando: terminale] con il seguente comando: 

sudo apt-get install openssh-server

Il client ssh (contenuto nel pacchetto openssh-client) è installato in ubuntu in modo predefinito.

Usare Nautilus in modalità sicura

Nautilus può visualizzare, editare e copiare file presenti su un computer remoto (con server ssh installato) in tutta sicurezza, grazie a OpenSSH. E' sufficiente aprire Nautilus e inserire un indirizzo come ssh://<nomeutente>@<indirizzoIP> per vedere il filesystem di un computer remoto come se fosse locale(ricordarsi di sostituire <nomeutente> e <indirizzoIP> in maniera adeguata).

A questo punto è possibile svolgere tutte le operazioni che si svolgono normalmente con nautilus(copiare file da remoto a locale e viceversa, cancellare file remoti, eccetera).

Copia di file

Per copiare un file dal nostro computer locale a un computer remoto(e viceversa) attraverso il terminale, OpenSSH mette a disposizione il comando scp.

Nel primo caso, il comando dovrebbe seguire questo schema: 

scp <percorsoFileLocale> <nomeUtenteRemoto>@<indirizzoIP>:<PercorsoDestinazioneRemota>

Per esempio: 

scp fileDaCopiare.txt mario@192.168.1.1:/home/mario/fileCopiato.txt

prenderà il file fileDaCopiare.txt, presente nella directory corrente del computer locale, e lo copierà nella posizione /home/mario/fileCopiato.txt (notare che abbiamo anche cambiato il nome del file, ma non è necessario) del computer remoto identificato dall'indirizzo ip 192.168.1.1 , usando l'utente mario sul computer remoto(utente di cui dobbiamo conoscere la password).

Per copiare un file da un computer remoto al computer locale, basta seguire lo schema inverso: 

scp <nomeUtenteRemoto>@<indirizzoIP>:<PercorsoFileRemoto> <PercorsoDestinazioneLocale>

Per esempio: 

scp mario@192.168.1.1:/home/mario/fileDaCopiare.txt .

Copierà il file remoto identificato dal percorso /home/mario/fileDaCopiare.txt nella directory corrente (identificata dal punto . ), senza rinominarlo.

Immagine(Icone/Piccole/note.png,,left) Con scp non si possono copiare file tra due computer remoti. La sorgente o la destinazione devono essere file locali.BRBR

Controllo da remoto

Per accedere alla linea di comando di un computer remoto, OpenSSH fornisce il comando ssh. È sufficiente digitare il comando: 

ssh <nomeutente>@<indirizzoIP>

Per esempio: 

ssh mario@192.168.23.42

Grazie a questo comando si disporrà in locale del computer remoto, tutto ciò che faremo in questo terminale avverrà sul computer remoto(e non sul computer locale).

Immagine(Icone/Piccole/note.png,,left) Se il computer remoto ha ubuntu come sistema operativo, risulterà impossibile connettersi ad esso come utente root, perchè in ubuntu l'utente root non è abilitato. Se si desidera svolgere compiti amministrativi su un computer remoto con ubuntu, connettersi prima come utente normale, quindi usare sudo per dare comandi con privilegi amministrativi; in alternativa, abilitare l'utente root sul computer remoto.

Autenticazione a chiave pubblica

Per impostazione predefinita, OpenSSH su ubuntu permette il log-in tramite autenticazione con username e password dell'utente remoto. Tuttavia se qualcuno è venuto in possesso di nome e password dell'utente del computer remoto, vi si potrà connettere dall'esterno e a nostra insaputa, compromettendo la sicurezza del computer remoto. Da tempo OpenSSH è in grado di prevenire il problema, grazie all'autenticazione con chiave pubblica.

OpenSSH può usare chiavi di accesso private e pubbliche al posto della password utente remoto.

La prima cosa da fare è creare(se non se ne ha già una) la propria chiave privata sul computer locale.

Da terminale inserire: 

ssh-keygen -t dsa

Verrà chiesto dove salvare la chiave privata (si consiglia di accettare la posizione predefinita ~/.ssh/id_dsa) e di scegliere una "passphrase". La passphrase è una nuova password, usata per criptare la chiave privata. Ogni qualvolta servirà la nostra chiave privata, bisognerà prima fornire la passphrase(per decriptare la chiave privata).

