Pagina 2 di 2

Re: Guide SSH

MessaggioInviato: 23/09/2015, 22:34
da nydebianized
Cosa ne dite se invece adottiamo quanto espresso da HAL ed invece per quanto riguarda PAM mi metto a scrivere una guida? (tempo e risorse permettendo?)

P.S. Visto l'argomento ed i pericoli di un uso inappropriato di PAM vorrei inviare la guida a diversi "revisori" prima della pubblicazione per l'approvazione.

Re: Guide SSH

MessaggioInviato: 24/09/2015, 9:22
da wtf
Mi sembra la soluzione migliore, comunque credo che qualche riferimento alla guida che scriverai andrà messo anche in quella dedicata ad SSH, visto che sul punto specifico si incrociano.
Ti segnalo poi che esistono già una guida ed un articolo e-zine che trattano PAM, anche se solo di un aspetto molto specifico.
PAM USB - e-zine
PAM USB - Wiki
Personalmente ritengo che converrà già pensare a come integrare il tutto in fase di scrittura della guida generale.
Se hai qualcuno a cui chiedere conferma della bontà di quello che scrivi per me è solo un vantaggio, magari potessimo farlo tutti.

Re: Guide SSH

MessaggioInviato: 24/09/2015, 10:35
da HAL 9000
Segnalo comunque che PAM USB potrebbe venir dismesso, se non verrà aggiornato per udisks2. Al momento per esempio non si trova più né in Stretch né in Sid.

Manca comunque un'introduzione generale di PAM, e ci sono alcune parti che si potrebbero copiare dall'altra guida per qualche esempio, rimuovendo le sole parti specifiche al modulo pam_usb.

Appena ho un po' di tempo provvedo ad apportare le modifiche alla parte su SSH e a verificarla. Probabilmente nel fine settimana. :)

Re: Guide SSH

MessaggioInviato: 24/09/2015, 11:19
da nydebianized
@ wtf
Pensavo più che altro a persone interne al forum, ahimé ho solo contatti con la Red Hat, ma inquinerei troppo la guida con le direttive relative alla loro distribuzione...

Per quanto riguarda la parte che lega ssh e PAM si potrebbe creare un link in entrambe le guide per mettere a conoscenza il lettore del fatto che esistono delle alternative alla configurazione con i pro ed i contro.
- - - - - - - - - - - - - - - - - - - - - - - -
@HAL9000
Concordo pienamente, visto che comunque la guida (IMO) sarà prettamente tecnica, con una breve introduzione sul sistema di accesso e sul quando e perchè utilizzare le variabili d'ambiente.

Nel weekend andrò a leggermi quanto pubblicato nell'e-zine e prendere quanto più possibile. :)

Re: Guide SSH

MessaggioInviato: 26/09/2015, 13:16
da HAL 9000
Verificata, almeno per la parte pubkey e controllata la documentazione per la hostbased.

Si potrebbe togliere fail2ban e lasciare il collegamento alla guida, visto che è trattato anche lì. E casomai verificare quella per Jessie, che non sia cambiato niente.
E rimuoverei moblock, se la parte trattata è obsoleta.

Ho segnalato come da cancellare l'altra guida, ora trattante argomenti duplicati, visto che non ci sono state voci contrarie.

Re: Guide SSH

MessaggioInviato: 29/09/2015, 9:15
da wtf
Per me va bene rimuovere sia fail2ban che moblock, io li ho conservati solo per prudenza.

Re: Guide SSH

MessaggioInviato: 02/10/2015, 13:16
da HAL 9000
Li ho tolti entrambi, e ho aggiunto un link alla guida principale per la pagina wiki su fail2ban.

Re: Guide SSH

MessaggioInviato: 14/11/2015, 13:31
da HAL 9000
Questo task di Revisione Wiki è stato marcato come risolto tempo fa.

Riguardo le guide su ssh, avendo adottato Manovrare X da remoto, volevo trattare:
- la connessione via ssh -X/-Y, con spiegazione della differenza;
- utilizzo di server X annidato (Xephyr) per avviare un'intera sessione con ssh -X/-Y, al posto di un solo programma;
- poi la parte per utilizzare X via rete, sconsigliandone comunque l'utilizzo, visto che tutto avverrebbe in chiaro, contrariamente all'uso di ssh.

Le prime due forse starebbero meglio nel template/menù su SSH, ma sono in dubbio sulla seconda.

