# [OT] attivare SSH

## paperp

Come faccio , veloce , veloce ad attivare ssh su gentoo(che è già installato) per poi continuare compilazione da ufficio ..quale porta devo aprire sul router e comandi minimi??

Avrò problemi da dentro la LAN dell'ufficio?

----------

## codadilupo

# /etc/init.d/ssh start ?

per il router... beh.. dipende da come l'hai configurato  :Wink: 

Coda

----------

## comio

```

# /etc/init.d/sshd start

```

Usualmente la porta è la 22. Quindi devi assicurarti che il tuo router faccia passare la 22, ed eventualmente faccia il nat statico verso quella porta (altrimenti avrai problemi).

ciao

----------

## paperp

Intanto ciao-come stai etc.. ,poi lo lancio e come mi ci collego??

Posso provare anche in locale giusto , sullo stesso pc per imparare..!?  :Smile: 

----------

## paperp

ha generato le key..e ora??

----------

## comio

```

ssh utente@IPDELLAMACCHINA

```

Ma dall'esterno il tuo pc è visibile in qualche modo? (almeno quella porta deve essere visibile)

ciao

----------

## comio

post per evitare di avere 666 post che porta male!

----------

## paperp

sono riuscito a collegarmi in locale come faccio a forwardare fuori dal mio router..avete qualche links??

----------

## koma

devi usare il manuale del tuo router. Noi non sappiamo quale sia..

----------

## codadilupo

 *paperp wrote:*   

> sono riuscito a collegarmi in locale come faccio a forwardare fuori dal mio router..avete qualche links??

 

allora... intanto dicci qual'e' il tuo router  :Wink: 

In seconda istanza, direi che puoi cercare qualcosa tipo "port forwarding" oppure "virtual server" (che va per la maggiore, nei modem/router per la fascia consumer). A questo punto non fai altro che dirgli, supponendo che la tua gentooBox sia 10.0.0.8

porta eserna    porta locale    IP_macchina

22                        22                     10.0.0.8

occhio che molti router richiedono che l'ip assegnato alla tua macchina sia statico, quindi: via il dhcpcd da /etc/conf/net  :Wink: 

P.S.: ovviamente l'ìp che dovrai ssh-accare sarà quello assegnato dal tuo provider al router, non quello della macchina ! 

P.S.: magari chiedi a qualche amico di provarescaricarsi putty (se ha windows) e provare a lanciare una sessione ssh da casa sua.

Coda

----------

## paperp

Grazie Coda avevo trovato il virtual server gli avevo fatto porta locale 22 porta lpubblica 22 IP quello statico della macchina , ho ssheccato ma mi dà connection refused..mannaggia.

comunque il router è un superlan della roper adsl.

----------

## neon

 *paperp wrote:*   

> Come faccio , veloce , veloce ad attivare ssh su gentoo [...] ?

 

Perchè [OT]???

----------

## codadilupo

 *paperp wrote:*   

> Grazie Coda avevo trovato il virtual server gli avevo fatto porta locale 22 porta lpubblica 22 IP quello statico della macchina , ho ssheccato ma mi dà connection refused..mannaggia.
> 
> comunque il router è un superlan della roper adsl.

 

da dove a dove hai lanciato la sessione ssh ?

ti faccio un esempio: tu hai un modem/router che ha due interfaccie di rete: una é la RJ45, l'altra é il doppino telefonico. Dal doppino telefonico ottieni l'indirizzo IP pubblico dal tuo provider ( es.: 214.168.234.244), alla RJ45 attacchi il tuo pc, assegnandogli l'ip statico della rete LAN tra il tuo router e il pc (es.: 10.0.0. :Cool:  su cui attivi il demone sshd con # /etc/init.d/sshd .

Ora, se da internet vuoi accedere al tuo pc, devi passare attraverso il router (che avrà l'ip LAN 10.0.0.2).

Quindi devi forwardare la porta  22   22   10.0.0.8 (porta pubblica porta privata IP  del pc). e poi, dall'esterno, cioe' da casa di un tuo amico/ufficio etc, dovrai lanciare ssh -l root 214.168.234.244 ... chiaro ?

