Re: Aiuto configurazione server di rete

To: dea <dea@corep.it>, Domenico Rotella <rotella.domenico@gmail.com>
Cc: Debian-italian <debian-italian@lists.debian.org>
Subject: Re: Aiuto configurazione server di rete
From: Gerlos <gerlosgm@gmail.com>
Date: Wed, 19 Feb 2014 16:41:34 +0100
Message-id: <[🔎] 5304D0AE.3040701@gmail.com>
In-reply-to: <[🔎] 20140219074829.M7632@corep.it>
References: <[🔎] 53024DA6.5050801@gmail.com> <[🔎] 20140218072034.M1146@corep.it> <[🔎] CAEs4N+HH+E1+LJM8UYiBiR3i5tmSPiHnfnzaFkV_m6-VXJhqmA@mail.gmail.com> <[🔎] CAFp8Aud5p82az3zCSiZAO4N0BjK8U49VVOtcxJ=_fpkvw42PVQ@mail.gmail.com> <[🔎] 20140219074829.M7632@corep.it>

Il 19/02/2014 08:52, dea ha scritto:

E' un approccio corretto?

Non mi sembra, (almeno a memoria) nel senso che devi specificare un wrapper
per sftp, mi sembra di ricordare che con una shell NULL non funzioni...


Ho fatto qualche altra prova, ed hai ragione.

Ad ogni modo ho scoperto che qualcuno ha inventato rssh proprio perquesto scopo:

http://www.pizzashack.org/rssh/index.shtml
http://www.cyberciti.biz/tips/linux-unix-restrict-shell-access-with-rssh.html

Mi è bastato installarlo e decommentare le righe allowscp, allowsftp eallowrsync nel file /etc/rssh.conf

Ho provato a creare un utente test con rssh come shell di default,generare una coppia di chiavi ed usarle per farelogin via sftp da cli inlinux e funziona come previsto:


sudo adduser --shell /usr/bin/rssh --ingroup users test
ssh-keygen
sudo sh -c "cat test-id_rsa.pub > ~test/.ssh/authorized_keys"
scp test-id_rsa my-local-pc:/home/gerlos/

e poi dal pc locale:
sftp -i test-id_rsa test@my-server

Convertendo la chiave nel formato di PUTTY la si può usare anche conWinSCP per accedere da macchine Windows (penso che farò mettere nellependrive di tutti la versione "portable" di WinSCP):


puttygen test-id_rsa -o test-id_rsa.ppk

Per Mac OSX ho visto che c'è una versione "portable" di CyberDuck confunzioni analoghe a WinSCP, ma ancora non l'ho provata.

Considerazione e consiglio, pensa ad adottare dei dongle OATH (costano meno di
10 €), oppure usi app gratuite per Android.
La sicurezza nell'accesso ai dati aziendali da remoto, non è solo legata alla
sicurezza del server ed al canale crittografico, ma anche a quella del client
(spesso il punto debole è proprio la sicurezza del client).

L'uso dei dongle OATH fornisce un valore aggiunto (usa poi il modulo PAM-OATH).

Uh... ho guglato un po' e credo di aver capito di cosa parli, credo chesia lo stesso approccio che sua la mia banca per autorizzare letransazioni.

Come posso usarlo per gestire gli accessi via SFTP? (per esempio usandoWinSCP?)

Ma l'accesso con chiave pubblica protetta da una password sicura nonsarebbe abbastanza sicuro? Sul server ssh ho disabilitato l'accesso consola password, e intendo richiedere che le chiavi abbiano password daalmeno 16 caratteri alfanumerici.

Cioè: se l'utente smarrisce la pendrive con le chiavi, senza passwordchi la trova non può farci molto... o sono troppo ottimista?


saluti
gerlos

--
"Life is pretty simple: You do some stuff. Most fails. Some works. You do more
of what works. If it works big, others quickly copy it. Then you do something
else. The trick is the doing something else."
           < http://gerlos.altervista.org >
 gerlos  +- - - >  gnu/linux registred user #311588

Reply to:

References:
- Aiuto configurazione server di rete
  - From: Gerlos <gerlosgm@gmail.com>
- Re: Aiuto configurazione server di rete
  - From: "dea" <dea@corep.it>
- Re: Aiuto configurazione server di rete
  - From: Domenico Rotella <rotella.domenico@gmail.com>
- Re: Aiuto configurazione server di rete
  - From: gerlos <gerlosgm@gmail.com>
- Re: Aiuto configurazione server di rete
  - From: "dea" <dea@corep.it>

Prev by Date: Re: OT: Client email per android
Next by Date: Dilemma rsync
Previous by thread: Re: Aiuto configurazione server di rete
Next by thread: [OT] manuale perl orientato agli oggetti
Index(es):
- Date
- Thread