Il 06/10/2021 11:16, Giuliano Curti ha scritto:
Arrivo solo ora, ma spero di poter essere utile.
L'autenticazione può essere fatta in due modi: o con la copia
user:passwd o con TLS.
Opinione personale: lascia perdere user+pass e punta solo su TLS.
Approfitto per una domanda su openSSL che era il mio oggetto di studio
attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire
l'autenticità del server, non alla sicurezza del sistema; fosse così
lascerei perdere perché non è questo il mio obbiettivo e un
malintenzionato non sarebbe assolutamente interessato a sapere se il mio
server è autenticato o meno.
Dipende cosa intendi per sicurezza. SSL cripta le connessioni, permette
di garantire che le parti sono chi dicono di essere e che i pacchetti
non sono stati alterati in transito.
Chiaramente, se esponi un servizio insicuro (p.e. che permette
esecuzione di codice arbitrario da parte di un utente non autenticato)
questo rimarrà insicuro.
Se invece l'unica vulnerabilità (nota) del servizio è relativa al
passaggio delle credenziali o alla possibilità che qualcuno modifichi i
dati in transito, allora SSL ti aiuta molto.
Sono cresciuto con il "personal" computer, nel vero senso della parola;
ora mi trovo spaesato con le reti, che non conosco, e soprattutto la
sicurezza;
Sei in ottima compagnia :)
tutto il thread è la traccia del mio tentativo di risalire la china.
I miei dati, immagini e foto di una casa di campagna non sono
importanti, quindi sono poco interessato a soluzioni di crittografia del
traffico; sono piuttosto interessato a far si che il mio sistema non
possa essere utilizzato per attività malevole da terzi.
Una possibilità, molto drastica ma sicura, è non esporre nulla: tieni il
sistema isolato e non sarà utile per attività malevole. Ma probabilmente
neppure a te... Inizia quindi pensando a cosa ti serve fare e a quanto
vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
poter accedere a remotehost:remoteport collegandoti a localhost:localport.
Non è il massimo della comodità, però un malintenzionato dovrebbe poter
bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro
servizio che si possa far girare...
--
Diego Zuccato
DIFA - Dip. di Fisica e Astronomia
Servizi Informatici
Alma Mater Studiorum - Università di Bologna
V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
tel.: +39 051 20 95786