Mi sa di no, a rileggerlo  :Wink: 

Coda

----------

## nomadsoul

 *paperp wrote:*   

> Grazie Coda avevo trovato il virtual server gli avevo fatto porta locale 22 porta lpubblica 22 IP quello statico della macchina , ho ssheccato ma mi dà connection refused..mannaggia.
> 
> comunque il router è un superlan della roper adsl.

 

questo succede se da dentro la tua rete locale provi a fare, assumendo che il tuo "ip internet" sia 80.0.0.1,

ssh user@80.0.0.1

e' impossibile che tu da dentro la tua lan ti connetta direttamente al' "ip internet" devi:

soluzione a:

sshaccarti su un fuori dalla lan e da li sshaccarti sul tuo "ip internet"

soluzione b:

chiedere ad un amico fuori dalla tua lan di sshaccarsi sul tuo "ip di internet"

semplice no?

EDIT

asd coda abbiamo postato assieme  :Razz: 

----------

## paperp

No , no , invece è chiarissimo , purtroppo non funge , infatti ho fatto delle prove dall'interno della lan tra pc diversi e tutto funge invece quando provo da un pc della lan ad uscire ed entrare con l'IP del provider mi dà connection refused sulla 22.

non capisco perchè.

P.S. ma se ho due pc dentro la lan tutti e due con il demone sshd attivo come faccio dall'esterno a collegarmi a quello che voglio , visto che verrebbe sempre ad esempio 

```
ssh root@80.120.1.1
```

??

----------

## paperp

Ok afferrato , ma il problema di come scegliere il pc dentro la lan come lo risolvo??

----------

## codadilupo

 *paperp wrote:*   

> Ok afferrato , ma il problema di come scegliere il pc dentro la lan come lo risolvo??

 

é il virtual server !! Se hai scelto:

```
porta pubblica    porta privata        IP (LAN) del pc

22                          22                          10.0.0.8
```

quando dai # ssh -l root 213.44.12.12 sarà la porta 22 del pc 10.0.0.8 a rispondere, e se il pc in questione ha sshd attivo, allora ti chiederà l'autenticazione etc.. capito  :Wink:  ?

Coda

----------

## prada

...ovvero il port forwarding del router se impostato così manda tutti i pacchetti che mandi sulla porta 22 al pc con ip 10.0.0.8. se vuoi avere ssh su più macchine hai 2 possibilità:

- puoi collegarti via ssh dal pc a cui sei appena collegato dall'esterno (10.0.0. :Cool:  al pc (10.0.0.X) che vuoi raggiungere

- aggiungi un port forwarding che da una porta diversa da 22 (a caso) faccia il forwarding sull'ip 10.0.0.X. Dall'esterno dovrai poi collegarti on ssh alla porta che hai scelto e impostato nel router (quella a caso) credo che l'opzione per la porta sia -p porta ma per qusto c'è il man. Magari scrivi su un foglio i vari forwarding che imposti sennò finisce che ti colleghi al pc sbagliato.

Spero si capisca qualcosa...

----------

## paperp

Si la cosa comincia ad essere piuttosto chiara adesso provo!!

Ciaouzzz.

Fiigo , funge ,stò lavorando sul mio macinino a casa...

Domanda: le trasmissioni sono criptate , ma ci sono altri sistemi o accorgimenti per essere eventualmente più sicuri??

----------

## fedeliallalinea

 *paperp wrote:*   

> Domanda: le trasmissioni sono criptate , ma ci sono altri sistemi o accorgimenti per essere eventualmente più sicuri??

 

Piu' che mandare le cose criptate....

----------

## randomaze

 *paperp wrote:*   

> omanda: le trasmissioni sono criptate , ma ci sono altri sistemi o accorgimenti per essere eventualmente più sicuri??

 

Mettilo su una porta > 30000.

Ti evita un pò di sporcizia nei log (leggi: gente che prova ad entrare con password tipo root/root, root/admin e simili).

Poi volendo puoi mettere su un meccanismo di knocking, puoi appoggiarti alla scuola di pensiero di chi non permette l'accesso di root, puoi limitare l'accesso solo a chi possiede una certa chiave....

----------

## paperp

Ok right , ma è giusto lavorare direttamente in  root , o meglio entrare root,passare utente e poi utilizzare sudo??

Tranqui non sono affato paranoico devo solo capire.

Buona giornata Fedele.