Re: Guide SSH

MessaggioInviato: 14/11/2015, 17:15
da wtf
Io ignoro proprio l'argomento X, quindi per me puoi fare quello che ti sembra più giusto.

Re: Guide SSH

MessaggioInviato: 24/11/2015, 20:29
da HAL 9000
Ok, intanto allora mi limito alla parte su ssh -X/-Y. Poi da integrare con l'uso di un server grafico X annidato (Xephyr) e un'intera sessione grafica, penso qualcosa di semplice e soprattutto leggero (come blackbox/openbox).

La guida su "Manovrare X da remoto" si limiterà soltanto all'uso di X con display manager xdm (penso sia il più semplice) e login via rete, sconsigliandone comunque l'uso per ragioni di sicurezza, e rimandando invece alla guida su ssh -X/-Y, eventualmente con uso di Xephyr.


EDIT:

Per quanto riguarda il menù laterale, aggiungo la nuova guida tra "OpenSSH" e "OpenSSH: file di configurazione", richiamando quest'ultimo per le configurazioni non strettamente necessarie. Quest'ultimo è da verificare per Jessie (e in caso Wheezy) e da integrare con le opzioni per X11Forwarding.

Guida conclusa: qui un link

Qui invece avevo tratto Xephyr, anche se per un altro scopo.

Non è possibile usare l'access control di Xephyr per marcare un'applicazione come "untrusted", perché non è stato compilato con l'estensione alla sicurezza e crasha se interrogato da xauth (o equivalentemente da ssh -X):
Codice: Seleziona tutto
touch /tmp/.xauth-xephyr
Xephyr :1 -auth /tmp/.xauth-xephyr -nolisten tcp -screen 1024x768 &
xauth -f /tmp/.xauth-xephyr generate :1 .

(crash)

E neppure utilizzare l'access control del server grafico X, creando una sessione "untrusted" per Xephyr (senza usare il suo access control):
Codice: Seleziona tutto
touch /tmp/.xauth-untrusted
xauth -f /tmp/.xauth-untrusted generate :1 .
XAUTHORITY=/tmp/.xauth-untrusted Xephyr :1 -ac -nolisten tcp -screen 1024x768

(segmentation fault)

L'access control di Xephyr funziona solo in modalità "trusted", ossia con "xauth add", e via ssh unicamente con il "trusted X11 forwarding" (opzione -Y anziché -X), ossia disabilitando l'estensione di sicurezza:
Codice: Seleziona tutto
touch /tmp/.xauth-xephyr-trusted
xauth -f /tmp/.xauth-xephyr-trusted add $(hostname):1 . $(mcookie)
Xephyr :1 -auth /tmp/.xauth-xephyr-trusted -nolisten tcp -screen 1024x768 &
DISPLAY=:1 XAUTHORITY=/tmp/.xauth-xephyr-trusted ssh -Y -C utente_remoto@host_remoto
utente_remoto@host_remoto:~$ xterm

(funziona: xterm è lanciato dentro Xephyr)

A questo punto però ho preferito disabilitare l'access control di Xephyr, ma tenere "untrusted" le applicazione grafiche eseguite via ssh sul server X locale. Non so sinceramente cosa è meglio, ma mi fido di più delle impostazioni predefinite.

Come sessione grafica, ho scelto blackbox perché è piccolo e un progetto molto stabile, che riceve minime modifiche tra una versione e l'altra. Quindi spero che quella parte della guida abbia bisogno di pochissima manutenzione.
Nulla vieta di provare con altri window manager (openbox, fluxbox) o ambienti desktop completi (LXDE, Xfce, Mate, KDE o GNOME).

Re: Guide SSH

MessaggioInviato: 12/12/2015, 16:11
da HAL 9000
Terminata la parte su "Manovrare X da remoto", che ora non fa più riferimento a SSH, a parte per il box iniziale di avvertimento che rimanda a SSH con X11 forwarding.
Se qualcuno vuole occuparsi di vncviewer, può estendere la guida, rimando a questa discussione, per modifiche rispetto allo stato precedente.

--- --- ---

Tornando a OpenSSH, delle guide del template ci sarebbe da ricontrollare quella sui file di configurazione, viste le modifiche effettuate dalla sua stesura iniziale.
Presenterei la configurazione di default, spiegandola, e poi le opzioni principali che si possono attivare.