Re: ssh raspberry e raspdebian
Il giorno 21/09/16 15:09, "Luca De Andreis"ha scritto: >Il 21/09/2016 15:06, Andrea Chelattini ha scritto: >> Partendo dal concetto che la sicurezza assoluta non esiste, non voglio >> comunque spaventare nessuno. >> >> In particolare sconsiglio l'uso dell'utente pi su raspberry su una >> connessione ssh remota su porta 22 e accesso via password. Pur complessa >> che essa sia, se non modificata con adeguata frequenza... > >Condivido e sono dell'idea che permettere solo autenticazione tramite >scambio di certificati pubblico/privati (eliminando l'utilizzo della >password) introduca un livello di sicurezza elevato, senza eliminare >l'utente di default, se fa piacere tenerlo. > >IMHO > >Luca > Ringrazio tutti per i preziosi consigli che sto gi๠mettendo in pratica per elevare il livello di sicurezza del mio raspberry pi Purtroppo dovendo far accedere i miei alunni in ssh il metodo certificato risulta per me un po scomodo. Davide Www.davlab.net
Re: ssh raspberry e raspdebian
Il 21/09/2016 15:06, Andrea Chelattini ha scritto: Partendo dal concetto che la sicurezza assoluta non esiste, non voglio comunque spaventare nessuno. In particolare sconsiglio l'uso dell'utente pi su raspberry su una connessione ssh remota su porta 22 e accesso via password. Pur complessa che essa sia, se non modificata con adeguata frequenza... Condivido e sono dell'idea che permettere solo autenticazione tramite scambio di certificati pubblico/privati (eliminando l'utilizzo della password) introduca un livello di sicurezza elevato, senza eliminare l'utente di default, se fa piacere tenerlo. IMHO Luca smime.p7s Description: Firma crittografica S/MIME
Re: ssh raspberry e raspdebian
Partendo dal concetto che la sicurezza assoluta non esiste, non voglio comunque spaventare nessuno. In particolare sconsiglio l'uso dell'utente pi su raspberry su una connessione ssh remota su porta 22 e accesso via password. Pur complessa che essa sia, se non modificata con adeguata frequenza... Molte guide su come migliorare la sicurezza del proprio raspberry consigliano di creare e un altro utente altre addirittura di eliminarlo... Andrea Il giorno mer 21 set 2016 alle ore 12:57 Luca De Andreisha scritto: > Mi intrometto nella discussione con un dubbio... > > Di default lascio SSH aperto ma unicamente con autenticazione tramite > scambio di certificati, autenticazione con password rigorosamente inibita. > > Non va bene per il rasp ? > > Luca > >
Re: ssh raspberry e raspdebian
Mi intrometto nella discussione con un dubbio... Di default lascio SSH aperto ma unicamente con autenticazione tramite scambio di certificati, autenticazione con password rigorosamente inibita. Non va bene per il rasp ? Luca smime.p7s Description: Firma crittografica S/MIME
Re: ssh raspberry e raspdebian
Ciao Davide, Se la password è giusta, l'utente pi sembrerebbe bloccato o comunque non autorizzato. E' consigliabile utilizzare un utente non-root diverso da pi per accedere via ssh al raspberry in quanto l'utente pi è un utente noto costituendo in tal senso un problema di sicurezza analogo all'uso di root il cui uso è sconsigliato e facile da inibire via configurazione PermitRootLogin no. Ad ogni modo guarda sul /var/log/auth.log e potresti trovare qualche info in più sul diniego. Eventualmente postale. Procedi per gradi... Dai un occhio in rete per accessi ssh passwordless. In caso di connessione da host remoto via internet è consigliabile anche l'uso di openvpn, in maniera tale da accedere da remoto come se fossi all'interno della tua rete locale. Ci sono moltissime guide per configurare ssh/openvpn per raspberry (le migliori si pongono tematiche di sicurezza e sconsigliano l'uso dell'utente pi). Ti consiglio di dare prima un occhio alle autorevoli pagine wiki ufficiali debian in italiano per ssh prima e openvpn poi, se la riterrai una soluzione opportuna. Andrea Il giorno gio 15 set 2016 alle ore 17:15 davide polimanti < davide.polima...@gmail.com> ha scritto: > > Mi succede questo da un po¹ di giorni > > > ssh pi@dominio > The authenticity of host 'www.davlab.net (mioip)' can't be established. > RSA key fingerprint is e7:37:21:0d:9c:12:38:f4:b6:86:9a:83:c8:fe:c8:1a. > Are you sure you want to continue connecting (yes/no)? yes > Warning: Permanently added Œdominio,mioip' (RSA) to the list of known > hosts. > pi@dominio's password: > Permission denied, please try again. > pi@domino's password: > > La password e¹ giusta tanto che se mi collego on ip locale va > > Devo modificare qualcosa nella configurazione ssh? > > davide > > >
Re: Più istanze di openvpn sullo stesso server
