OpenSSH
OpenSSH ti offre la possibilità di accedere da remoto e in maniera sicuro al tuo computer
Sviluppatore: Il Progetto OpenBSD
Licenza: BSD License
Web: http://www.openssh.com
Qui troverai tutte le pagine di supporto relative ad openSSH:
| Provato su openSUSE | Articoli consigliati | Articoli correlati | |||
|
|
|
|
||
Indice
Storia
OpenSSH venne creato dal team di OpenBSD come alternativa al software proprietario SSH. Gli sviluppatori di OpenSSH rivendicano una maggiore sicurezza del loro software rispetto all'originale, dovuto alla loro politica di produzione di codice pulito, revisionato e, come si evince dalla parola open nel nome del sofrware stesso, rilasciato sotto i termini della licenza opensource BSD. Sebbene anche il codice sorgente dell'originale SSH sia disponibile, il suo utilizzo e la sua distribuzione sono limitati da alcune restrizioni della licenza, rendendo in questo modo OpenSSH un progetto attraente per molti sviluppatori.
OpenSSH apparve per la prima volta in OpenBSD 2.6. L'ultima versione, la 6.0, è stata rilasciata il 22 Aprile 2012 [1].
Marchio registrato
(tratto da Wikipedia)
Nel Febbraio del 2001, Tatu Ylönen, Presidente e CTO di SSH Communications Security informò la mailing list di sviluppo di OpenSSH, openssh-unix-dev@mindrot.org, che dopo aver parlato con gli sviluppatori chiave di OpenSSH, Markus Friedl, Theo de Raadt e Niels Provos, la società avrebbe dovuto far valere la proprietà sui marchi SSH e Secure Shell al fine di proteggerli. Tatu inoltre chiese di modificare i riferimenti al protocollo in favore di SecSH o secsh, al fine di mantenere il controllo sui nomi. Infine, propose a OpenSSH di cambiare il proprio nome per evitare una citazione in giudizio; Theo de Raadt rifiutò categoricamente di considerare la possibilità di un cambio di nome.
In quel periodo, "SSH", "Secure Shell" e "ssh" erano termini usati nei documenti che proponevano il protocollo come standard aperto, ed era ipotizzato da molti che così facendo Tatu stesse cedendo ogni diritto di esclusiva su di essi, usati come mezzo per descrivere il protocollo. Questo perché negli Stati Uniti è necessario che i marchi registrati siano sempre usati in forma di aggettivo, mai di nome o verbo. Con un uso improprio di un marchio registrato, o permettendo ad altri di usare un marchio registrato non correttamente, si ha la riduzione del marchio stesso a termine generico, come per esempio Kleenex o Aspirina; cosa che apre l'utilizzazione del marchio a terzi, attraverso il pubblico dominio.
Nella discussione del contenzioso, ci si chiese se fosse il nome "ssh" ad essere registrabile, oppure solamente il logo formato dalle lettere minuscole "ssh"; inoltre pareva quantomeno strano che fossero trascorsi ben 6 anni tra la creazione dell'azienda di Ylönen e il momento in cui cominciò a rivendicare diritti sul marchio registrato, a sfavore di alternative libere come OpenSSH; e che solo OpenSSH ricevesse minacce di ripercussioni legali per la propria opera.
Sia gli sviluppatori di OpenSSH che lo stesso Ylönen erano membri del working group IETF sul nuovo standard; gruppo di lavoro che, dopo diverse sedute, respinse la richiesta di Ylönen di rinominare il protocollo, esprimendo la propria preoccupazione per il pericolo di creare cattivi precedenti a favore di altre acquisizioni di marchi registrati contro l'IETF. I partecipanti al working group decisero che sia Secure Shell che SSH erano termini generici e che non potevano essere marchi registrati
Portabilità
In parte perchè OpenSSH viene richiesto per effettuare un'autenticazione su un computer remoto, capacità che ha differenti implementazione a seconda del sistema operativo, è richiesta una importante infrastruttura per la portabilità. Anziché includerla direttamente in OpenBSD e OpenSSH, viene sviluppata separatamente dall'OpenSSH Portability Team e rilasciata come quelle che conosciamo "portable release" (rilasci portabili). Questo modello viene usato anche per altri progetti relativi ad OpenBSD, come, per esempio, OpenNTPD.
