Guide SSH

Discussioni relative alla Gestione del wiki Guide@Debianizzati.Org

Guide SSH

Messaggioda wtf » 17/09/2015, 21:19

Abbiamo tre guide sul wiki:
Secondo me possono tutte essere tranquillamente integrate nella prima, quella di mm-barabba.
Come nota a parte, sia mm-barabba che maxer consigliano di impostare Use PAM su NO, ma non ne capisco il motivo.
Cose da sapere:
Avatar utente
wtf
Global Moderator
Global Moderator
 
Messaggi: 725
Iscritto il: 12/04/2011, 10:58

Re: Guide SSH

Messaggioda s3v » 18/09/2015, 14:03

Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5755
Iscritto il: 31/12/2008, 11:54

Re: Guide SSH

Messaggioda wtf » 18/09/2015, 14:11

Scusate, non me ne ero accorto.
Cose da sapere:
Avatar utente
wtf
Global Moderator
Global Moderator
 
Messaggi: 725
Iscritto il: 12/04/2011, 10:58

Re: Guide SSH

Messaggioda HAL 9000 » 18/09/2015, 14:35

Ottima idea, dovrebbe anche chiudere uno dei task del Wiki. ;)

Per "UsePAM" il "no" dovrebbe essere il default, e che io ricordi è sempre stato così, ma la guida è vecchia e forse inizialmente le cose andavano diversamente. Sempre che fosse quello il tuo dubbio.
Ricordarsi di modificare il primo messaggio della discussione per aggiungere [RISOLTO] prima del titolo, quando conclusa.

Wiki: APT e Repository, Comandi utili, Collabora.
Manuali di Debian 10 "buster" (PC): installazione, aggiornamento da versione 9.
Avatar utente
HAL 9000
wiki member
wiki member
 
Messaggi: 1529
Iscritto il: 10/08/2009, 10:01

Re: Guide SSH

Messaggioda wtf » 18/09/2015, 22:39

Attualmente il valore predefinito è "UsePAM yes". Il mio dubbio sta semplicemente nel fatto che si può tranquillamente disabilitare l'autenticazione tramite password senza dover disabilitare PAM.
Cose da sapere:
Avatar utente
wtf
Global Moderator
Global Moderator
 
Messaggi: 725
Iscritto il: 12/04/2011, 10:58

Re: Guide SSH

Messaggioda HAL 9000 » 20/09/2015, 9:40

Giusto, ho letto male la documentazione. Il default è "no", nel senso che se manca l'opzione si assume "UsePAM no", ma il file sshd_config viene creato con "UsePAM yes".

Sempre dalla documentazione disabilitando PasswordAuthentication e ChallengeResponseAuthentication (quest'ultimo dovrebbe essere già su "no", in teoria), lasciando UsePAM attivo si terrebbero i controlli sulla sessione, pur senza usarlo per l'autenticazione.

Ricordo anch'io però di aver letto di rimuoverli tutti e tre se si utilizzano delle chiavi al posto della password utente. E controllando rapidamente online ci sono ancora diverse guide che consigliano "UsePAM no" in tale circostanza, anche se non riportano il motivo, a parte che un generico "per ragioni di sicurezza".
Ricordarsi di modificare il primo messaggio della discussione per aggiungere [RISOLTO] prima del titolo, quando conclusa.

Wiki: APT e Repository, Comandi utili, Collabora.
Manuali di Debian 10 "buster" (PC): installazione, aggiornamento da versione 9.
Avatar utente
HAL 9000
wiki member
wiki member
 
Messaggi: 1529
Iscritto il: 10/08/2009, 10:01

Re: Guide SSH

Messaggioda wtf » 20/09/2015, 13:50

Sinceramente preferisco non inserire direttive immotivate se possibile, quindi finché qualcuno non trova un motivazione per tale scelta io non la inserirei (non vorrei che alla fine fosse il solito caso in cui ci limita a copiare acriticamente da una fonte e col tempo quello che una volta aveva senso, ma magari ormai non lo ha più, rimane comunque "la verità").
Cose da sapere:
Avatar utente
wtf
Global Moderator
Global Moderator
 
Messaggi: 725
Iscritto il: 12/04/2011, 10:58

Re: Guide SSH

Messaggioda HAL 9000 » 20/09/2015, 19:48

Sono d'accordo. Farò comunque qualche prova prima di verificarla. ;)
Ricordarsi di modificare il primo messaggio della discussione per aggiungere [RISOLTO] prima del titolo, quando conclusa.

Wiki: APT e Repository, Comandi utili, Collabora.
Manuali di Debian 10 "buster" (PC): installazione, aggiornamento da versione 9.
Avatar utente
HAL 9000
wiki member
wiki member
 
Messaggi: 1529
Iscritto il: 10/08/2009, 10:01

Re: Guide SSH

Messaggioda HAL 9000 » 22/09/2015, 11:29

Mentre "PasswordAuthentication" utilizza la richiesta della password dell'account utente a cui si vuole accedere, "ChallengeResponseAuthentication" di fatto utilizza il metodo di autenticazione (interattivo e da tastiera) previsto nel sistema, che di default è gestito dal sistema di librerie PAM e corrisponde alla richiesta della password dell'utente (tramite pam_unix).
Quindi se "UsePAM" è impostato su "no", "ChallengeResponseAuthentication" non funziona. Potrebbe essere però più sicuro, tranne si voglia per qualche ragione forzare l'uso della password (se per esempio fossero previsti altri metodi di autenticazione interattiva e da tastiera), disabilitare sempre "PasswordAuthentication" in favore di "ChallengeResponseAuthentication".

