{"id":871,"date":"2015-05-14T14:39:34","date_gmt":"2015-05-14T13:39:34","guid":{"rendered":"http:\/\/under12oot.noblogs.org\/?p=871"},"modified":"2015-05-15T13:06:19","modified_gmt":"2015-05-15T12:06:19","slug":"ssh-login-con-certificato-e-un-hardening-leggero","status":"publish","type":"post","link":"https:\/\/under12oot.noblogs.org\/?p=871","title":{"rendered":"SSH login con certificato e un hardening leggero"},"content":{"rendered":"

\"ssh\"<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

Un altro promemoria dedicato questo alla configurazione del server ssh (sshd), un hardening “leggero”<\/em>\u00a0 per il login tramite certificato evitando la password.<\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

Cominciamo con la creazione della coppia di chiavi:<\/p>\n

 <\/p>\n

ssh-keygen -t rsa -b 4098<\/pre>\n
Enter file in which to save the key (\/home\/utente\/.ssh\/id_rsa):\r\nEnter passphrase (empty for no passphrase):\r\nEnter same passphrase again:<\/code><\/pre>\n
Una volta che abbiamo risposto alle domande non ci resta che caricare la chiave pubblica<\/em> in\u00a0 ~\/.ssh\/authorized_keys<\/code>\u00a0 sulla macchina remota che deve ricevere la connessione, quella che si comporter\u00e0 da server<\/em>, quindi digitiamo:<\/p>\n
ssh-copy-id nome_utente@indirizzo_ip<\/em><\/pre>\n
Se tutto \u00e8 andato a buon fine possiamo connetterci al server senza inserire<\/em> la password di login, dobbiamo per\u00f2 inserire sempre la passphrase del certificato (se l’abbiamo inserita) e pu\u00f2 diventare scomodo nel caso si debba automatizzare<\/em> le connessioni con degli script magari.<\/p>\n
Fortunatamente ssh-agent<\/em> ci viene in aiuto memorizzando la passphrase temporaneamente, con ssh-add<\/p>\n
Passiamo ora alla modifica<\/em> del file di configurazione<\/em> del demone ssh:<\/p>\n
sudo nano \/etc\/ssh\/sshd_config<\/pre>\n
\"Secure<\/a>Modifichiamo la porta di default<\/em> in ascolto, per esempio da 22 a 2002 (assicuratevi che non sia gi\u00e0 utilizzata<\/em> da altri programmi). Abilitare l’autenticazione<\/em> tramite certificato e disabilitare<\/em> il login di root. E’ possibile anche disattivare il login tramite password<\/em>, ma c’\u00e8 il rischio che se ci si deve connettere da una postazione in cui non<\/em> \u00e8 presente il nostro certificato verremo tagliati fuori<\/em>. Sta a voi sapere l’utilizzo che ne andrete a fare!<\/p>\n
Ora che abbiamo modificato il file, salviamo e riavviamo<\/em> il servizio con:<\/p>\n
sudo service ssh restart<\/pre>\n
Un altro utilizzo di ssh oltre che per la manutenzione remota<\/em>, \u00e8 la possibilit\u00e0 di poter forwardare<\/em> (redirigere\/inoltrare) le connessioni, creando dei tunnel<\/em> sicuri su cui inoltrare i nostri pacchetti, \u00e8 pi\u00f9<\/em> o meno<\/em> come creare una vpn.<\/p>\n
 <\/p>\n
\"openssh\"<\/a>Vi lascio questo link\u00a0<\/a> \u00e8 un talk su ssh, si intitola The Black Magic Of SSH \/ SSH Can Do That?<\/em> il titolo \u00e8 abbastanza esplicativo e non c’\u00e8 altro da aggiungere!<\/em><\/p>\n
Daje!<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"
    Un altro promemoria dedicato questo alla configurazione del server ssh (sshd), un hardening “leggero”\u00a0 per il login tramite certificato evitando la password.       Cominciamo con la creazione della coppia di chiavi:   ssh-keygen -t rsa -b 4098 Enter file in which to save the key (\/home\/utente\/.ssh\/id_rsa): Enter passphrase (empty for no […]<\/p>\n","protected":false},"author":5820,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[119],"tags":[165,167,44,164,166,163],"class_list":["post-871","post","type-post","status-publish","format-standard","hentry","category-promemoria","tag-certificati-ssh","tag-secureshell","tag-ssh","tag-ssh-ardening","tag-ssh-keygen","tag-sshd"],"_links":{"self":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/871","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/users\/5820"}],"replies":[{"embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=871"}],"version-history":[{"count":12,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/871\/revisions"}],"predecessor-version":[{"id":887,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/871\/revisions\/887"}],"wp:attachment":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=871"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=871"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=871"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}