9.2. Accesso remoto

È essenziale per un amministratore essere in grado di connettersi ad un computer remoto. I server, confinati nella propria stanza, sono raramente dotati di tastiere e monitor permanenti, ma sono connessi alla rete.

9.2.1. Accesso remoto sicuro: SSH

Il protocollo SSH (Secure SHell) è stato progettato tenendo a mente sicurezza ed affidabilità. Le connessioni con SSH sono sicure: il partner è autenticato e tutti gli scambi di dati sono cifrati.

VOCABOLARIO Autenticazione, cifratura

Quando è necessario dare ad un client la possibilità di condurre o attivare azioni su un server, la sicurezza è importante. È necessario verificare l'identità del client, questa è l'autenticazione. Questa identità di solito consiste in una password o di una passphrase (frase di accesso) che deve essere tenuta segreta, o qualsiasi altro client potrebbe ottenerla. Questo è lo scopo della cifratura, che è una forma di codifica che consente a due sistemi di comunicare informazioni riservate su un canale pubblico, proteggendole dall'essere leggibili ad altri.

L'autenticazione e la cifratura sono spesso menzionate insieme, sia perché esse sono spesso usate insieme, sia perché sono di solito implementate con simili concetti matematici.

SSH offre anche due servizi di trasferimento di file. scp è uno strumento a riga di comando che può essere utilizzato come cp, tranne che qualsiasi percorso a un altro computer è fatto precedere dal nome della macchina, seguito da due punti (":").

$ file macchina scp:/tmp/

sftp is an interactive command, similar to ftp. In a single session, sftp can transfer several files, and it is possible to manipulate remote files with it (delete, rename, change permissions, etc.). Many FTP clients, including filezilla, support it.

Debian utilizza OpenSSH, una versione libera di SSH, mantenuta dal progetto OpenBSD (un sistema operativo libero basato sul kernel BSD, incentrato sulla sicurezza) e fork del software originale SSH sviluppato dalla società finlandese SSH Communications Security Corp. Questa società ha inizialmente sviluppato SSH come software libero, ma alla fine ha deciso di continuare il suo sviluppo sotto una licenza proprietaria. Il progetto OpenBSD quindi ha creato OpenSSH per mantenere una versione free di SSH.

FONDAMENTALEFork

Un "fork", in materia di software, significa un nuovo progetto che inizia come un clone di un progetto esistente, e che compete con esso. Da lì in poi, entrambi i software di solito divergono rapidamente in termini di nuovi sviluppi. Un fork è spesso il risultato di disaccordi all'interno del team di sviluppo.

L'opzione di fare il fork di un progetto è una diretta conseguenza della natura stessa del software libero, un fork è un evento sano quando permette la continuazione di un progetto come software libero (per esempio in caso di cambiamenti nella licenza). Un fork derivante da divergenze tecniche o personali è spesso uno spreco di risorse umane; un'altra soluzione sarebbe preferibile. Fusioni di due progetti che in precedenza hanno attraversato un fork non sono inedite.

OpenSSH è diviso in due pacchetti: la parte client è nel pacchetto openssh-client, mentre il server è nel pacchetto openssh-server. Il metapacchetto ssh dipende da entrambe le parti e facilita l'installazione di entrambi (apt install ssh), mentre il pacchetto task-ssh-server, spesso scelto durante prima installazione del sistema, dipende soltanto dal pacchetto contenente il server.

9.2.1.1. Autenticazione basata su chiave

Ogni volta che qualcuno si collega tramite SSH il server remoto richiede una password per autenticare l'utente. Questo può essere problematico se si vuole automatizzare una connessione, o se si utilizza uno strumento che richiede collegamenti frequenti su SSH. È per questo che SSH offre un sistema di autenticazione basato su chiave.

Si può generare una coppia di chiavi sulla macchina client usando ssh-keygen -t rsa; la chiave pubblica così generata è salvata in ~/.ssh/id_rsa.pub, mentre la corrispondente chiave privata è salvata in ~/.ssh/id_rsa. Si può poi utilizzare ssh-copy-id server per aggiungere le sue chiavi pubbliche al file ~/.ssh/authorized_keys presente sul server, o, se l'accesso SSH non è ancora stato abilitato, si deve chiedere all'amministratore di aggiungerle manualmente.

