Ieri è stata annunciata la nuova versione di OpenSSH: OpenSSH 5.4.

Oltre alle piccole migliorie, correzioni di bug e la disabilitazione predefinita per il protocollo sshv1 è stata finalmente integrata la modalità “netcat”. Fino alla precedente versione se volevate connettervi ad una macchina non raggiungibile direttamente doveva utilizzare lanciare netcat come “ProxyCommand“.

Ora non sarà più necessario e basterà utilizzare il parametro -W per rendere le cose più semplici: “ssh -W host:port ...”

Via | OpenSSH

Continua a leggere: OpenSSH 5.4 e la nuova modalità "netcat"

Se avete una macchina con una porta aperta come ssh verso internet avrete notato una quantità spropositata di accessi tentati e falliti.

Ci sono tantissimi malware che provano ad intrufolarsi in computer mal configurati con password deboli. Dando per scontato che vi serva mantenere la porta aperta la prima e più utile soluzione è abilitare esclusivamente l’accesso via chiave pubblica con PubkeyAuthentication yes in sshd_config.

Per evitare di dover scorrere inutilmente log chilometrici potreste anche limitare le connessioni. Esistono software come fail2ban o denyhosts, ma potete implementare tutto usando semplicemente iptables.

Continua a leggere: Limitare le connessioni SSH e tarpitting

Sslh è un multiplexer che vi consente di ricevere connessioni HTTPS e SSH sulla medesima porta.

Per esempio è possibile continuare ad offrire le pagine criptate sulla porta 443 e consentire l’accesso via ssh sempre su quella porta. Utile quando siete limitati da firewall su cui non avete controllo.

Questo software è stato scritto ispirandosi ad una precedente versione in perl. Chi usa debian lo può trovare già pacchettizzato.

Foto | angermann
Via | Rutschle

Continua a leggere: sslh, un ssl/ssh multiplexer

In questi giorni è stata rilasciata l’ennesima versione stabile di Tor, l’applicazione per il browsing anonimo (o, quasi) in rete: Tor 0.2.1.21 risolve alcuni problemi legati alla connettività via SSH riscontrati su sistemi UNIX/Linux. La release è considerata stabile ed è disponibile per il download su tutte le piattaforme.

Secondo il changelog completo sono stati risolti alcuni bug relativi alla negoziazione con OpenSSL – che comunque richiede che Tor certifichi di utilizzare il protocollo SSL in maniera sicura per funzionare – ed è stato corretto anche il problema relativo all’upload di un numero elevato di byte, che causava il crash dell’applicazione.

A cambiare sono anche i certificati d’autenticità (per cui Tor sottolinea che sia il caso di rileggerne i termini, essendo stati modificati dall’ultimo consenso accertato). Altri bugfix minori riguardano le singole versioni del client e la compilazione su Fedora 12 — che non dovrebbe più dare problemi di sorta.

Continua a leggere: È stato rilasciato Tor 0.2.1.21

Ssh è un componente fondamentale per l’accesso sicuro ai computer.

Nonostante la sicurezza con cui è stato ideato è una buona cosa mettere in pratica delle regole per evitare spiacevoli sorprese. Cibercity ha realizzato un elenco di 20 punti che spiegano come chiudere le connessioni inattive e l’uso di chiavi pubbliche per l’accesso.

Più interessante invece è l’uso di software specifici per chiudere la porta a chi effettua brute forcing o l’uso del firewall per limitare le connessioni da un determinato indirizzo ip.

Via | Cibercity

Continua a leggere: 20 OpenSSH Server Best Security Practices

Il progetto MonkeySphere ha lo scopo di migliorare la sicurezza delle autenticazioni con openssh utilizzando OpenPGP.

Quando si usa ssh c’è sempre il problema di ottenere il fingerprint di un server attraverso un canale sicuro e verificarlo alla prima connessione. Un passo che in molti purtroppo saltano.

Monkeysphere è un progetto che utilizza GnuPG come PKI per openssh consentendo di semplificare la gestione delle chiavi. Potete consultare la guida per gli admin o per gli utenti per maggiori informazioni.

Via | MonkeySphere

Continua a leggere: Monkeysphere

Può capitare di avere accesso ad alcune macchine solo dopo essersi loggati attraverso una terza macchina.

Ssh dispone di una comoda funzionalità, ProxyCommand, utile in casi simili per semplificare ed automatizzare tutta la procedura di login. Mike Hommey, uno sviluppatore Debian, ha scritto un’interessante guida per generalizzare il concetto e permettere login nidificati senza limiti.

