Topic: Accesso al server SME con chiave OPEN SSH

[Lord Quicksilver]

Ciao a tutti.
E' un po' di giorni che lo SME mi fa i calzetti, dà strani errori qua e là e non ho idea da cosa possano dipendere. Tipo che se espando una template che sono 2 anni che espando (quella di smb.conf, che ogni tanto modifico quando aggiuno una ibay), da qualche tempo il file smb.conf rimane tale e quale, cioè la mia template viene del tutto ignorata. E no, non è un problema di permessi. Ma non divagherò oltre.

Oggi mi è venuta la bellissima idea di cambiare le impostazioni di accesso ssh e passare dall'obsoleto metodo di inserire username e password nella schermata di login di putty, all'usare delle nuove e fiammanti key pubbliche e private. Ho preso questa decisione perchè da casa non riesco più a collegarmi al server SME in ufficio. E' semplicemente successo, e non ho idea del perchè. Quando provo ad entrare da remoto putty mi dice "Connection refused". Invece dalla rete locale riuscivo a loggare.

Allora ho seguito questo how-to: http://wiki.contribs.org/SSH_Public-Private_Keys , che rimanda a quest'altra pagina http://www.carrollweb.net/putty/putty-howto.html , che non esiste più. Comunque alla fine dell'how-to credo che hai tutte le info che ti servono.
Grosso modo quel che ho fatto è stato:
- aprire PuttyGen, muovere un po' il mouse, creare la mia chiave pubblica e quella privata;
- copiare il testo della chiave dalla finestrella di PuttyGen in un file "authorized_keys" messo nella dir .ssh della mia home su SME, con relativi permessi et similia;
- convertire la chiave privata ssh in chiave open ssh usando sempre PuttyGen.

Poi sono andato da SME e gli ho detto (tramite server-manager, e lo specifico perché a me server-manager fa i calzetti, ma non sapevo come altro fare), dicevo gli ho detto nelle impostazioni di accesso remoto di consentire ad ssh accesso pubblico (intera internet), concedere accesso amministrativo, non consentire accesso con password standard e come porta ho messo 1978.

Infine apro putty, vado su connections -> ssh -> auth e gli do la chiave open ssh, imposto una nuova sessione con host 192.168.1.1, porta 1978 e connection type ssh, dopodiché clicco su "open" e comincia a dirmi che è "unable to locate ssh key" o qualcosa del genere (mea culpa, non ho copiato il testo di errore). Allora smanetto un po' nelle impostazioni del server manager -> accesso remoto, perché so che fa i calzetti, provo a cambiare porta e metto la 1973, poi torno su putty, cambio la sessione aggiornando la porta, provo a ricollegarmi e adesso, anche da rete locale, la risposta è diventata "connection refused". E ovviamente da remoto è rimasta sempre "connection refused".

Chiamo l'esorcista?

Federico

[Incognito]

Da esperienze personali con openssh conviene generare le chiavi sul server sme ed importarla in putty

[Stefano]

Ciao a tutti.
E' un po' di giorni che lo SME mi fa i calzetti, dà strani errori qua e là e non ho idea da cosa possano dipendere. Tipo che se espando una template che sono 2 anni che espando (quella di smb.conf, che ogni tanto modifico quando aggiuno una ibay), da qualche tempo il file smb.conf rimane tale e quale, cioè la mia template viene del tutto ignorata. E no, non è un problema di permessi. Ma non divagherò oltre.

Tralascio tutto il resto.. mi pare che ci siano dei problemi.. ora: sei CERTO che quella macchina sia ok (i.e. non compromessa)? offre servizi all'esterno? hai roundcube installato?

prendi in considerazione l'idea di fare un sano backup e di reinstallarla da 0, se non hai tempo/voglia di indagare.. lo consiglio controvoglia (la reinstallazione è l'extrema ratio alla quale non mi piace ricorrere), ma non vedo molte alternative.

Ciao
Stefano

[Lord Quicksilver]

Da esperienze personali con openssh conviene generare le chiavi sul server sme ed importarla in putty

Ok, dopo ci provo e ti saprò dire. Il mex connection refused comunque non mi fa ben sperare... Per non parlare del fatto che comunque la procedura che ho seguito è quella dell'how-to "ufficiale" di contribs....

Tralascio tutto il resto.. mi pare che ci siano dei problemi.. ora: sei CERTO che quella macchina sia ok (i.e. non compromessa)? offre servizi all'esterno? hai roundcube installato?

prendi in considerazione l'idea di fare un sano backup e di reinstallarla da 0, se non hai tempo/voglia di indagare.. lo consiglio controvoglia (la reinstallazione è l'extrema ratio alla quale non mi piace ricorrere), ma non vedo molte alternative.

Ciao
Stefano

Sì ci stavo pensando da un po' di tempo, ma vorrei evitare di farlo, non tanto per il disturbo (ho un serverino piccolo piccolo) quanto perché poi vado in depressione.
La macchina è ok? Boh, non saprei. I servizi funzionano, quello sì. Il web server, nonostante tutto, va benone, i siti web sono sempre disponibili, i contenuti cgi funzionano, mysql funge, qmail funge, spamassasin funge, ssh in locale funge, il file server non dà grossi problemi (a parte che non riesco più a espandere smb.conf) ecc.

Io ho come l'impressione di aver qualche casino più a livello utente, come root, piuttosto che a livello macchina. Cioè la macchina sembra andare, ma è quando io come utente provo a far partire qualche cosa, che nascono i problemi. Magari ho fatto un po' di casini con i file di configurazione della bash, potrebbero spiegare molti problemi. Forse rimettendo in /root/ tutti i vari bashrc ecc. "originali" le cose migliorerebbero? Nel caso come li rimedio, stanno sul cd di installazione?
Dovrei usare il famigerato

Code: [Select]

/etc/e-smith/events/actions/initialize-default-databases in questo caso?