Se la chiave privata non è stata protetta con una "passphrase" al momento della sua creazione, tutti gli accessi successivi sul server funzioneranno senza una password. In caso contrario, la chiave privata dovrà essere decifrata ogni volta inserendo la "passphrase". Fortunatamente, ssh-agent ci permette di mantenere in memoria le chiavi private in modo da non dover reinserire continuamente la password. Per questo, è sufficiente utilizzare ssh-add (una volta per ogni sessione di lavoro), a condizione che la sessione sia già associata ad un'istanza funzionante di ssh-agent. Debian la attiva come impostazione predefinita nelle sessioni grafiche, ma è possibile disattivare questo comportamento cambiando /etc/X11/Xsession.options e commentando use-ssh-agent. Per una sessione della console, è possibile avviare l'agent manualmente tramite eval $(ssh-agent).

SICUREZZA Protezione della chiave privata

Chi ha la chiave privata può effettuare il login sull'account così configurato. Per questo motivo l'accesso alla chiave privata viene protetto da una "passphrase". Chi viene in possesso di una copia di una chiave privata (ad esempio, ~/.ssh/id_rsa) deve comunque sapere questa frase per essere in grado di utilizzarla. Questa protezione aggiuntiva non è, tuttavia, inespugnabile, e se si pensa che questo file è stato compromesso, è meglio disabilitare la chiave sui computer in cui è stata installata (rimuovendola dal file authorized_keys) e sostituendola con una nuova chiave generata.

CULTURA Problemi di OpenSSL in Debian Etch

La libreria OpenSSL, come inizialmente fornita in Debian Etch, aveva un problema serio nel suo generatore di numeri casuali (RNG). Infatti, il manutentore Debian ha fatto un cambiamento in modo che le applicazioni che la usavano non generassero più avvertimenti quando erano analizzati con strumenti di test di memoria, come valgrind. Sfortunatamente, questo cambiamento comportava anche che la RNG impiegasse una sola fonte di entropia, corrispondente al numero di processo (PID) i cui possibili 32.000 valori non offrono abbastanza casualità.

→ https://www.debian.org/security/2008/dsa-1571

Nello specifico, quando OpenSSL veniva impiegato per generare una chiave, produceva sempre una chiave all'interno di un insieme noto di centinaia di migliaia di chiavi (32.000 moltiplicato per un piccolo numero di lunghezze di chiave). Questo riguardava le chiavi SSH, le chiavi SSL ed i certificati X.509 utilizzati da numerose applicazioni, come ad esempio OpenVPN. Un cracker doveva quindi solo provare tutte le chiavi per ottenere un accesso non autorizzato. Per ridurre l'impatto del problema, il demone SSH è stato modificato in modo da rifiutare le chiavi problematiche che sono elencate nei pacchetti openssh-blacklist e openssh-blacklist-extra. Inoltre, il comando ssh-vulnkey consente l'identificazione delle chiavi eventualmente compromesse nel sistema.

Un'analisi più approfondita di questo incidente mette in luce che è il risultato di molteplici (piccoli) problemi, sia all'interno del progetto OpenSSL, che con il responsabile del paccheto Debian. Una libreria ampiamente utilizzata come OpenSSL non dovrebbe — senza modifiche — generare avvisi quando viene testata da valgrind. Inoltre, il codice (in particolare quelle parti tanto delicate come la RNG) dovrebbe essere commentate meglio per evitare questi errori. Da parte sua il reponsabile del pacchetto Debian, vuole confermare le sue modifiche dagli sviluppatori di OpenSSL, ma le ha semplicemente spiegate senza fornire loro la corrispondente patch da revisionare ed ha omesso di mesionare il suo ruolo all'interno di Debian. Infine, le scelte di manutenzioneerano sub-attimali: le modifiche fatte al codice originale non sono state chiaramente documentate; tutte le modifiche sono effettivamente memorizzate in un repository Subversion, ma sono finite tutte concentrate in una singola patch durante la creazione del pacchetto sorgente.

In queste condizioni è difficile trovare le misure correttive per evitare il ripetersi di questi incidenti. La lezione da trarre è che ogni divergenza che Debian introduce nel software originale deve essere giustificata, documentata, presentata nel progetto principale, quando possibile, e ampiamente pubblicizzata. È in base a questa prospettiva che sono stati sviluppati il nuovo formato dei pacchetti sorgente ("3.0 (quilt)") ed i servizi web dei sorgenti Debian.

→ https://sources.debian.org

9.2.1.2. Autenticazione basata su certificato

Le chiavi SSH non possono essere protette soltanto con una password (o senza). Una caratteristica spesso sconosciuta è che è possibile firmarle tramite un certificato, sia la chiave dell'host che quella del client. Questo approccio presenta diversi vantaggi. Al posto di mantenere un file authorized_keys per utente, come descritto nella sezione precedente, il server SSH può essere configurato per dare fiducia a tutte le chiavi dei client firmate dallo stesso certificato (vedere anche Sezione 10.2.2, «Infrastruttura a chiave pubblica: easy-rsa») usando le direttive TrustedUserCAKeys e HostCertificate presenti in /etc/ssh/sshd_config.

TrustedUserCAKeys /etc/ssh/ssh_users_ca.pub

HostKey /etc/ssh/ssh_host_ecdsa_key
HostCertificate /etc/ssh/ssh_host_ecdsa_key-cert.pub

Viceversa i client possono essere anche configurati per fidarsi delle chiavi degli host firmate dalla stessa autorità, rendendo più semplice il mantenimento del file known_hosts (anche a livello di sistema tramite /etc/ssh/known_hosts).

@cert-authority *.falcot.com ssh-rsa AAAA[..]

Le autenticazioni con chiave pubblica e con certificato possono essere usate contemporaneamente.

9.2.1.3. Combining authentication methods

Besides the already mentioned password based, key based, and the certificate based authentication, other methods like using a TOTP exist as well. Not only is this an abundance of options. They can also be combined. On the server side, the AuthenticationMethods directive can define an order of authentication methods a user has to successfully pass, before they are allowed to enter the system. It is even possible to define multiple alternative sequences:

AuthenticationMethods publickey,password publickey,keyboard-interactive:pam

This setting, for example, allows users to login after initially completing the public key authentication, followed by either a successful password authentication or entering a valid TOTP set up via PAM. On the user side, the sequence of methods can be defined using the PreferredAuthentications directive.

9.2.1.4. Utilizzo di applicazioni X11 remote

The SSH protocol allows forwarding of graphical data (“X11” session, from the name of the most widespread graphical system in Unix); the server then keeps a dedicated channel for those data. Specifically, a graphical program executed remotely can be displayed on the X.org server of the local screen, and the whole session (input and display) will be secure. Since this feature allows remote applications to interfere with the local system, it is disabled by default. You can enable it by specifying X11Forwarding yes in the server configuration file sshd_config(5) or by prepending the public key with the X11-forwarding keyword in the authorized_keys(5) file. Finally, the user must also request it by adding the -X option to the ssh command-line.

APPROFONDIMENTO Cookie magici in .Xauthority

Quando ci si connette tramite SSH e si avvia una sessione X11 remota, viene creato un cosiddetto cookie magico che viene salvato nel file .Xauthority della directory home dell'utente che ha avviato la connessione. Questo cookie è usato da xauth per autenticare l'utente durante la sessione X. Se si impersona un altro utente del sistema, ad esempio usando su o sudo, allora il cookie non è copiato automaticamente sull'utente impersonato e il server X si rifiuterà di avviare applicazioni grafiche nel contesto di quest'ultimo utente. Si deve copiare il cookie magico nella directory home di questo utente (tramite l'esportazione e la reimportazione del cookie con xauth) per permettergli di eseguire programmi grafici durante la sessione X.

9.2.1.5. Creazione di tunnel cifrati con il port forwarding

Le opzioni -R e -L consentono a ssh di creare "tunnel cifrati" tra due macchine, inoltrando in modo sicuro una porta TCP locale (vedere il riquadro FONDAMENTALE TCP/UDP) ad un computer remoto o viceversa.

VOCABOLARIO Tunnel

Internet, e la maggior parte delle LAN che vi sono collegate, opera in modalità a pacchetto e non in modalità connessa, il che significa che un pacchetto emesso da un computer verso un altro verrà fermato in vari router intermedi per trovare la strada verso la destinazione. È ancora possibile simulare il funzionamento in collegamento in cui il flusso è racchiuso in pacchetti IP normali. Questi pacchetti seguono il loro percorso abituale, ma il flusso viene ricostruito invariato a destinazione. Questo viene chiamato "tunnel", analogo ad una galleria stradale in cui i veicoli viaggiano direttamente dall'ingresso (input) all'uscita (output) senza incontrare alcun incrocio, al contrario di un percorso sulla superficie che comporterebbe incroci e cambiamenti di direzione.

È possibile utilizzare questa opportunità per aggiungere la cifratura al tunnel: il flusso che scorre attraverso di esso è quindi irriconoscibile dall'esterno, ma viene riportato alla forma decifrata all'uscita del tunnel.

ssh -L 8000:server:25 intermediario stabilisce una sessione SSH con l'host intermediario e ascolta sulla porta locale 8000 (vedere Figura 9.3, «Inoltro di una porta locale con SSH»). Per ogni connessione stabilita su questa porta, ssh avvierà una connessione dal computer intermediario alla porta 25 sul server legando insieme entrambe le connessioni.

Anche ssh -R 8000:server:25 intermediario stabilisce una sessione SSH al computer intermediario, ma è in questa macchina che ssh è in ascolto sulla porta 8000 (vedere Figura 9.4, «Inoltro di una porta remota con SSH»). Ogni connessione stabilita sulla porta farà sì che ssh aprirà una connessione dalla macchina locale alla porta 25 del server legando insieme entrambe le connessioni.

In entrambi i casi, le connessioni sono realizzate sulla porta 25 dell'host server, e passano attraverso il tunnel SSH stabilito tra la macchina locale e la macchina intermediario. Nel primo caso, l'ingresso del tunnel è locale sulla porta 8000, ed i dati si muovono verso la macchina intermediario prima di essere diretti al server sulla rete "pubblica". Nel secondo caso, l'ingresso e l'uscita del tunnel sono invertiti, l'ingresso è la porta 8000 sulla macchina intermediario, l'uscita è sulla macchina locale, ed i dati vengono poi indirizzati al server. In pratica, il server è di solito o la macchina locale o l'intermediario. In questo modo SSH rende sicura la connessione da un'estremità all'altra.

Figura 9.3. Inoltro di una porta locale con SSH

Figura 9.4. Inoltro di una porta remota con SSH

9.2.2. Utilizzo di desktop remoti grafici

VNC (Virtual Network Computing) permette l'accesso remoto a desktop grafici.

Questo strumento è usato soprattutto per l'assistenza tecnica; l'amministratore può visualizzare gli errori che l'utente si trova ad affrontare, e mostrargli la cosa corretta da fare, senza dover essere fisicamente presente.

In primo luogo, l'utente deve autorizzare la condivisione della sessione. L'ambiente desktop grafico GNOME include questa opzione tramite Impostazioni → Condivisioni (contrariamente alle precedenti versioni di Debian dove si doveva installare ed eseguire vino). Per far sì che questo funzioni occorre che network-manager stia gestendo la rete utilizzata (ad esempio abilitare la modalità managed (gestita) per dispositivi gestiti da ifupdown in /etc/NetworkManager/NetworkManager.conf). KDE Plasma richiede ancora l'uso di krfb per consentire la condivisione di una sessione esistente tramite VNC. Per gli altri ambienti desktop grafici, il comando x11vnc o i comandi tightvncserver (dal pacchetto Debian con lo stesso nome) o tigervncserver (tigervnc-standalone-server) servono per lo stesso scopo e forniscono il pacchetto virtuale vnc-server; è possibile renderli entrambi disponibili per l'utente con un elemento esplicito del menu o del desktop.

Quando la sessione grafica è messa a disposizione da VNC, l'amministratore deve connettersi con un client VNC. GNOME fornisce vinagre e remmina per questo scopo, mentre KDE include krdc (nel menu K → Internet → Client per connessione a desktop remoto). Ci sono altri client VNC che utilizzano la riga di comando, come ad esempio xtightvncviewer nel pacchetto omonimo o xtigervncviewer dal pacchetto tigervnc-viewer. Una volta connesso, l'amministratore può vedere cosa sta succedendo, lavorare sulla macchina in remoto e mostrare all'utente come procedere.

SICUREZZA VNC su SSH

Se si desidera connettersi a VNC, e non si desidera che i dati siano trasmessi in chiaro sulla rete, è possibile incapsulare i dati in un tunnel SSH (vedere la Sezione 9.2.1.5, «Creazione di tunnel cifrati con il port forwarding»). È sufficiente sapere che VNC usa la porta 5900 per impostazione predefinita per il primo schermo (chiamato "localhost: 0"), 5901 per il secondo (chiamato "localhost: 1"), ecc.

Il comando ssh -L localhost:5901:localhost:5900 -N -T macchina crea un tunnel tra porta locale 5901 nell'interfaccia localhost e la porta 5900 della macchina host. Il primo "localhost" limita SSH in modo che ascolti solo sull'interfaccia della macchina locale. Il secondo "localhost" indica l'interfaccia sul computer remoto che riceverà il traffico di rete in entrata su "localhost:5901". Così vncviewer localhost:1 collegherà il client VNC allo schermo remoto, anche se si indica il nome della macchina locale.

Quando la sessione VNC è chiusa, bisogna ricordarsi di chiudere il tunnel, uscendo anche dalla corrispondente sessione SSH.