Il 19/02/2014 08:52, dea ha scritto:
E' un approccio corretto?
Non mi sembra, (almeno a memoria) nel senso che devi specificare un wrapper
per sftp, mi sembra di ricordare che con una shell NULL non funzioni...
Ho fatto qualche altra prova, ed hai ragione.
Ad ogni modo ho scoperto che qualcuno ha inventato rssh proprio per
questo scopo:
http://www.pizzashack.org/rssh/index.shtml
http://www.cyberciti.biz/tips/linux-unix-restrict-shell-access-with-rssh.html
Mi è bastato installarlo e decommentare le righe allowscp, allowsftp e
allowrsync nel file /etc/rssh.conf
Ho provato a creare un utente test con rssh come shell di default,
generare una coppia di chiavi ed usarle per farelogin via sftp da cli in
linux e funziona come previsto:
sudo adduser --shell /usr/bin/rssh --ingroup users test
ssh-keygen
sudo sh -c "cat test-id_rsa.pub > ~test/.ssh/authorized_keys"
scp test-id_rsa my-local-pc:/home/gerlos/
e poi dal pc locale:
sftp -i test-id_rsa test@my-server
Convertendo la chiave nel formato di PUTTY la si può usare anche con
WinSCP per accedere da macchine Windows (penso che farò mettere nelle
pendrive di tutti la versione "portable" di WinSCP):
puttygen test-id_rsa -o test-id_rsa.ppk
Per Mac OSX ho visto che c'è una versione "portable" di CyberDuck con
funzioni analoghe a WinSCP, ma ancora non l'ho provata.
Considerazione e consiglio, pensa ad adottare dei dongle OATH (costano meno di
10 €), oppure usi app gratuite per Android.
La sicurezza nell'accesso ai dati aziendali da remoto, non è solo legata alla
sicurezza del server ed al canale crittografico, ma anche a quella del client
(spesso il punto debole è proprio la sicurezza del client).
L'uso dei dongle OATH fornisce un valore aggiunto (usa poi il modulo PAM-OATH).
Uh... ho guglato un po' e credo di aver capito di cosa parli, credo che
sia lo stesso approccio che sua la mia banca per autorizzare le
transazioni.
Come posso usarlo per gestire gli accessi via SFTP? (per esempio usando
WinSCP?)
Ma l'accesso con chiave pubblica protetta da una password sicura non
sarebbe abbastanza sicuro? Sul server ssh ho disabilitato l'accesso con
sola password, e intendo richiedere che le chiavi abbiano password da
almeno 16 caratteri alfanumerici.
Cioè: se l'utente smarrisce la pendrive con le chiavi, senza password
chi la trova non può farci molto... o sono troppo ottimista?
saluti
gerlos
--
"Life is pretty simple: You do some stuff. Most fails. Some works. You do more
of what works. If it works big, others quickly copy it. Then you do something
else. The trick is the doing something else."
< http://gerlos.altervista.org >
gerlos +- - - > gnu/linux registred user #311588
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org
To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5304d0ae.3040...@gmail.com
