Re: ssh raspberry e raspdebian

2016-09-21 Per discussione davide polimanti 


Il giorno 21/09/16 15:09, "Luca De Andreis"  ha scritto:

>Il 21/09/2016 15:06, Andrea Chelattini ha scritto:
>> Partendo dal concetto che la sicurezza assoluta non esiste, non voglio
>> comunque spaventare nessuno.
>>
>> In particolare sconsiglio l'uso dell'utente pi su raspberry su una
>> connessione ssh remota su porta 22 e accesso via password. Pur complessa
>> che essa sia, se non modificata con adeguata frequenza...
>
>Condivido e sono dell'idea che permettere solo autenticazione tramite
>scambio di certificati pubblico/privati (eliminando l'utilizzo della
>password) introduca un livello di sicurezza elevato, senza eliminare
>l'utente di default, se fa piacere tenerlo.
>
>IMHO
>
>Luca
>

Ringrazio tutti per i preziosi consigli che sto gi๠mettendo in pratica
per elevare il livello di sicurezza del mio raspberry pi
Purtroppo dovendo far accedere i miei alunni in ssh il metodo certificato
risulta per me un po scomodo.

Davide

Www.davlab.net

Re: ssh raspberry e raspdebian

2016-09-21 Per discussione Luca De Andreis 

Il 21/09/2016 15:06, Andrea Chelattini ha scritto:

Partendo dal concetto che la sicurezza assoluta non esiste, non voglio
comunque spaventare nessuno.

In particolare sconsiglio l'uso dell'utente pi su raspberry su una
connessione ssh remota su porta 22 e accesso via password. Pur complessa
che essa sia, se non modificata con adeguata frequenza...


Condivido e sono dell'idea che permettere solo autenticazione tramite 
scambio di certificati pubblico/privati (eliminando l'utilizzo della 
password) introduca un livello di sicurezza elevato, senza eliminare 
l'utente di default, se fa piacere tenerlo.


IMHO

Luca



smime.p7s
Description: Firma crittografica S/MIME

Re: ssh raspberry e raspdebian

2016-09-21 Per discussione Andrea Chelattini 
Partendo dal concetto che la sicurezza assoluta non esiste, non voglio
comunque spaventare nessuno.

In particolare sconsiglio l'uso dell'utente pi su raspberry su una
connessione ssh remota su porta 22 e accesso via password. Pur complessa
che essa sia, se non modificata con adeguata frequenza...

Molte guide su come migliorare la sicurezza del proprio raspberry
consigliano di creare e un altro utente altre addirittura di eliminarlo...

Andrea


Il giorno mer 21 set 2016 alle ore 12:57 Luca De Andreis  ha
scritto:

> Mi intrometto nella discussione con un dubbio...
>
> Di default lascio SSH aperto ma unicamente con autenticazione tramite
> scambio di certificati, autenticazione con password rigorosamente inibita.
>
> Non va bene per il rasp ?
>
> Luca
>
>

Re: ssh raspberry e raspdebian

2016-09-21 Per discussione Luca De Andreis 

Mi intrometto nella discussione con un dubbio...

Di default lascio SSH aperto ma unicamente con autenticazione tramite 
scambio di certificati, autenticazione con password rigorosamente inibita.


Non va bene per il rasp ?

Luca



smime.p7s
Description: Firma crittografica S/MIME

Re: ssh raspberry e raspdebian

2016-09-21 Per discussione Andrea Chelattini 
Ciao Davide,
Se la password è giusta, l'utente pi sembrerebbe bloccato o comunque non
autorizzato.
E' consigliabile utilizzare un utente non-root diverso da pi per accedere
via ssh al raspberry in quanto l'utente pi è un utente noto costituendo in
tal senso un problema di sicurezza analogo all'uso di root il cui uso è
sconsigliato e facile da inibire via configurazione PermitRootLogin no.
Ad ogni modo guarda sul /var/log/auth.log e potresti trovare qualche info
in più sul diniego. Eventualmente postale.
Procedi per gradi... Dai un occhio in rete per accessi ssh passwordless. In
caso di connessione da host remoto via internet è consigliabile anche l'uso
di openvpn, in maniera tale da accedere da remoto come se fossi all'interno
della tua rete locale.
Ci sono moltissime guide per configurare ssh/openvpn per raspberry (le
migliori si pongono tematiche di sicurezza e sconsigliano l'uso dell'utente
pi). Ti consiglio di dare prima un occhio alle autorevoli pagine wiki
ufficiali debian in italiano per ssh prima e openvpn poi, se la riterrai
una soluzione opportuna.

Andrea

Il giorno gio 15 set 2016 alle ore 17:15 davide polimanti <
davide.polima...@gmail.com> ha scritto:

>
> Mi succede questo da un po¹ di giorni
>
>
> ssh pi@dominio
> The authenticity of host 'www.davlab.net (mioip)' can't be established.
> RSA key fingerprint is e7:37:21:0d:9c:12:38:f4:b6:86:9a:83:c8:fe:c8:1a.
> Are you sure you want to continue connecting (yes/no)? yes
> Warning: Permanently added Œdominio,mioip' (RSA) to the list of known
> hosts.
> pi@dominio's password:
> Permission denied, please try again.
> pi@domino's password:
>
> La password e¹ giusta tanto che se mi collego on ip locale va
>
> Devo  modificare qualcosa nella configurazione ssh?
>
> davide
>
>
>

