Re: ssh raspberry e raspdebian

[davide polimanti]

Il giorno 21/09/16 15:09, "Luca De Andreis"  ha scritto:

>Il 21/09/2016 15:06, Andrea Chelattini ha scritto:
>> Partendo dal concetto che la sicurezza assoluta non esiste, non voglio
>> comunque spaventare nessuno.
>>
>> In particolare sconsiglio l'uso dell'utente pi su raspberry su una
>> connessione ssh remota su porta 22 e accesso via password. Pur complessa
>> che essa sia, se non modificata con adeguata frequenza...
>
>Condivido e sono dell'idea che permettere solo autenticazione tramite
>scambio di certificati pubblico/privati (eliminando l'utilizzo della
>password) introduca un livello di sicurezza elevato, senza eliminare
>l'utente di default, se fa piacere tenerlo.
>
>IMHO
>
>Luca
>

Ringrazio tutti per i preziosi consigli che sto gi๠mettendo in pratica
per elevare il livello di sicurezza del mio raspberry pi
Purtroppo dovendo far accedere i miei alunni in ssh il metodo certificato
risulta per me un po scomodo.

Davide

Www.davlab.net

Re: ssh raspberry e raspdebian

[Luca De Andreis]

Il 21/09/2016 15:06, Andrea Chelattini ha scritto:

Partendo dal concetto che la sicurezza assoluta non esiste, non voglio
comunque spaventare nessuno.

In particolare sconsiglio l'uso dell'utente pi su raspberry su una
connessione ssh remota su porta 22 e accesso via password. Pur complessa
che essa sia, se non modificata con adeguata frequenza...


Condivido e sono dell'idea che permettere solo autenticazione tramite 
scambio di certificati pubblico/privati (eliminando l'utilizzo della 
password) introduca un livello di sicurezza elevato, senza eliminare 
l'utente di default, se fa piacere tenerlo.


IMHO

Luca



smime.p7s
Description: Firma crittografica S/MIME

Re: ssh raspberry e raspdebian

[Andrea Chelattini]

Partendo dal concetto che la sicurezza assoluta non esiste, non voglio
comunque spaventare nessuno.

In particolare sconsiglio l'uso dell'utente pi su raspberry su una
connessione ssh remota su porta 22 e accesso via password. Pur complessa
che essa sia, se non modificata con adeguata frequenza...

Molte guide su come migliorare la sicurezza del proprio raspberry
consigliano di creare e un altro utente altre addirittura di eliminarlo...

Andrea


Il giorno mer 21 set 2016 alle ore 12:57 Luca De Andreis  ha
scritto:

> Mi intrometto nella discussione con un dubbio...
>
> Di default lascio SSH aperto ma unicamente con autenticazione tramite
> scambio di certificati, autenticazione con password rigorosamente inibita.
>
> Non va bene per il rasp ?
>
> Luca
>
>

Re: ssh raspberry e raspdebian

[Luca De Andreis]

Mi intrometto nella discussione con un dubbio...

Di default lascio SSH aperto ma unicamente con autenticazione tramite 
scambio di certificati, autenticazione con password rigorosamente inibita.


Non va bene per il rasp ?

Luca



smime.p7s
Description: Firma crittografica S/MIME

Re: ssh raspberry e raspdebian

[Andrea Chelattini]

Ciao Davide,
Se la password è giusta, l'utente pi sembrerebbe bloccato o comunque non
autorizzato.
E' consigliabile utilizzare un utente non-root diverso da pi per accedere
via ssh al raspberry in quanto l'utente pi è un utente noto costituendo in
tal senso un problema di sicurezza analogo all'uso di root il cui uso è
sconsigliato e facile da inibire via configurazione PermitRootLogin no.
Ad ogni modo guarda sul /var/log/auth.log e potresti trovare qualche info
in più sul diniego. Eventualmente postale.
Procedi per gradi... Dai un occhio in rete per accessi ssh passwordless. In
caso di connessione da host remoto via internet è consigliabile anche l'uso
di openvpn, in maniera tale da accedere da remoto come se fossi all'interno
della tua rete locale.
Ci sono moltissime guide per configurare ssh/openvpn per raspberry (le
migliori si pongono tematiche di sicurezza e sconsigliano l'uso dell'utente
pi). Ti consiglio di dare prima un occhio alle autorevoli pagine wiki
ufficiali debian in italiano per ssh prima e openvpn poi, se la riterrai
una soluzione opportuna.