A seconda degli scenari, per l'uso di chiavi pubbliche potrebbe essere preferibile disabilitare entrambi "PasswordAuthentication" e "ChallengeResponseAuthentication", lasciando attivo solo "UsePAM" (che sarebbe ininfluente per l'autenticazione), così che ci sia un solo metodo di autenticazione. Il secondo dovrebbe esserlo già di default, ma lo specificherei comunque per correttezza.
Ricordarsi di modificare il primo messaggio della discussione per aggiungere [RISOLTO] prima del titolo, quando conclusa.

Wiki: APT e Repository, Comandi utili, Collabora.
Manuali di Debian 10 "buster" (PC): installazione, aggiornamento da versione 9.
Avatar utente
HAL 9000
wiki member
wiki member
 
Messaggi: 1529
Iscritto il: 10/08/2009, 10:01

Re: Guide SSH

Messaggioda nydebianized » 22/09/2015, 14:05

Details on PAM Authentication

Disabling PAM-based password authentication is rather un-intuitive. It is needed on pretty much all GNU/Linux distributions (with the notable exception of Slackware), along with FreeBSD. If you're not careful, you can have PasswordAuthentication set to 'no' and still login with just a password through PAM authentication. It turns out that you need to set 'ChallengeResponseAuthentication' to 'no' in order to truly disable PAM authentication. The FreeBSD man pages have this to say, which may help to clarify the situation a bit:
Note that if ChallengeResponseAuthentication is 'yes', and the PAM authentication policy for sshd includes pam_unix(8), password authentication will be allowed through the challenge-response mechanism regardless of the value of PasswordAuthentication.


Non sarebbe ancora più sicuro settare /etc/pam.d/sshd con
account required pam_nologin.so
e dare l'accesso solo agli utenti di un gruppo con la direttiva
auth [default=1 success=ignore] pam_succeed_if.so quiet user ingroup gruppo?
dd if=/dev/brain of=/dev/head
Avatar utente
nydebianized
Sr. Member
Sr. Member
 
Messaggi: 338
Iscritto il: 08/11/2006, 4:43

Re: Guide SSH

Messaggioda wtf » 22/09/2015, 14:12

@hal9000
Sia "PasswordAuthentication" che "ChallengeResponseAuthentication" sono già descritti nella pagina dedicata ai file diconfigurazione, quindi se non ho capito male a questo punto non vi è motivo per consigliare di mettere anche "UsePAM no".

@ nydebianized
account required pam_nologin.so

Per me è già il valore di default.
In ogni caso io di pam non so nulla, cosa farebbe la seconda direttiva che hai citato (non inclusa in /etc/pam.d/sshd tra l'altro)?
Cose da sapere:
Avatar utente
wtf
Global Moderator
Global Moderator
 
Messaggi: 725
Iscritto il: 12/04/2011, 10:58

Re: Guide SSH

Messaggioda nydebianized » 22/09/2015, 14:21

la direttive
auth [default=1 success=ignore] pam_succeed_if.so quiet user ingroup gruppo?

effettua un check sull'utente e se i requisiti (in questo caso l'appartenenza al gruppo "gruppo") quiet user ingroup gruppo sono soddisfatti, permette l'accesso agli utenti di quel gruppo anche se nel sistema è presente /etc/nologin che di norma permette l'accesso al sistema "SOLO" all'utente root (accesso che è disabilitato nel file di configurazione di ssh).
dd if=/dev/brain of=/dev/head
Avatar utente
nydebianized
Sr. Member
Sr. Member
 
Messaggi: 338
Iscritto il: 08/11/2006, 4:43

Re: Guide SSH

Messaggioda HAL 9000 » 22/09/2015, 16:11

@wtf: cambierei però la descrizione di "ChallengeResponseAuthentication", specificando che di default necessita di "UsePAM", che in tal caso effettuerà un login via richiesta di password. Almeno io non sono riuscito ad effettuare alcun login senza PAM e con solo "ChallengeResponseAuthentication".

Personalmente aggiungere nella parte introduttiva almeno che "PasswordAuthentication" è abilitato di default, e quindi è sempre disponibile, a prescindere dagli altri metodi utilizzati, salvo lo si disabiliti nei file di configurazione. In alternativa può esserci spazio per presentare l'esempio di un'autenticazione via password, che potrebbe servire se si volesse ripristinare il file sshd_config, considerando che è uno dei casi presentati brevemente.


@nydebianized: l'effetto non sarebbe uguale a impostare anche "AllowGroups" in sshd_config?
Ricordarsi di modificare il primo messaggio della discussione per aggiungere [RISOLTO] prima del titolo, quando conclusa.

Wiki: APT e Repository, Comandi utili, Collabora.
Manuali di Debian 10 "buster" (PC): installazione, aggiornamento da versione 9.
Avatar utente
HAL 9000
wiki member
wiki member
 
Messaggi: 1529
Iscritto il: 10/08/2009, 10:01

Re: Guide SSH

Messaggioda nydebianized » 22/09/2015, 18:02

@HAL9000: Credo che l'agire sulla configurazione di PAM dia più sicurezza, in quanto la gestione di accesso viene eseguita ad un livello più basso del servizio sshd, in modo da prevenire l'uso di falle di sicurezza e bug vari... ma qui lo dico e qui lo nego :D
dd if=/dev/brain of=/dev/head
Avatar utente
nydebianized
Sr. Member
Sr. Member
 
Messaggi: 338
Iscritto il: 08/11/2006, 4:43

Re: Guide SSH

Messaggioda wtf » 23/09/2015, 17:26

Direi che si fa prima se implementate direttamente voi le precisazioni.
Cose da sapere:
Avatar utente
wtf
Global Moderator
Global Moderator
 
Messaggi: 725
Iscritto il: 12/04/2011, 10:58

Prossimo

Torna a Guide@Debianizzati.Org

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti