Il 18/01/2014 01:27, Ennio-Sr ha scritto: > Riprendo questo vecchio post per ringraziarti nuovamente: dopo aver > 'studiato' un po' sono riuscito a stabilire il collegamento VPN e ad > entrare nel PC da remoto, anche con un iPad ;-) > Ma ... > > * onetmt <one...@gmail.com> [100114, 09:09]: [...]
>> trovi una guida qui: >> >> http://openvpn.net/index.php/open-source/documentation/miscellaneous/77-rsa-key-management.html >> > > Davvero ottima: c'è tutto (o quasi) ciò che si deve sapere (a patto di > avere le idee più chiare su ciò di cui si sta parlando (e io non le > avevo!) > >> [...] [...] >> In questo caso, io ho usato un tunnel tcp sulla porta 443. Se hai creato [...] > > Hai scelto 443 per motivi di sicurezza o altro? Altro; un tunnel sulla 443 - normalmente usata da https - mi ha permesso per i primi tempi di collegarmi all'ufficio dalla Cina; purtroppo devono avermi sgamato (e con me la milionata di persone che usa le vpn ai server europei per accedere a twitter e fb) e hanno istruito il "great (fire)wall" a bloccare anche la 443 :( > --------------------------------- > > Come dicevo nel 'subject', ho avuto la soddisfazione di collegarmi ma mi > sorgono altri dubbi, questa volta sulla sicurezza: > > 1.= Ho fatto le prime prove creando certificati e chiavi su 'A' (un PC > secondario della mia rete casalinga), ho copiato il client.conf su > 'C' e da quest'ultimo (collegato su altra rete) ho stabilito il > tunnel VPN ed ho verificato che potevo accedere ad 'A' con ssh. Forse sarebbe stato meglio usare un'altra macchina - non coinvolta nelle attività 'protocollari' - come CA, anche una macchina virtuale. Onestamente non saprei spiegarti perche', ma mi sembra di aver letto da qualche parte che e' piu' sicuro cosi'. > > 2.= Visto che funzionava, ho semplicemente copiato certificati e chiavi > di cui sopra su mio PC principale 'B' (lasciando com'era il > client.conf in 'C' ed ho visto che potevo collegarmi a 'B' > > Ora mi chiedo: se qualcuno dall'esterno si impossessasse dei file di cui > sopra (ossia tutto il contenuto di 'easy-rsa' oltre a client e > server.cert), potrebbe naturalmente fare altrettanto!? Si'; e anche se ti ruba il PC. E se poi insieme al portatile ti ruba le chiavi di casa... > > 3.= Nei due file di configurazione ho inserito le righe 'user nobody' e > 'group nogroup', ma riesco egualmente a diventare 'root' dopo aver > collegato 'C' a 'B'. > Mi pare di aver letto che quelle istruzioni servivano ad evitare > proprio questo. Allora, non ho capito io oppure c'è qualcosa che non > va? Mmh, qui non ci sono arrivato; ti ho gia' detto che non sono un guru della sicurezza? Scherzi a parte, mi ero ripromesso di tornare su questi argomenti, tipo blindare il certificato con una passphrase e impedire aumenti di privilegi sul server, ma queste ottime intenzioni so tutte finite nella mia todo list :) > > 4.= Stabilito il collegamento ssh con iPad ho provato ad accedere a X, > ovviamente senza successo. Immagino che girando l'iPad su sistema > con caratteristiche diverse non sia possibile > l'<export DISPLAY=":0">, vero? Boh? Non sono un fan della mela, e mi accontento di un ssh da console :D > > Grazie dell'attenzione, Ennio > > Felice di esserti stato di un qualche aiuto, Carlo -- Hofstadter's Law: "It always takes longer than you expect, even when you take into account Hofstadter's Law." -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52da98b2.7060...@gmail.com