Andrea

Il giorno gio 15 set 2016 alle ore 17:15 davide polimanti <
davide.polima...@gmail.com> ha scritto:

>
> Mi succede questo da un po¹ di giorni
>
>
> ssh pi@dominio
> The authenticity of host 'www.davlab.net (mioip)' can't be established.
> RSA key fingerprint is e7:37:21:0d:9c:12:38:f4:b6:86:9a:83:c8:fe:c8:1a.
> Are you sure you want to continue connecting (yes/no)? yes
> Warning: Permanently added Œdominio,mioip' (RSA) to the list of known
> hosts.
> pi@dominio's password:
> Permission denied, please try again.
> pi@domino's password:
>
> La password e¹ giusta tanto che se mi collego on ip locale va
>
> Devo  modificare qualcosa nella configurazione ssh?
>
> davide
>
>
>

Re: Più istanze di openvpn sullo stesso server

[Mauro]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256



Il 20/09/16 21:39, Pol Hallen ha scritto:
> please se approfondisci tienimi aggiornato che interessa anche a me
> :-)

io ho utilizzato un altro meccanismo:

ho utilizzato l'ip aliasing sull'interfaccia di rete su cui dovevano
girare le istanze openvpn. Tanti ip per tante istanze necesarie (due
istanze, in realta, quindi una su ip vero, l'altra su alias) usando
- --local e --bind
alla fine ho usato iptables per riportare tutto su un unico ip
giocando con le porte.
non so se puo' essere valido anche per la tua situazione.

ciao

-BEGIN PGP SIGNATURE-
Comment: GPGTools - http://gpgtools.org

iQEcBAEBCAAGBQJX4lWGAAoJEGBLG3R4+/FllE0H/A8SCgT/sdf2iU8DclofrA83
G+kfMr4U0f6y/lMO3Shi9jWEa1btixenahwsuOQrlWh675OBgkr7eABSXNgFUION
WPoXFQbd+7OJHNEUThGgpHaSSZfT48MiT98X99EHh6GLR/zkeVz7ZVmdiv2aZuTL
WY9WWCXJCf/qPMKS4BXcTzuz8LrtvPsy0ZZhcEPPMoma9DjU39a0TSG41nnIHK0z
zLHSr0VHA7p1BL/ISjat6F1qtGnnvyo1AHfAfLaqhUG9+GJM0iKyDmgTg6EB0vj7
tosvlauHRnglBIL+IEKxYFW77vCwQbTjW3b11UvQUsH7ecxba57quFAyb+nC2Jo=
=DWa5
-END PGP SIGNATURE-

Re: Più istanze di openvpn sullo stesso server

[Pol Hallen]

sono sicuro che riavviando il server l'abbinamento sia sempre quello?


penso proprio di si, in quanto lui abbina il device tunX alla porta del 
server del suo file di configurazione (quindi li distingue in base alla 
porta)


fammi sapere :-)

Pol

Re: Più istanze di openvpn sullo stesso server

[Paolo]

Il 20/09/2016 21:39, Pol Hallen ha scritto:

non vorrei dire una sciocchezza (ricordo di aver letto tempo fa): basta
che crei quanti file di config ti servono (ognuno che usi una porta
diversa) usando la stessa interfaccia tun o tap che sia...