----------

## randomaze

 *paperp wrote:*   

> Ok right , ma è giusto lavorare direttamente in  root , o meglio entrare root,passare utente e poi utilizzare sudo??
> 
> Tranqui non sono affato paranoico devo solo capire.
> 
> Buona giornata Fedele.

 

Se la macchina é acessibile solo dall'utente P4p3r0 l'eventuale attaccante deve indovinare anche la login, se invece c'é un utente classico (ad esempio "root") che può accedere deve indovinare solo la password. Però in questo modo per diventare root devi digitare la password sulla amcchina e, se il solito eventuale attaccante é già dentro, ad esempio con un keylogger, scoprirebbe tale password.

IMHO, per un uso casalingo sono paranoie....

----------

## Danilo

 *paperp wrote:*   

> Ok right , ma è giusto lavorare direttamente in  root , o meglio entrare root,passare utente e poi utilizzare sudo??
> 
> Tranqui non sono affato paranoico devo solo capire.
> 
> Buona giornata Fedele.

 

Io entro da user e poi su -

Visto che cominci uora-uora a lavorare in remoto ti consiglio di usare screen. Fa una ricerca sul forum italiano per vedere cosa sia cosi':  dopo un comando ti puoi detachare e se cade la linea nel mezzo di un emerge il tuo serverino continua a lavorare.

----------

## paperp

Screen , ovvero?

apropo , visto che il serverino stà dietro un alice con ip dinamico , se mi cadesse la linea dalla parte del serverino , e quando torna su l'IP è cambiato , che fò??  :Shocked: 

----------

## mouser

Allora, tieni conto che e' molto improbabile che un utente cerchi di collegarsi al tuo pc.

E' invece molto probabile che un software cerchi di farlo e, come insegna la scuola matrix, i programmi seguono delle regole specifiche.

In questi casi i programmi cosa fanno:

1) Scannano le tue porte aperte: c'e' la 22? Probabilmente hai un demone ssh attivo

2) Fanno una serie di tentativi di login basati su blacklist, cioe' su dizionari di associazione user->password comuni; e quindi

```

user: root

pass: root

failed

user: root

pass: admin

failed

...

```

e cosi' via. Terminati senza successo questi, in genere tentano la strada del bruteforcing della password; e quindi

```

user: root

pass: aaaaa

failed

user: root

pass: aaaab

failed

...

```

E cosi' via fino a che non arrivano a provare l'ultima combinazione esistente.

Questo fa pensare ad qualche soluzione

1) Evitare di dare l'accesso con ssh a root: questa login e' standard: se per sfiga ti ritrovi con la password di root in un dizionario o veloce da indovinare, ti cucchi uno user con privilegi da amministratore

2) Inserire lettere minuscole, maiuscole e numeri *anche* nella login: alcuni software fanno un bruteforcing della login.

E quindi se di base utilizza una metodologia del tipo:

```

# ssh -l M4rt1n1dRy 214.168.234.244 

password: R1s8_3m0l4nte      (ps: si legge "risotto tremolante" :lol: )

$ su -

password:

#

```

Allora chi vuole entrare deve riuscire a trovare:

1) Username con cui fare il login

2) Password di questo username

3) Password di root

Sono 3 "parole" da indovinare contro la singola password di root!!!!

Mi sembra la cosa piu' sicura!!!!

ps: La cosa' piu' sicura e', oltre a quella appena descritta, non far girare sshd sulla porta 22  :Cool: 

Spero di essere stato chiaro

Ciriciao

mouser  :Wink: 

----------

## paperp

...very , very stimolante!!

Proverò appena torno a casa oppure dopo , suppongo che devo cambiare il file di config di sshd giusto??

----------

## Danilo

 *paperp wrote:*   

> Screen , ovvero?

 

In sostanza se apri un telnet su una macchina e ti cade la linea i processi che hai lanciato vengono killati.

Con screen :

1) Ti connetti (via telnet) (se occorre andare di root cambi user)

2) lanci screen 

3) lanci il comando che ti interessa (pensa ad un esync o un emerge update lungo) in background (es. esync &)

3)Detachi screen (screen -d)

A questo punto se cade la linea o chiudi il tuo telnet  i programmi in background sulla macchina server non vengono killati (perche' appartengono a screen che hai preventivamente detachato dal telnet )

Quando ti serve ANCHE da una macchina client diversa rilanci screen con l'opzione -r (reattach) e ti ritrovi  con il (diciamo) telnet che aveva dato il comando.

