User Tools

Site Tools


educare:open-ssh

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
educare:open-ssh [2014/06/10 17:32] profproeducare:open-ssh [2023/06/15 13:42] (current) profpro
Line 1: Line 1:
 + < [[educare:didattici]]
 +
 +====== Open-ssh ======
 +
 +Permette di controllare un computer a distanza crittografando la comunicazione
 +
 +https://wiki.debian.org/SSH
 +
 +==== Sul server (prima parte) ====
 +
 +  * Installare //openssh-server//
 +    * Durante l'installazione vengono create automaticamente dentro // /etc/ssh/ //le cartelle con le chiavi pubbliche e private
 +
 +    * Di solito si autorizza un utente normale (non root) ad entrare da remoto. In tal modo, anche se qualcuno riesce a oltrepassare ssh, non può fare molti danni se non conosce la password di root.
 +
 +  * per aumentare le difese vedere  [[educare:fail2ban]] https://packages.debian.org/search?keywords=fail2ban
 +
 +  * creare il nuovo utente (non root)
 +
 +  adduser mario 
 +
 +  * aggiungerlo al gruppo sudo (solo su ubuntu, non su debian)
 +
 +  usermod -aG sudo mario
 +
 +**Nota:** (prima di andare avanti, configurare il client, vedi sotto)
 +
 +
 +==== Sul client ====
 +
 +  * Installare //openssh-client//
 +
 +  apt install openssh-client
 +
 +  * verificare prima se esistono eventuali chiavi
 +
 +  cat ~/.ssh/id_rsa.pub
 +  ssh-keygen
 +
 +  * copiare le chiavi sul server: si richiede la password dell'utente remoto (mario)
 +
 +  ssh-copy-id mario@x.x.x.x
 +  ...
 +  Number of key(s) added: 1
 +
 +  * Configurare il client ~/.ssh/ssh_config/
 +
 +  PubkeyAuthentication=yes
 +  PreferredAuthentications=publickey,password
 +  IdentitiesOnly=yes
 +
 +per collegarsi (nome utente locale e utente remoto potrebbero non coincidere)
 +Dovrebbe chiedere la passphrase (per la chiave )
 +
 +  ssh mario@x.x.x.x
 +
 +(Se la connessione con chiave riesce, e se si riesce anche a diventare superutente si può continuare)
 +
 +==== Sul server (Seconda parte) ====
 +
 +  * Configurare // /etc/ssh/sshd_config//
 +    *  opzioni da editare: 
 +
 +(Se la connessione con chiave riesce, e se si riesce anche a diventare superutente si può continuare)
 +
 +<code>
 +PasswordAuthentication no
 +PermitRootLogin no
 +LogLevel VERBOSE
 +AllowGroups ........</code>
 +
 +  systemctl restart sshd