Re: ssh raspberry e raspdebian
Il giorno 21/09/16 15:09, "Luca De Andreis"ha scritto: >Il 21/09/2016 15:06, Andrea Chelattini ha scritto: >> Partendo dal concetto che la sicurezza assoluta non esiste, non voglio >> comunque spaventare nessuno. >> >> In particolare sconsiglio l'uso dell'utente pi su raspberry su una >> connessione ssh remota su porta 22 e accesso via password. Pur complessa >> che essa sia, se non modificata con adeguata frequenza... > >Condivido e sono dell'idea che permettere solo autenticazione tramite >scambio di certificati pubblico/privati (eliminando l'utilizzo della >password) introduca un livello di sicurezza elevato, senza eliminare >l'utente di default, se fa piacere tenerlo. > >IMHO > >Luca > Ringrazio tutti per i preziosi consigli che sto gi๠mettendo in pratica per elevare il livello di sicurezza del mio raspberry pi Purtroppo dovendo far accedere i miei alunni in ssh il metodo certificato risulta per me un po scomodo. Davide Www.davlab.net
Re: ssh raspberry e raspdebian
Il 21/09/2016 15:06, Andrea Chelattini ha scritto: Partendo dal concetto che la sicurezza assoluta non esiste, non voglio comunque spaventare nessuno. In particolare sconsiglio l'uso dell'utente pi su raspberry su una connessione ssh remota su porta 22 e accesso via password. Pur complessa che essa sia, se non modificata con adeguata frequenza... Condivido e sono dell'idea che permettere solo autenticazione tramite scambio di certificati pubblico/privati (eliminando l'utilizzo della password) introduca un livello di sicurezza elevato, senza eliminare l'utente di default, se fa piacere tenerlo. IMHO Luca smime.p7s Description: Firma crittografica S/MIME
Re: ssh raspberry e raspdebian
Partendo dal concetto che la sicurezza assoluta non esiste, non voglio comunque spaventare nessuno. In particolare sconsiglio l'uso dell'utente pi su raspberry su una connessione ssh remota su porta 22 e accesso via password. Pur complessa che essa sia, se non modificata con adeguata frequenza... Molte guide su come migliorare la sicurezza del proprio raspberry consigliano di creare e un altro utente altre addirittura di eliminarlo... Andrea Il giorno mer 21 set 2016 alle ore 12:57 Luca De Andreisha scritto: > Mi intrometto nella discussione con un dubbio... > > Di default lascio SSH aperto ma unicamente con autenticazione tramite > scambio di certificati, autenticazione con password rigorosamente inibita. > > Non va bene per il rasp ? > > Luca > >
Re: ssh raspberry e raspdebian
Mi intrometto nella discussione con un dubbio... Di default lascio SSH aperto ma unicamente con autenticazione tramite scambio di certificati, autenticazione con password rigorosamente inibita. Non va bene per il rasp ? Luca smime.p7s Description: Firma crittografica S/MIME
Re: ssh raspberry e raspdebian
Ciao Davide, Se la password è giusta, l'utente pi sembrerebbe bloccato o comunque non autorizzato. E' consigliabile utilizzare un utente non-root diverso da pi per accedere via ssh al raspberry in quanto l'utente pi è un utente noto costituendo in tal senso un problema di sicurezza analogo all'uso di root il cui uso è sconsigliato e facile da inibire via configurazione PermitRootLogin no. Ad ogni modo guarda sul /var/log/auth.log e potresti trovare qualche info in più sul diniego. Eventualmente postale. Procedi per gradi... Dai un occhio in rete per accessi ssh passwordless. In caso di connessione da host remoto via internet è consigliabile anche l'uso di openvpn, in maniera tale da accedere da remoto come se fossi all'interno della tua rete locale. Ci sono moltissime guide per configurare ssh/openvpn per raspberry (le migliori si pongono tematiche di sicurezza e sconsigliano l'uso dell'utente pi). Ti consiglio di dare prima un occhio alle autorevoli pagine wiki ufficiali debian in italiano per ssh prima e openvpn poi, se la riterrai una soluzione opportuna. Andrea Il giorno gio 15 set 2016 alle ore 17:15 davide polimanti < davide.polima...@gmail.com> ha scritto: > > Mi succede questo da un po¹ di giorni > > > ssh pi@dominio > The authenticity of host 'www.davlab.net (mioip)' can't be established. > RSA key fingerprint is e7:37:21:0d:9c:12:38:f4:b6:86:9a:83:c8:fe:c8:1a. > Are you sure you want to continue connecting (yes/no)? yes > Warning: Permanently added Œdominio,mioip' (RSA) to the list of known > hosts. > pi@dominio's password: > Permission denied, please try again. > pi@domino's password: > > La password e¹ giusta tanto che se mi collego on ip locale va > > Devo modificare qualcosa nella configurazione ssh? > > davide > > >
Re: ssh raspberry e raspdebian
