Gate One è un nuovo progetto di Liftoff Software e consiste in un emulatore del terminale per HTML5 e JavaScript. Non richiede altri plugin e funziona con tutti i browser più recenti: sfruttando i WebSocket e un server scritto in Python permette l’utilizzo di SSH. Gate One 0.9 è la prima beta pubblica, rilasciata con licenza AGPLv3.
Il terminale può essere integrato in altre applicazioni e supporta dei plugin esterni in CSS, JavaScript o Python. Le sessioni via SSH possono essere duplicate, senza reinserire le proprie credenziali: include un sistema di segnalibri per tenere traccia delle sessioni avviate. Il server integrato permette l’aggiornamento “al volo”.
Arrestando il server di Gate One, infatti, non si perdono le connessioni già avviate a un terminale da SSH. Il progetto supporta i sistemi di Single Sign-On con Kerberos, il logging (opzionalmente su syslog) e la registrazione delle sessioni. Gate One ammette l’uso del protocollo sicuro HTTPS. Lo sviluppo è merito di Dan McDougall.
Via | The H Open
Sshuttle è un proxy trasparente che rende possibile accedere a tutta una rete remota utilizzando una connessione SSH. Il programma non ha requisiti particolari per la macchina di destinazione a cui vi connettete a parte la presenza di un’installazione funzionante di Python.
Il programma può diventare utile nel seguente caso d’uso:
Ieri è stata annunciata la nuova versione di OpenSSH: OpenSSH 5.4.
Oltre alle piccole migliorie, correzioni di bug e la disabilitazione predefinita per il protocollo sshv1 è stata finalmente integrata la modalità “netcat”. Fino alla precedente versione se volevate connettervi ad una macchina non raggiungibile direttamente doveva utilizzare lanciare netcat come “ProxyCommand“.
Ora non sarà più necessario e basterà utilizzare il parametro -W per rendere le cose più semplici: “ssh -W host:port ...”
Via | OpenSSH
Se avete una macchina con una porta aperta come ssh verso internet avrete notato una quantità spropositata di accessi tentati e falliti.
Ci sono tantissimi malware che provano ad intrufolarsi in computer mal configurati con password deboli. Dando per scontato che vi serva mantenere la porta aperta la prima e più utile soluzione è abilitare esclusivamente l’accesso via chiave pubblica con PubkeyAuthentication yes in sshd_config.
Per evitare di dover scorrere inutilmente log chilometrici potreste anche limitare le connessioni. Esistono software come fail2ban o denyhosts, ma potete implementare tutto usando semplicemente iptables.
Continua a leggere: Limitare le connessioni SSH e tarpitting
Sslh è un multiplexer che vi consente di ricevere connessioni HTTPS e SSH sulla medesima porta.
Per esempio è possibile continuare ad offrire le pagine criptate sulla porta 443 e consentire l’accesso via ssh sempre su quella porta. Utile quando siete limitati da firewall su cui non avete controllo.
Questo software è stato scritto ispirandosi ad una precedente versione in perl. Chi usa debian lo può trovare già pacchettizzato.
In questi giorni è stata rilasciata l’ennesima versione stabile di Tor, l’applicazione per il browsing anonimo (o, quasi) in rete: Tor 0.2.1.21 risolve alcuni problemi legati alla connettività via SSH riscontrati su sistemi UNIX/Linux. La release è considerata stabile ed è disponibile per il download su tutte le piattaforme.
Secondo il changelog completo sono stati risolti alcuni bug relativi alla negoziazione con OpenSSL – che comunque richiede che Tor certifichi di utilizzare il protocollo SSL in maniera sicura per funzionare – ed è stato corretto anche il problema relativo all’upload di un numero elevato di byte, che causava il crash dell’applicazione.
A cambiare sono anche i certificati d’autenticità (per cui Tor sottolinea che sia il caso di rileggerne i termini, essendo stati modificati dall’ultimo consenso accertato). Altri bugfix minori riguardano le singole versioni del client e la compilazione su Fedora 12 — che non dovrebbe più dare problemi di sorta.
Ssh è un componente fondamentale per l’accesso sicuro ai computer.