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 Il 20/09/16 21:39, Pol Hallen ha scritto: > please se approfondisci tienimi aggiornato che interessa anche a me > :-) io ho utilizzato un altro meccanismo: ho utilizzato l'ip aliasing sull'interfaccia di rete su cui dovevano girare le istanze openvpn. Tanti ip per tante istanze necesarie (due istanze, in realta, quindi una su ip vero, l'altra su alias) usando - --local e --bind alla fine ho usato iptables per riportare tutto su un unico ip giocando con le porte. non so se puo' essere valido anche per la tua situazione. ciao -BEGIN PGP SIGNATURE- Comment: GPGTools - http://gpgtools.org iQEcBAEBCAAGBQJX4lWGAAoJEGBLG3R4+/FllE0H/A8SCgT/sdf2iU8DclofrA83 G+kfMr4U0f6y/lMO3Shi9jWEa1btixenahwsuOQrlWh675OBgkr7eABSXNgFUION WPoXFQbd+7OJHNEUThGgpHaSSZfT48MiT98X99EHh6GLR/zkeVz7ZVmdiv2aZuTL WY9WWCXJCf/qPMKS4BXcTzuz8LrtvPsy0ZZhcEPPMoma9DjU39a0TSG41nnIHK0z zLHSr0VHA7p1BL/ISjat6F1qtGnnvyo1AHfAfLaqhUG9+GJM0iKyDmgTg6EB0vj7 tosvlauHRnglBIL+IEKxYFW77vCwQbTjW3b11UvQUsH7ecxba57quFAyb+nC2Jo= =DWa5 -END PGP SIGNATURE-
Re: Più istanze di openvpn sullo stesso server
sono sicuro che riavviando il server l'abbinamento sia sempre quello? penso proprio di si, in quanto lui abbina il device tunX alla porta del server del suo file di configurazione (quindi li distingue in base alla porta) fammi sapere :-) Pol
Re: Più istanze di openvpn sullo stesso server
Il 20/09/2016 21:39, Pol Hallen ha scritto: non vorrei dire una sciocchezza (ricordo di aver letto tempo fa): basta che crei quanti file di config ti servono (ognuno che usi una porta diversa) usando la stessa interfaccia tun o tap che sia... Adesso mi trovo nelle condizioni di dover utilizzare 3 istanze di openvpn sullo stesso server. please se approfondisci tienimi aggiornato che interessa anche a me :-) Ho fatto ancora qualche test, confermo che pensa il sistema in automatico a creare i vari tun1 o tap1 ecc L'unico dubbio che mi rimane è quello relativo al riavvio, nel senso che ad ogni file conf in /etc/openvpn viene sempre assegnato lo stesso device? se ho: vpn1 -> tun0 vpn2 -> tun1 vpn3 -> tun2 sono sicuro che riavviando il server l'abbinamento sia sempre quello? Dai pochi test che ho fatto sembrerebbe di si... Ciao, -- P. Scrivere è la cosa più divertente che si possa fare da soli. Terry Pratchett
Re: cinnamon
Pol Hallen ha scritto il 20/09/2016 alle 21:34: 'sera a tutti :-) installando debian su un nuovo pc ho riscoperto cinnamon, che devo dire non è per niente male (su altri pc uso mate) mi sapete dire com'è lo sviluppo di questo ambiente e come vi trovate? Cinnamon lo uso sui PC datati o netbook e non mi trovo male... Piviul
Re: ssh raspberry e raspdebian
Il 15/09/2016 17:15, davide polimanti ha scritto: Mi succede questo da un po¹ di giorni ssh pi@dominio The authenticity of host 'www.davlab.net (mioip)' can't be established. RSA key fingerprint is e7:37:21:0d:9c:12:38:f4:b6:86:9a:83:c8:fe:c8:1a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added Œdominio,mioip' (RSA) to the list of known hosts. pi@dominio's password: Permission denied, please try again. pi@domino's password: La password e¹ giusta tanto che se mi collego on ip locale va Devo modificare qualcosa nella configurazione ssh? davide Inizialmente ho creato uno nuovoutente che fa parte del gruppo sudo, adduser nome1 sudo # cat /etc/sudoers | grep -v -E "^$|^#|^;" ... nome1 ALL=(ALL) NOPASSWD: /sbin/shutdown ... ho disabilitato l'utente pi ho messo in hosts.allow gli indirizzi dai quali accedere # cat /etc/hosts.allow | grep -v -E "^$|^#|^;" sshd: indirizzo_ip_remoto indirizzi_ip_locali # cat /etc/ssh/sshd_config | grep -v -E "^$|^#|^;" Port 22 Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key HostKey /etc/ssh/ssh_host_ecdsa_key HostKey /etc/ssh/ssh_host_ed25519_key UsePrivilegeSeparation yes KeyRegenerationInterval 3600 ServerKeyBits 1024 SyslogFacility AUTH LogLevel INFO LoginGraceTime 120 PermitRootLogin no StrictModes yes RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile %h/.ssh/authorized_keys IgnoreRhosts yes RhostsRSAAuthentication no HostbasedAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no # PasswordAuthentication yes se non usi la chiave PasswordAuthentication no X11Forwarding yes X11DisplayOffset 10 PrintMotd no PrintLastLog yes TCPKeepAlive yes # UseLogin yes se non usi la chiave UseLogin no AcceptEnv LANG LC_* Subsystem sftp /usr/lib/openssh/sftp-server UsePAM yes # da mettere se non usi la chiave AllowUsers nome1 nome2 nome.. nel file ssh_config non ho fatto cambiamenti # cat /etc/ssh/ssh_config | grep -v -E "^$|^#|^;" Host * SendEnv LANG LC_* HashKnownHosts yes GSSAPIAuthentication yes GSSAPIDelegateCredentials no se usi iptables mettere gli indirizzi di accesso: # cat /etc/iptables/rules.v4 | grep -v -E "^$|^#|^;" *filter ... -A INPUT -s un_indirizzo_ip_rete_locale/32 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -s indirizzo_ip_remoto/32 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT ... ho creato una chave di accesso $ ssh-keygen puoi farlo con la password o senza al momento sta funzionando tutto, quasi ogni mese lo devo riavviare perche' si addormenta, forse a volte scalda un po'. ciao Beppe -- le nuvole non hanno regole, perchè non hanno mai rinunciato alla libertà di sognare.