Immagine(Icone/Piccole/note.png,,left) Si può anche scegliere di non creare la passphrase(basta non inserirla e premere invio) e quindi non criptare la chiave privata, ma sarebbe una pessima scelta, in quanto un cracker che venisse in possesso della nostra chiave privata in chiaro, avrebbe facile accesso a tutti i servizi cui noi accediamo tramite la suddetta chiave; al contrario, con una chiave privata criptata mediante passphrase, l'eventuale cracker si ritroverebbe in mano un inutile ammasso di caratteri senza senso(gli serve la passphrase per decifrarla).BRBR

Insieme alla chiave privata viene creata anche la chiave pubblica(localizzata in ~/.ssh/id_dsa.pub sul computer locale), che è quella che possiamo dare liberamente in giro; in questo caso specifico, dobbiamo dare la nostra chiave pubblica al nostro computer remoto per garantirci la sua "fiducia", cioè l'accesso tramite ssh.

L'utente che usiamo sul computer remoto deve avere la nostra chiave pubblica nel relativo file di autorizzazione, cioè il file ~/.ssh/authorized_keys2 del computer remoto; per lo scopo, OpenSSH mette a disposizione il comando ssh-copy-id, da usare sul computer locale come nell'esempio 

ssh-copy-id <nomeutente>@<indirizzoIP>

Immagine(Icone/Piccole/note.png,,left)Se l'autenticazione con password utente remoto è disabilitata, si deve copiare e incollare la chiave con un altro mezzo.BRBRBR

Grazie all'aggiunta della chiave pubblica sul computer remoto si diventerà "affidabili". Adesso, digitando 

ssh <nomeutente>@<indirizzoIP>

verrà chiesta la nostra "passphrase" conservata in locale e non la password dell'utente remoto(salvata in /etc/password del computer remoto).

Immagine(Icone/Piccole/note.png,,left) Se si sceglie di usare solo l'autenticazione tramite chiave pubblica, per aumentare ulteriormente la sicurezza si può disabilitare l'autenticazione tramite password utente settando "PasswordAuthentication no" nel file /etc/ssh/sshd_config (è necessario riavviare il server ssh per rendere effettivo il cambiamento).BR

Memorizzazione della passphrase

Se si usa l'autenticazione a chiave pubblica, OpenSSH fornisce un metodo grazie al quale la passphrase verrà chiesta solo una volta durante tutta la sessione. Questa caratteristica è utile ad esempio a chi usa spesso il comando scp, o agli amministratori di computer remoti, in quanto evita di dover reinserire la password ogni volta che si lancia un comando della suite OpenSSH.

Il comando per aggiungere la propria passphrase al gestore delle identità è ssh-add, usato semplicemente con: 

ssh-add

verrà chiesta la passphrase, dopodiché la nostra chiave privata sarà disponibile senza ulteriori richieste.

Immagine(Icone/Piccole/note.png,,left) Se ci si allontana dal proprio computer, altre persone potrebbero usarlo e sfruttare la chiave privata senza conoscere la passphrase. Se si teme una simile eventualità, si consiglia di bloccare lo schermo con la combinazione di tasti CTRL+ALT+L prima di allontanarsi.BRBR

Permessi sui comandi

Il computer remoto(quello con il server ssh installato) può scegliere di far eseguire solo alcuni comandi a chi vi si connette tramite autenticazione a chiave pubblica. Se per esempio si gestisce un CVS, si può aggiungere nel file authorized_keys2 la seguente riga 

command="/usr/bin/cvs server" ssh-dss AAAAB3N....

In questo modo è permessa l'esecuzione esclusivamente dei comandi per il CVS e non di altri comandi.

Connessione da altri sistemi

Microsoft Windows

Un computer con Microsoft Windows non può fare da server ssh, però può fare da client, basta scaricare un piccolo programma che si chiama [http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html Putty].

Cellulare Symbian

Putty è disponibile anche in una [http://s2putty.sourceforge.net/ versione per i cellulari Symbian].

Documento originale: [wiki:Ubuntu/SSHHowto SSHHowto] (lingua inglese)

CategoryInternet CategoryDaRevisionare