Dopo aver aggiunto nella configurazione di ssh il codice che trovate dopo il salto potrete loggarvi su server remoti, magari all’interno di vostre reti riservati, usando la seguente sintassi: ssh login1%host1:port1+login2%host2:port2+host3:port3 -l login3

Continua a leggere: Usare SSH attraverso proxy

In tema di pacchettizzazione possiamo distinguere le distribuzioni che preferiscono lasciare inalterati i pacchetti da quelle che optano per una personalizzazione massiccia degli stessi. La personalizzazione dei sorgenti non è di per sé un problema ma, quando la modifica introduce una grave vulnerabilità, gli effetti di tale decisione ricadono anche su tutte le distribuzioni derivate.

Questo è quanto accaduto al pacchetto openssl in Debian, modificato da uno sviluppatore per correggere un errore riscontrato durante l’analisi con Valgrind. Peccato che la modifica abbia reso vulnerabili tutte le chiavi crittografiche generate su un’installazione di Debian Etch (e derivate).

A seguire, le conseguenze in dettaglio e le soluzioni al problema.

Continua a leggere: Una patch mette in ginocchio Debian

Utilizzare SSH per amministrare da remoto un server unix-like è talmente comodo che quando si è obbligati a farne a meno ci sente un po’ sperduti; fortunatamente grazie a progetti come Web Console possiamo utilizzare una shell anche quando questa non c’è, a patto di avere a disposizione (sul server da gestire) un demone http e l’interprete Perl.

WebConsole si comporta quasi meglio di una shell tradizionale: oltre a sfruttare AJAX per fornire il tab completion (ed SSL per la sicurezza dei dati in transito), WebC (WC non è un acronimo molto carino ) integra infatti anche un file manager, un tool per la gestione di download/upload di file ed un editor di testo!

WebConsole è rilasciata con licenza GPL.

WebConsole
  
  
 

via | Linux.com

Continua a leggere: WebConsole: shell via webserver

Ligi alla missione di rendere il mondo un luogo più sicuro ed incuranti della festività del 1° maggio, gli sviluppatori di OpenBSD hanno annunciato il rilascio della versione 4.3 del noto sistema operativo “secure by default” (due sole vulnerabilità nell’installazione di default, come amano ripetere).

Le novità sono distribuite su vari fronti, da quello delle piattaforme hardware (è ora possibile sfruttare l’SMP su sparc64 e mvme88k, miglioramenti al port sgi e hppa) a quello delle periferiche vere e proprie (lo sterminato elenco dei driver aggiunti e/o aggiornati è riportato nel changelog), passando per l’introduzione di nuovi tool (snmpd e pcidump) e l’aggiornamento di “volti noti” (OpenSSH con supporto chroot, OpenNTPD, OpenBGPD e gli altri Open*).

Per una panoramica completa consiglio di dare uno sguardo all’annuncio ufficiale ed alla classica intervista di Federico Biancuzzi gli sviluppatori coinvolti in questo rilascio.

via | OSNews

Continua a leggere: OpenBSD 4.3 è qui

SSHMenu è una applet per GNOME che ci permette di memorizzare ed organizzare le nostre connessioni SSH: possiamo impostare descrizioni, separatori, sottomenù e qualsiasi altra cosa possa migliorarne la gestione.

Per ciascuna connessione possiamo inoltre indicare i colori ed il font del terminale, fattore di trasperenza e, come ciliegina sulla torta, anche dimensioni e posizioni della finestra.

Le più recenti versioni di SSHMenu sono composte da due pacchetti: il primo fornisce le funzionalità base ( indipendenti dal desktop ) mentre il secondo si occupa dell’integrazione con GNOME.

SSHMenu
  

Continua a leggere: SSHMenu: connessioni SSH a portata di click

Esaudendo una delle feature più richieste, il team di OpenSSH ha aggiunto la possibilità di “intrappolare” gli utenti all’interno di una determinata directory tramite una semplice voce nel file di configurazione; per agevolare ulteriormente la vita dei sysadmin la direttiva ChrootDirectory può essere accompagnata da ForceCommand, un’altra opzione che consente di forzare l’esecuzione di unico comando ( negando l’accesso alla shell, per esempio ).

Maggiori informazioni su ChrootDirectory sono disponibili su Undeadly.org.

Continua a leggere: OpenSSH introduce al supporto al chroot