Re: ssh raspberry e raspdebian

2016-09-21 Per discussione beppe 

Il 15/09/2016 17:15, davide polimanti ha scritto:

Mi succede questo da un po¹ di giorni


ssh pi@dominio
The authenticity of host 'www.davlab.net (mioip)' can't be established.
RSA key fingerprint is e7:37:21:0d:9c:12:38:f4:b6:86:9a:83:c8:fe:c8:1a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added Œdominio,mioip' (RSA) to the list of known
hosts.
pi@dominio's password:
Permission denied, please try again.
pi@domino's password:

La password e¹ giusta tanto che se mi collego on ip locale va

Devo  modificare qualcosa nella configurazione ssh?

davide

Inizialmente ho creato uno nuovoutente che fa parte del gruppo sudo,
adduser nome1 sudo
# cat /etc/sudoers | grep -v -E "^$|^#|^;"
...
nome1 ALL=(ALL) NOPASSWD: /sbin/shutdown
...
ho disabilitato l'utente pi

ho messo in hosts.allow gli indirizzi dai quali accedere
# cat /etc/hosts.allow | grep -v -E "^$|^#|^;"
sshd: indirizzo_ip_remoto indirizzi_ip_locali


# cat /etc/ssh/sshd_config | grep -v -E "^$|^#|^;"
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 1024
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile  %h/.ssh/authorized_keys
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
# PasswordAuthentication yes se non usi la chiave
PasswordAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
# UseLogin yes se non usi la chiave
UseLogin no
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
# da mettere se non usi la chiave
AllowUsers  nome1 nome2 nome..

nel file ssh_config non ho fatto cambiamenti
# cat /etc/ssh/ssh_config | grep -v -E "^$|^#|^;"
Host *
SendEnv LANG LC_*
HashKnownHosts yes
GSSAPIAuthentication yes
GSSAPIDelegateCredentials no


se usi iptables mettere gli indirizzi di accesso:
# cat /etc/iptables/rules.v4 | grep -v -E "^$|^#|^;"
*filter
...
-A INPUT -s un_indirizzo_ip_rete_locale/32 -p tcp -m state --state NEW 
-m tcp --dport 22 -j ACCEPT
-A INPUT -s indirizzo_ip_remoto/32 -p tcp -m state --state NEW -m tcp 
--dport 22 -j ACCEPT

...


ho creato una chave di accesso
$ ssh-keygen
puoi farlo con la password o senza

al momento sta funzionando tutto, quasi ogni mese lo devo riavviare 
perche' si addormenta,

forse a volte scalda un po'.

ciao
Beppe

--
le nuvole non hanno regole,
perchè non hanno mai rinunciato
alla libertà di sognare.

Re: ssh raspberry e raspdebian

2016-09-15 Per discussione Gollum1 
Il 15 settembre 2016 17:15:08 CEST, davide polimanti 
 ha scritto:
>
>Mi succede questo da un po¹ di giorni
>
>

Mai iniziare un nuovo thread come risposta ad un altro thread.


Bye
-- 
Gollum1

Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli 
errori (maledetto correttore).

Re: ssh raspberry e raspdebian

2016-09-15 Per discussione Giuliano Curti 
On 9/15/16, davide polimanti  wrote:
> Fatto ma mi continua a dare lo stesso problema

acc... le mie risorse sono finite quì :-(

ti riconfermo l'interesse a conoscere i tuoi esperimenti, grazie, ciao,
giuliano

Re: ssh raspberry e raspdebian

2016-09-15 Per discussione davide polimanti 
Fatto ma mi continua a dare lo stesso problema

Facendo cosi sembra tutto ok

ssh davidepolimanti$ ssh-keyscan miodominio >> ~/.ssh/known_hosts
# miodominio SSH-2.0-OpenSSH_6.8
# miodominio SSH-2.0-OpenSSH_6.8
no hostkey alg


Sembrerebbe come una eccessiva paranoia del server ssh ma non capisco



Il giorno 15/09/16 17:23, "Giuliano Curti"  ha
scritto:

>On 9/15/16, davide polimanti  wrote:
>
>ciao Davide,
>
>
>> Mi succede questo da un po¹ di giorni
>>
>>
>> ssh pi@dominio
>> The authenticity of host ‘miodominio (mioip)' can't be established.
>> RSA key fingerprint is e7:37:21:0d:9c:12:38:f4:b6:86:9a:83:c8:fe:c8:1a.
>> .
>
>la butto lì perchè non sono un esperto di ssh, però mi è successo di
>avere difficoltà di connessione e eliminando il known_hosts la cosa si
>è risolta;
>
>
>> davide
>
>grazie se farai sapere nel thread i tuoi esperimenti ed i risultati, ciao,
>giuliano
>

Re: ssh raspberry e raspdebian

2016-09-15 Per discussione Giuliano Curti 
On 9/15/16, davide polimanti  wrote:

ciao Davide,


> Mi succede questo da un po¹ di giorni
>
>
> ssh pi@dominio
> The authenticity of host 'www.davlab.net (mioip)' can't be established.
> RSA key fingerprint is e7:37:21:0d:9c:12:38:f4:b6:86:9a:83:c8:fe:c8:1a.
> .

la butto lì perchè non sono un esperto di ssh, però mi è successo di
avere difficoltà di connessione e eliminando il known_hosts la cosa si
è risolta;


> davide

grazie se farai sapere nel thread i tuoi esperimenti ed i risultati, ciao,
giuliano