[ml] Massima sicurezza in OpenSSH

----- Forwarded message from procypher <procypher(at)gmail.com> -----
From: procypher <procypher(at)gmail.com>
To: ml(at)sikurezza.org
Subject: Massima sicurezza in OpenSSH

Ciao a tutta la lista,
colgo l'occasione per ringraziare tutti coloro che vi partecipano e coloro i
quali hanno partecipato ai convegni presso l'Infosecurity a

Milano.
Molto interessante.

Avrei qualche domanda da fare su OpenSSH.
In particolare vorrei utilizzare la versione 2 del protocollo con
autenticazione basata su chiavi RSA a 2048 bit.
Vorrei arrivare ad avere sulle mie macchine il livello di sicurezza pi? alto
possibile.

Procedendo con ordine:

1) Come posso criptare tramite passphrase la chiave privata del client
(generata tramite il comando ssh-keygen -b 2048 -t rsa) in AES256

invece che il 3DES di default?
Devo compilare opportunamente OpenSSH da sorgenti oppure lo si pu? fare in
seguito?
E poi, in che punto del filesystem ? meglio salvarle?

2) Cosa significa la voce 'ChallengeResponseAuthentication' in
/etc/ssh/sshd_config?

3) Le fasi di una trasmissione in SSHv2 sono:

- Handshake iniziale con scambio di chiavi pubbliche tra client e server
- Instaurazione di un canale sicuro tramite chiave simmetrica
- Autenticazione
- Trasporto dati effettivo
- Rinegoziazioni successive delle chiavi per scongiurare attacchi.

Ho qualche dubbio sulla prima fase, che ? anche la pi? delicata ai fini
della sicurezza.
Qualcuno saprebbe elencare in ordine e minuziosamente la catena di processi
che avvengono tra client e server in SSHv2 con

PubkeyAuthentication in RSA?In particolare lo scambio dei certificati
pubblici.
Differenze tra PubkeyAuthentication di SSHv2 ed RSAAuthentication di SSHv1?
? vero che utilizzando PubkeyAuthentication diventa persino ragionevole
accedere come root? Ponendo PermitRootLogin without-password?
In Internet ho trovato molto materiale ma come spesso avviene ? parziale e
ho notato confusione tra le varie fonti che mischiano i due

protocolli 1 e 2.Oltre alle contraddizioni e ai vari copia e incolla fatti
tra fonti mezze giuste e mezze sbagliate.

4) Quali permessi consigliate di dare ai file ssh_config, sshd_config,
/.ssh/authorized_keys, e alle stesse chiavi RSA di client e server?

5) Il comando ssh-copy-id copia la chiave pubblica del client in
/.ssh/authorized_keys sul server per permetterne il riconoscimento.
Come puo essere sicuro se precede l'instaurazione di una autenticazione
forte?Utilizza il riconoscimento a fingerprint!? lo stesso di

default!? ci? che voglio evitare con SSH...

6)Se volessi mettere il server SSHD in ascolto verso la LAN interna sulla
porta 22 e in WAN sulla x>1024 cosa consigliate di scrivere in

/etc/ssh/sshd_config?
Sulla documentazione di Ubuntu c'? scritto:

Port 22
Port 2222

Basta cos?? Io ho provato ma dall'esterno entro tramite entrambe.

Sono stato prolisso, scusate.

Ciao

----- End forwarded message -----