Software
In una normale installazione di openSUSE, il pacchetto OpenSSH è già installato. Questo pacchetto consiste nei seguenti programmi:
SSHD
Il demone SSH, utilizzato nella parte server del programma. Di norma, è già installato in openSUSE, ma non viene avviato automaticamente durante il processo di avvio. Per cambiare questa impostazione si può aprire YaST -> Servizi di Sistema (Runlevel), selezionare sshd nella lista e cliccare su abilita.
La porta di ascolto di default di SSHD è la 22. Assicurati che questa porta sia aperta sul firewall. Per altre possibili configurazione fai riferimento alla pagina Configurare openSSH
SSH
Questa, invece, è la parte client del software. Puoi usarla per effettuare il login su qualsiasi computer dove è attivo SSHD. A meno che non venga ristretto l'accesso.
SCP
SCP è basato su RCP. Permette all'utente di copiare file su un canale sicuro stabilito tra due computer. SCP non è interattivo, nel senso che devi sapere dov'è il file che vuoi copiare e ti devi accertare che il percorso di destinazione esista. E' un ottimo modo per trasferire velocemente un singolo file o una directory (in modalità ricorsiva) verso un altro computer. Se sei interessato ad un modo più interattivo di accedere, scaricare e inviare i tuoi file, probabilmente vorrai usare SFTP. Per saperne di più dai un'occhiata la pagina su come usare SCP.
SFTP
SFTP è stato progettato come rimpiazzo per FTP, sul quale non è basato. SFTP rende possibile il trasferimento interattivo di file tra due computer tramite un canale sicuro e crittografato. E' stato disegnato, quindi, per sostituire l'utilizzo di FTP attraverso un tunnel SSH, che può essere una cosa complicata. Per saperne di più dai un'occhiata alla pagina su come usare SFTP.
Tunnel sicuri / Port forwarding
La maggior parte dei programmi che sfrutta le connessioni tramite il protocollo TCP può passare attraverso tunnel sicuri usando OpenSSH. Questi possono essere usati per multiplexare più connessioni TCP addizionali su una singola connessione SSH, rendendosi utili per nascondere connessioni e protocolli crittografici che sarebbero altrimenti insicuri e per eludere i firewall. Le connessioni UDP possono, in alcuni casi, essere incanalate in un tunnel con l'aiuto di programmi come netcat. Tra i programmi facilmente incanalabili in un tunnel sicuro troviamo X Window System, HTTP usando un proxy e VNC. Un tunnel per X Window System viene solitamente creato automaticamente tra due computer Unix, in maniera che si possano avviare programmi con interfaccia grafica da remoto semplicemente scrivendo il loro nome.
Inoltre, alcuni software possono essere impostati per usare OpenSSH e fargli creare un tunnel. Per citare qualche esempio, abbiamo DistCC, CVS, rsync e fetchmail. Programmi dove l'utilizzo tramite tunnel sicuro è possibile ma complesso sono FTP, che può essere comunque sostituito da SFTP, e SMB. E' anche possibile montare filesystem tramite ssh usando sshfs.
OpenSSH ha tre tipi di configurazione per il tunneling:
- Local forward: permette al client di connettersi una porta del server;
- Remote forward: permette al server di connettersi su una porta del client;
- Dynamic forward: funziona come un proxy SOCKS ad-hoc, che si connette alle porte al voloM
- VPN basata su TUN: implementa una VPN OSI layer 2/3 basato su tun. Questa è la più flessibile delle capacità di tunnelling di OpenSSH, permette, infatti, alle applicazioni di accedere in maniera trasparente a risorse di rete remote senza la "socksficazione" (l'utilizzo di proxy SOCKS). Per saperne di più visita la pagina openSSH tunnel.
Metodi di autenticazione
Il server OpenSSH può autenticare utenti usando i suoi sistemi di autenticazione:
- Autenticazione con chiave pubblica,
- iterazione tramite la tastiera (inserimento password e challenge-response) e
- Kerberos/GSSAPI.
In aggiunta, OpenSSH può spesso fare uso di metodi di autenticazione addizionali disponibili sul suo sistema operativo ospite. Questo include l'uso del sistema di autenticazione di BSD (bsd_auth) oppure PAM per abilitare l'autenticazione attraverso metodi come one time password.
Vedere anche
- Portale dedicato all'accesso remoto in openSUSE
- SDB:Exporting the Graphical Output to a Remote Computer
- Securing openSUSE