NoLabNoPartY.com » ssh

KittY un’ alternativa al client PuttY per Windows

P@olo — Fri, 09 Sep 2011 05:00:00 +0000

KittY è la versione derivata per Windows di PuttY, il noto client telnet / ssh molto apprezzato dagli amministratori di sistemi.

Oltre ad avere tutte le funzionalità di PuttY, presenta delle opzioni aggiuntive che rendono KittY un tool molto utile ed interessante.

Alcune delle funzionalità di KittY:

Sessions filter
Portability
Shortcuts for pre-defined command
The session launcher
Automatic logon script
Automatic password
Automatic command
Running a locally saved script on a remote session
An icon for each session
Send to tray
Transparency
Quick start of a duplicate session
Automatic saving
SSH Handler: Internet Explorer integration
pscp.exe and WinSCP integration
Background image
New command-line options

E’ presente inoltre un semplice chat server e un text editor che possono risultare utili.

Se nel sistema in cui viene installato questo tool è presente anche PuttY, tutti i settaggi e le sessioni impostate vengono importate automaticamente in KittY.

KittY è scaricabile gratuitamente dal sito http://kitty.9bis.com.

Hai già letto questi articoli?

Autenticazione tramite Public key in Linux

P@olo — Tue, 22 Jul 2008 08:38:32 +0000

Un ulteriore modo per rafforzare la sicurezza di un sistema Linux contro accessi non autorizzati è l’utilizzo della chiave pubblica (public key) durante la fase di login. L’utilizzo delle PKI è la soluzione attualmente più efficacie su cui si basano le protezioni e le autenticazioni dei sistemi che necessitano standard di sicurezza molto elevati.

Vantaggi

Elevato grado di sicurezza nel processo di autenticazione.
Solo gli utenti con la chiave corretta possono autenticarsi nel sistema.
Ogni chiave può essere protetta da password (ulteriore protezione).

Svantaggi

Senza la giusta chiave non c’è modo di autenticarsi e quindi di accedere al sistema.
La gestione delle chiavi può risultare laboriosa.

1. PROCEDURA

- generare la coppia di chiavi pubblica e privata.
# ssh-keygen -t rsa

La chiave privata viene salvata nel file id_rsa.
La chiave pubblica viene salvata nel file id_rsa.pub.

- creare la directory nascosta .ssh nella home user.
# mkdir ~/.ssh

- copiare la chiave pubblica nel file authorized_keys.
# cat id.rsa.pub > ~/.ssh/authorized_keys

- impostare i permessi sul file per evitare che altri utenti possano leggere i dati della chiave.
#chmod go-w ~/
# chmod 700 ~/.ssh
# chmod go-rwx ~/.ssh

- editare il file sshd_conf (deve essere effettuato come root).
# su -
# vi /ets/ssh/sshd_conf

- identificare e modificare i parametri come indicato.

PubkeyAuthentication         yes
AuthorizedKeysFile              .ssh/authorized_keys
PasswordAuthentication     no

- riavviare il servizio ssh per attivare la nuova configurazione
# service sshd restart

Una volta effettuato il restart del servizio ssh, l’unico modo per effettuare un login remoto è tramite l’utilizzo delle chiavi generate.

Per generare la chiave pubblica e privata è possibile utilizzare anche altri tools come ad esempio puttygen, membro della famiglia puTTY e soggetto a licenza MIT compatibile con la GNU GPL.

Hai già letto questi articoli?

Mettere in sicurezza un sistema Linux

P@olo — Tue, 27 May 2008 10:27:17 +0000

Nessun sistema è sicuro al 100%. E’ possibile però utilizzare alcuni accorgimenti per aumentare il livello di sicurezza e rendere più difficoltosi i tentativi di intrusione.

Tra le varie soluzioni possibili, il limitare i diritti di accesso alle varie componenti del sistema rende il fattore sicurezza più elevato:

1. PARTIZIONI
Quando viene effettuata l’installazione di un sistema Linux, per rafforzare la sicurezza e stabilità del sistema è utile stabilire uno schema di partizionamento adeguato.

Alcuni suggerimenti da tenere presente riguardano le principali directory che caratterizzano il “core system” del sistema:

- Tenere le partizioni scrivibili dagli utenti separate dal resto, cioè le directories /home e /var. Queste sono generalmente riempite con i dati degli utenti e dovrebbero essere soggette a “quota” per evitare di mandare in crash il server se il file system venisse saturato.

- Tenere la partizione /boot separata. In caso venisse corrotta è sempre possibile effettuare un fall back per fare almeno il boot del kernel. 100 MB sono OK per questa partizione.

- La partizione /tmp è la più delicata in quanto è scrivibile e accessibile da tutti. Meglio evitare che sia riempita fino a causare il crash del server. 1 GB dovrebbe essere più che sufficiente per /tmp.

2) L’UTENTE DI “ROOT“
Disabilitare il login remoto dell’account root via SSH rende complicati i tentativi di prendere il controllo del sistema operando in remoto.

- editare il file:

# vi /etc/ssh/sshd.conf

- abilitare e modificare le proprietà elencate con questi parametri:

Protocol 2
PermitRootLogin no
PermitEmptyPasswords no

In questo modo l’account root non può effettuare il login tramite una sessione ssh.

3) IL COMANDO “SU”
Limitare l’accesso al comando su solo ad alcuni utenti.

- creare il gruppo admins:

# groupadd admins

- modificare l’ownership:

# chown root.admins /bin/su

- modificare i permessi di accesso:

# chmod 4750 /bin/su

In questo modo solo l’utente root e gli utenti membri del gruppo admins posso accedere al comando su.

4) LA PARTIZIONE “TMP”
Limitare i permessi sulla partizione /tmp.

E’ meglio evitare che degli utenti o potenziali intrusi possano eseguire degli scripts dalla partizione/directory /tmp. Procediamo come segue:

- editare il file /etc/fstab individuando l’entry /tmp che dovrebbe essere configurata come default:

LABEL=/tmp /tmp ext3 defaults 1 2

- modificare la riga come segue:

LABEL=/tmp /tmp ext3 rw,noexec,nosuid 1 2

Sebbene sia ancora possibile accedere sia in lettura che in scrittura, non è più possibile eseguire applicazioni o scripts ed effettuare il suid bits sui file.

5) FIREWALL
Con gli accorgimenti fino ad ora adottati, il sistema è un po’ più sicuro e più stabile. Naturalmente se il computer è in rete ed è accessibile anche dall’esterno, un buon firewall è fortemente consigliato!