A volte lancio dall'ufficio una ricompilazione -> la macchina di casa e poi a casa verifico come e' andata...

Comunque fa una ricerca per screen sul forum italiano (ed il man sembra essere esaustivo)

 *paperp wrote:*   

> apropo , visto che il serverino stà dietro un alice con ip dinamico , se mi cadesse la linea dalla parte del serverino , e quando torna su l'IP è cambiato , che fò?? 

 

In questo caso ti att..cchi  :Wink: 

Io se mio server si sconnette chiamo mia moglie che mi fa restartare la macchina (non e' pratica), in fase di startup la macchina si connette e comunica a www.dyndns.org il nuovo indirizzo ip ed io via web lo posso vedere e rifare la connessione via ssh.

Vi sono altri sistemi piu' comodi ovviamente ma non ho il tempo di trovarli (es check periodico con un ping e rifacimento della connessione ecc ecc ecc )

----------

## Cazzantonio

 *randomaze wrote:*   

>  se il solito eventuale attaccante é già dentro, ad esempio con un keylogger, scoprirebbe tale password.

 

Se l'attaccante  è già dentro sono già cazzi... comunque non gli servono i permessi di root per fare keylogging?

comunque se metti la porta ssh su un numero diverso non dovresti avere problemi... (deve indovinare anche la porta, oppure fare un portscan)

P.S.

ci sono metodi per evitare anche il portscan (ci dovrebbe essere un post di fonderia digitale su come impostare un serverino casalingo) ma forse sono un po' da paranoia nel tuo caso

----------

## paperp

sorry , ma se da dove mi collego il pc mi và in sleep o si spenge , il processo viene automaticamente killato??

non ditemi di si!!

----------

## Danilo

 *paperp wrote:*   

> sorry , ma se da dove mi collego il pc mi và in sleep o si spenge , il processo viene automaticamente killato??
> 
> non ditemi di si!!

 

Cosa intendi in sleep?

Se il client si spegne come ti avevo accennato TUTTI i processi del server figli del telnet  con il quale ti sei connesso vengono killati: screen e' un modo per evitarlo...

Per screen ti consiglio una ricerca sul forum italiano ed un paio di prove.

Anche in locale (da konsole o altro terminale) va bene...

----------

## paperp

..intendevo lo sleep di os x che nn spenge i processi , ma liaddormenta , ma mi sa che non cambia , il processo viene killato.

M'informarò su screen e lo userò in abbianmento con ssh.

Grazie per adesso.  :Sad: 

----------

## fedeliallalinea

 *paperp wrote:*   

> M'informarò su screen e lo userò in abbianmento con ssh.

 

https://forums.gentoo.org/viewtopic.php?t=265002

----------

## cagnaluia

ho seguito un pò la discussione...

quello che volevo chiedere è:

SE il mio provider non mi fornisce un ip STATICO/PUBBLICO, come posso ovviare il problema?

----------

## gutter

 *cagnaluia wrote:*   

> 
> 
> SE il mio provider non mi fornisce un ip STATICO/PUBBLICO, come posso ovviare il problema?

 

Puoi usare uno dei servizi di dns dinamico, ad esempio http://www.dyndns.org/

----------

## kaosone

per lo statico basta dyndns , per il pubblico puoi usare ssh inverso

```

ssh -R 2048:127.0.0.1:22 remotehost

```

```

ssh 127.0.0.1 -p 2048
```

----------

## cagnaluia

perche su rc-update show vedo sshd e sshd2 .... come tolgo il secondo?

un altra cosa... quando avvio la macchina.. e parte il servizio ssh... quest ultimo mi mostra le opzioni come se facessi --help

----------

## Truzzone

[quote="Cazzantonio"] *randomaze wrote:*   

>  ....
> 
> P.S.
> 
> ci sono metodi per evitare anche il portscan (ci dovrebbe essere un post di fonderia digitale su come impostare un serverino casalingo) ma forse sono un po' da paranoia nel tuo caso

 

Scusate se mi intrometto, qualcuno ha il link che non riesco a trovarlo?  :Question: 

Grazie

Ciao by Truzzone  :Smile: 

----------

## gutter

Mi pare si parlasse di portsentry, vedi se lo trovi usando questa come keyword.

----------