Adesso mi trovo nelle condizioni di dover utilizzare 3 istanze di
openvpn sullo stesso server.


please se approfondisci tienimi aggiornato che interessa anche a me :-)


Ho fatto ancora qualche test, confermo che pensa il sistema in 
automatico a creare i vari tun1 o tap1 ecc


L'unico dubbio che mi rimane è quello relativo al riavvio, nel senso che 
ad ogni file conf in /etc/openvpn viene sempre assegnato lo stesso device?


se ho:

vpn1 -> tun0
vpn2 -> tun1
vpn3 -> tun2

sono sicuro che riavviando il server l'abbinamento sia sempre quello?

Dai pochi test che ho fatto sembrerebbe di si...

Ciao,

--
P.

Scrivere è la cosa più divertente che si possa fare da soli.
Terry Pratchett

Re: cinnamon

[Piviul]

Pol Hallen ha scritto il 20/09/2016 alle 21:34:

'sera a tutti :-)

installando debian su un nuovo pc ho riscoperto cinnamon, che devo dire
non è per niente male (su altri pc uso mate)

mi sapete dire com'è lo sviluppo di questo ambiente e come vi trovate?

Cinnamon lo uso sui PC datati o netbook e non mi trovo male...

Piviul

Re: ssh raspberry e raspdebian

[beppe]

Il 15/09/2016 17:15, davide polimanti ha scritto:

Mi succede questo da un po¹ di giorni


ssh pi@dominio
The authenticity of host 'www.davlab.net (mioip)' can't be established.
RSA key fingerprint is e7:37:21:0d:9c:12:38:f4:b6:86:9a:83:c8:fe:c8:1a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added Œdominio,mioip' (RSA) to the list of known
hosts.
pi@dominio's password:
Permission denied, please try again.
pi@domino's password:

La password e¹ giusta tanto che se mi collego on ip locale va

Devo  modificare qualcosa nella configurazione ssh?

davide

Inizialmente ho creato uno nuovoutente che fa parte del gruppo sudo,
adduser nome1 sudo
# cat /etc/sudoers | grep -v -E "^$|^#|^;"
...
nome1 ALL=(ALL) NOPASSWD: /sbin/shutdown
...
ho disabilitato l'utente pi

ho messo in hosts.allow gli indirizzi dai quali accedere
# cat /etc/hosts.allow | grep -v -E "^$|^#|^;"
sshd: indirizzo_ip_remoto indirizzi_ip_locali


# cat /etc/ssh/sshd_config | grep -v -E "^$|^#|^;"
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 1024
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile  %h/.ssh/authorized_keys
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
# PasswordAuthentication yes se non usi la chiave
PasswordAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
# UseLogin yes se non usi la chiave
UseLogin no
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
# da mettere se non usi la chiave
AllowUsers  nome1 nome2 nome..

nel file ssh_config non ho fatto cambiamenti
# cat /etc/ssh/ssh_config | grep -v -E "^$|^#|^;"
Host *
SendEnv LANG LC_*
HashKnownHosts yes
GSSAPIAuthentication yes
GSSAPIDelegateCredentials no


se usi iptables mettere gli indirizzi di accesso:
# cat /etc/iptables/rules.v4 | grep -v -E "^$|^#|^;"
*filter
...
-A INPUT -s un_indirizzo_ip_rete_locale/32 -p tcp -m state --state NEW 
-m tcp --dport 22 -j ACCEPT
-A INPUT -s indirizzo_ip_remoto/32 -p tcp -m state --state NEW -m tcp 
--dport 22 -j ACCEPT

...


ho creato una chave di accesso
$ ssh-keygen
puoi farlo con la password o senza

al momento sta funzionando tutto, quasi ogni mese lo devo riavviare 
perche' si addormenta,

forse a volte scalda un po'.

ciao
Beppe

--
le nuvole non hanno regole,
perchè non hanno mai rinunciato
alla libertà di sognare.