Il 15/09/2016 17:15, davide polimanti ha scritto: Mi succede questo da un po¹ di giorni ssh pi@dominio The authenticity of host 'www.davlab.net (mioip)' can't be established. RSA key fingerprint is e7:37:21:0d:9c:12:38:f4:b6:86:9a:83:c8:fe:c8:1a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added Œdominio,mioip' (RSA) to the list of known hosts. pi@dominio's password: Permission denied, please try again. pi@domino's password: La password e¹ giusta tanto che se mi collego on ip locale va Devo modificare qualcosa nella configurazione ssh? davide Inizialmente ho creato uno nuovoutente che fa parte del gruppo sudo, adduser nome1 sudo # cat /etc/sudoers | grep -v -E "^$|^#|^;" ... nome1 ALL=(ALL) NOPASSWD: /sbin/shutdown ... ho disabilitato l'utente pi ho messo in hosts.allow gli indirizzi dai quali accedere # cat /etc/hosts.allow | grep -v -E "^$|^#|^;" sshd: indirizzo_ip_remoto indirizzi_ip_locali # cat /etc/ssh/sshd_config | grep -v -E "^$|^#|^;" Port 22 Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key HostKey /etc/ssh/ssh_host_ecdsa_key HostKey /etc/ssh/ssh_host_ed25519_key UsePrivilegeSeparation yes KeyRegenerationInterval 3600 ServerKeyBits 1024 SyslogFacility AUTH LogLevel INFO LoginGraceTime 120 PermitRootLogin no StrictModes yes RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile %h/.ssh/authorized_keys IgnoreRhosts yes RhostsRSAAuthentication no HostbasedAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no # PasswordAuthentication yes se non usi la chiave PasswordAuthentication no X11Forwarding yes X11DisplayOffset 10 PrintMotd no PrintLastLog yes TCPKeepAlive yes # UseLogin yes se non usi la chiave UseLogin no AcceptEnv LANG LC_* Subsystem sftp /usr/lib/openssh/sftp-server UsePAM yes # da mettere se non usi la chiave AllowUsers nome1 nome2 nome.. nel file ssh_config non ho fatto cambiamenti # cat /etc/ssh/ssh_config | grep -v -E "^$|^#|^;" Host * SendEnv LANG LC_* HashKnownHosts yes GSSAPIAuthentication yes GSSAPIDelegateCredentials no se usi iptables mettere gli indirizzi di accesso: # cat /etc/iptables/rules.v4 | grep -v -E "^$|^#|^;" *filter ... -A INPUT -s un_indirizzo_ip_rete_locale/32 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -s indirizzo_ip_remoto/32 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT ... ho creato una chave di accesso $ ssh-keygen puoi farlo con la password o senza al momento sta funzionando tutto, quasi ogni mese lo devo riavviare perche' si addormenta, forse a volte scalda un po'. ciao Beppe -- le nuvole non hanno regole, perchè non hanno mai rinunciato alla libertà di sognare.
Re: ssh raspberry e raspdebian
Il 15 settembre 2016 17:15:08 CEST, davide polimantiha scritto: > >Mi succede questo da un po¹ di giorni > > Mai iniziare un nuovo thread come risposta ad un altro thread. Bye -- Gollum1 Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli errori (maledetto correttore).
Re: ssh raspberry e raspdebian
On 9/15/16, davide polimantiwrote: > Fatto ma mi continua a dare lo stesso problema acc... le mie risorse sono finite quì :-( ti riconfermo l'interesse a conoscere i tuoi esperimenti, grazie, ciao, giuliano
Re: ssh raspberry e raspdebian
Fatto ma mi continua a dare lo stesso problema Facendo cosi sembra tutto ok ssh davidepolimanti$ ssh-keyscan miodominio >> ~/.ssh/known_hosts # miodominio SSH-2.0-OpenSSH_6.8 # miodominio SSH-2.0-OpenSSH_6.8 no hostkey alg Sembrerebbe come una eccessiva paranoia del server ssh ma non capisco Il giorno 15/09/16 17:23, "Giuliano Curti"ha scritto: >On 9/15/16, davide polimanti wrote: > >ciao Davide, > > >> Mi succede questo da un po¹ di giorni >> >> >> ssh pi@dominio >> The authenticity of host ‘miodominio (mioip)' can't be established. >> RSA key fingerprint is e7:37:21:0d:9c:12:38:f4:b6:86:9a:83:c8:fe:c8:1a. >> . > >la butto lì perchè non sono un esperto di ssh, però mi è successo di >avere difficoltà di connessione e eliminando il known_hosts la cosa si >è risolta; > > >> davide > >grazie se farai sapere nel thread i tuoi esperimenti ed i risultati, ciao, >giuliano >
Re: ssh raspberry e raspdebian
On 9/15/16, davide polimantiwrote: ciao Davide, > Mi succede questo da un po¹ di giorni > > > ssh pi@dominio > The authenticity of host 'www.davlab.net (mioip)' can't be established. > RSA key fingerprint is e7:37:21:0d:9c:12:38:f4:b6:86:9a:83:c8:fe:c8:1a. > . la butto lì perchè non sono un esperto di ssh, però mi è successo di avere difficoltà di connessione e eliminando il known_hosts la cosa si è risolta; > davide grazie se farai sapere nel thread i tuoi esperimenti ed i risultati, ciao, giuliano