Nonostante la sicurezza con cui è stato ideato è una buona cosa mettere in pratica delle regole per evitare spiacevoli sorprese. Cibercity ha realizzato un elenco di 20 punti che spiegano come chiudere le connessioni inattive e l’uso di chiavi pubbliche per l’accesso.
Più interessante invece è l’uso di software specifici per chiudere la porta a chi effettua brute forcing o l’uso del firewall per limitare le connessioni da un determinato indirizzo ip.
Via | Cibercity
Il progetto MonkeySphere ha lo scopo di migliorare la sicurezza delle autenticazioni con openssh utilizzando OpenPGP.
Quando si usa ssh c’è sempre il problema di ottenere il fingerprint di un server attraverso un canale sicuro e verificarlo alla prima connessione. Un passo che in molti purtroppo saltano.
Monkeysphere è un progetto che utilizza GnuPG come PKI per openssh consentendo di semplificare la gestione delle chiavi. Potete consultare la guida per gli admin o per gli utenti per maggiori informazioni.
Via | MonkeySphere
Può capitare di avere accesso ad alcune macchine solo dopo essersi loggati attraverso una terza macchina.
Ssh dispone di una comoda funzionalità, ProxyCommand, utile in casi simili per semplificare ed automatizzare tutta la procedura di login. Mike Hommey, uno sviluppatore Debian, ha scritto un’interessante guida per generalizzare il concetto e permettere login nidificati senza limiti.
Dopo aver aggiunto nella configurazione di ssh il codice che trovate dopo il salto potrete loggarvi su server remoti, magari all’interno di vostre reti riservati, usando la seguente sintassi: ssh login1%host1:port1+login2%host2:port2+host3:port3 -l login3
In tema di pacchettizzazione possiamo distinguere le distribuzioni che preferiscono lasciare inalterati i pacchetti da quelle che optano per una personalizzazione massiccia degli stessi. La personalizzazione dei sorgenti non è di per sé un problema ma, quando la modifica introduce una grave vulnerabilità, gli effetti di tale decisione ricadono anche su tutte le distribuzioni derivate.
Questo è quanto accaduto al pacchetto openssl in Debian, modificato da uno sviluppatore per correggere un errore riscontrato durante l’analisi con Valgrind. Peccato che la modifica abbia reso vulnerabili tutte le chiavi crittografiche generate su un’installazione di Debian Etch (e derivate).
A seguire, le conseguenze in dettaglio e le soluzioni al problema.
Utilizzare SSH per amministrare da remoto un server unix-like è talmente comodo che quando si è obbligati a farne a meno ci sente un po’ sperduti; fortunatamente grazie a progetti come Web Console possiamo utilizzare una shell anche quando questa non c’è, a patto di avere a disposizione (sul server da gestire) un demone http e l’interprete Perl.
WebConsole si comporta quasi meglio di una shell tradizionale: oltre a sfruttare AJAX per fornire il tab completion (ed SSL per la sicurezza dei dati in transito), WebC (WC non è un acronimo molto carino 
) integra infatti anche un file manager, un tool per la gestione di download/upload di file ed un editor di testo!
WebConsole è rilasciata con licenza GPL.
via | Linux.com
Ligi alla missione di rendere il mondo un luogo più sicuro ed incuranti della festività del 1° maggio, gli sviluppatori di OpenBSD hanno annunciato il rilascio della versione 4.3 del noto sistema operativo “secure by default” (due sole vulnerabilità nell’installazione di default, come amano ripetere).
Le novità sono distribuite su vari fronti, da quello delle piattaforme hardware (è ora possibile sfruttare l’SMP su sparc64 e mvme88k, miglioramenti al port sgi e hppa) a quello delle periferiche vere e proprie (lo sterminato elenco dei driver aggiunti e/o aggiornati è riportato nel changelog), passando per l’introduzione di nuovi tool (snmpd e pcidump) e l’aggiornamento di “volti noti” (OpenSSH con supporto chroot, OpenNTPD, OpenBGPD e gli altri Open*).
Per una panoramica completa consiglio di dare uno sguardo all’annuncio ufficiale ed alla classica intervista di Federico Biancuzzi gli sviluppatori coinvolti in questo rilascio.
via | OSNews
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