PS: roundcube non l'ho mai installato
PPS: non voglio farmi prendere dallo sconforto, dopo faccio un po' di prove per capire meglio dov'è l'inghippo

Ciao e grazie
Federico

[Lord Quicksilver]

Allora, grossi passi in avanti per ora non ne ho fatti, cmq stanotte mi è arrivato un warning di RKHunter che dice queste testuali parole:

Code: [Select]

         Warning: The SSH and rkhunter configuration options should be the same:
         SSH configuration option 'PermitRootLogin': yes
         Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
In effetti ieri fra i vari tentativi effettuati ho anche ripristinato l'accesso da root da server-manager (so che non si dovrebbe, ma non sapevo che pesci pigliare).

Ah, e siccome non l'avevo specificato in questo post, uso SME 7.4.

Ciao
Federico

[Stefano]

Allora, grossi passi in avanti per ora non ne ho fatti, cmq stanotte mi è arrivato un warning di RKHunter che dice queste testuali parole:

Code: [Select]

         Warning: The SSH and rkhunter configuration options should be the same:
         SSH configuration option 'PermitRootLogin': yes
         Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
In effetti ieri fra i vari tentativi effettuati ho anche ripristinato l'accesso da root da server-manager (so che non si dovrebbe, ma non sapevo che pesci pigliare).

Ah, e siccome non l'avevo specificato in questo post, uso SME 7.4.

Ciao
Federico

quel warning lo ricevo anche io tutte le notti da tutti i server.. ma non me ne preoccupo..

sopra hai parlato di "siti web".. con cosa sono fatti? cms? sono bucabili? li tieni aggiornati?

Ciao
Stefano

[Lord Quicksilver]

Ciao, per quanto riguarda la bucabilità non saprei dirti. Hanno poca roba, un paio usano formmail, un altro paio un modulo che si chiama php mailer che fa lo stesso di formmail, poi altra roba non ce n'è, il resto è tutto xhtml e un po' di flash (roba basica, animazioni e basta).
Posso dirti che ho lasciato le impostazioni di base di SME, ovvero l'accesso al server-manager è in https, l'accesso ftp è disabilitato, e via dicendo, ma sulla bucabilità dei siti non sono molto ferrato.

Comunque stanotte stavo leggendo la SME Server Developer Guide in cerca di hints, e ho trovato questo riferimento a cui non avevo fatto caso in passato:

Code: [Select]

Note that a firewall hole is only opened if three things are true - the service has a TCPPort (or UDPPort) definition, the service is set to public access, and the service is enabled. Allora, siccome a me quando provo a collegarmi con SSH in remoto SME mi risponde con connection refused, stavo pensando che forse il firewall mi lascia fuori per qualche motivo, e l'unico plausibile che mi viene in mente, dal momento che in locale funziona, è che il secondo requirement sia falso, ovvero che per qualche motivo il servizio non sia più settato su public access.
Adesso verifico sta cosa.

Intanto sto dando un'occhiata anche qui: http://forums.contribs.org/index.php/topic,39873.0.html

Intanto grazie per il supporto

Ho aggiornato questo post perchè mi ero scordato di inserire delle info

Ciao
Federico

[Lord Quicksilver]

Bene, ho seguito il consiglio di Incognito, e ho generato le chiavi da SME invece che da puttyGen.
Adesso in locale riesco a loggare con la chiave, direi che è un bel risultato.
Dopo da casa provo da remoto.

Intanto grazie mille per il consiglio

Ciao
Federico

[Stefano]

Ciao, per quanto riguarda la bucabilità non saprei dirti. Hanno poca roba, un paio usano formmail, un altro paio un modulo che si chiama php mailer che fa lo stesso di formmail, poi altra roba non ce n'è, il resto è tutto xhtml e un po' di flash (roba basica, animazioni e basta).

verifica SEMPRE le versioni ed eventuali vulnerabilità di quanto gira sul tuo server.. formmail se non erro è stato bucato uno zilione di volte..

per il resto attendiamo buone nuove..

ciao
Stefano

[Lord Quicksilver]

Bene, le buone nuove sono che con la chiave generata da SME, funziona tutto, sia l'accesso da locale che quello da remoto. La chiave generata da PuttyGen, invece, dà come risultato un errore che dice che SME non ha trovato nessun protocollo in grado di gestire la chiave. Dopo da casa riprovo a collegarmi e ve lo scrivo per bene, questo errore. Tenetene conto se usate l'how-to che ho usato io.
Per quanto riguarda Formmail, lo tengo d'occhio, sicuro. Tramite i log della posta, per ora brutti scherzi non me ne ha fatti. Comunque hai ragione, e appena ho un attimo di tempo lo cambio con php mailer, che è un programmino che si scarica qui: http://phpmailer.sourceforge.net/ e che vi consiglio perché è molto facile da installare e da usare, e imho il php è più semplice del perl, almeno a questi livelli
Gli altri problemini che avevo li ho risolti un po' alla volta, con molta pazienza.
C'era una porta sbagliata sulle NAT del router, per esempio, e da lì mi veniva una connection refused a dir poco weird.
Poi c'è il mio router che è una vecchia sola e non sa cosa sia GRE, e quindi addio PPTP. Ma anche questa si risolve.
Il problema della template che non si espande più invece ancora non l'ho risolto, ma conto di farcela.
Insomma senza entrare nei dettagli, di robettine così ce ne possono essere migliaia, e l'unica soluzione è armarsi di tanta, tantissima pazienza, usare google ma soprattutto questo forum, dove c'è sempre gente splendida che ti dà una mano.

Grazie a tutti