Accesso via JUMPHOST SSH
L'accesso alle workstation Linux interne è disponibile anche attraverso un SSH Jump Host : jump.fbk.eu utilizzando autenticazione basata su chiavi.
Per accedere al servizio si deve spedire la propria chiave pubblica ssh come allegato e-mail a HELP-IT@fbk.eu indicando nel soggetto : "SSH via jump host access request". La chiave deve essere in formato openssh format ed il file deve avere nome: <fbk_login_name>.pub. La stessa chiave va inserita in ~/.ssh/authorized_keys del computer destinazione per evitare ulteriori richieste di password. Le chiavi ssh-dss (DSA) non sono supportate a causa della loro debolezza. Per la massima compatibilità usare le chiavi RSA.
Linux/Unix/Mac openssh
Da Windows 10 1803 in poi, openssh è installato per impostazione predefinita. Per le versioni precedenti a Windows 10 1803, deve essere installato. La directory di configurazione .ssh si trova in $ENV:HOMEPATH/ per powershell o %HOMEPATH% per cmd. Vedi config_jump_w10 come esempio di file di configurazione ssh di Windows 10.
Per accedere a <hostname>.fbk.eu con la propria chiave pubblica di default (usualmente id_rsa.pub ) il comando ssh e':
ssh -J <fbk_login_name>@jump.fbk.eu <fbk_login_nam>@<hostname>.fbk.eu
second line
Per utilizzare una diversa chiave ssh (jump_key) la sintassi del comando è:
Una soluzione più flessibile è creare un file di configurazione separato, config_jump:
#
# Define the jumphost
#
Host fbkjumphost
Hostname jump.fbk.eu
User <fbk_login_name>
#
# Specify a non default private key
#
IdentityFile ~/.ssh/private_key_file
#
# Match all host except jumphost
#
Host * !fbkjumphost
Hostname %h
#
# Force user name
#
User <fbk_login_name>
#
# Specify a non default private key
#
IdentityFile ~/.ssh/private_key_file
Proxy fbkjumphost da utilizzare nel comando con
ssh -F config_jump <hostname>.fbk.eu</hostname>
NB: -J, -o, -F devono precedere ogni altra opzione
Linux/Unix/Mac/Windows10 scp
La sintassi della copia via ssh (Secure copy) con la chiave di default è:
scp -o ProxyJump=<fbk_login_name>@jump.fbk.eu local_patch <fbk_login_name>@<hostname>.fbk.eu:remote_path
mentre con una chiave pubblica separata il comando diventa
scp -o ProxyCommand="ssh -i ~/.ssh/jump_key -W %h:22 <fbk_login_name>@jump.fbk.eu" - i~/.ssh/jump_key local_path <fbk_login_name>@<hostname>.fbk.eu:remote_path local_path
Più semplice è la copia via file di configurazione config_jump:
scp -F config_jump local_path <fbk_login_name>@<hostname>.fbk.eu:remote_path
NB: -o, -F devono precedere ogni altra opzione
Linux/Unix/Mac/Windows10 rsync
Per utilizzare il remote sync con la chiave di default, di deve aggiungere al comando rsync:
--rsh "ssh -J <fbk_login_name>@jump.fbk.eu -l <fbk_login_name>"
Per utilizzare il remote sync con una chiave diversa:
--rsh "ssh -o ProxyCommand='ssh -i ~/.ssh/jump_key -W %h:22 <fbk_login_name>@jump.fbk.eu' - i ~/.ssh/jump_key -l <fbk_login_name>"
Il remote sync con file configurazione richiede di aggiungere al comando rsync:
--rsh "ssh -F config_jump"
Generazione chiavi SSH Linux/Mac/Windows
Il processo prevede la generazione di una coppia di file di chiavi SSH contenenti una chiave privata e una chiave pubblica. La chiave privata deve essere conservata solo nel computer dell'utente; la chiave pubblica verrà distribuita ai server remoti. Gli utenti devono prestare particolare attenzione a non perdere la chiave privata. Una chiave privata persa non può essere replicata; pertanto, l'utente non può accedere al server remoto fino a quando non viene generata una nuova coppia di chiavi e ridistribuita la chiave pubblica.
Per creare e salvare i file delle chiavi SSH da una shell o da un Terminale, si utilizza il comando ssh-keygen; vedi l'esempio seguente:
test @ demo: ~ $ ssh-keygen
Generazione di coppie di chiavi rsa pubbliche / private.
Inserisci il file in cui salvare la chiave (/home/test/.ssh/id_rsa):
Directory creata '/home/test/.ssh'.
Inserisci passphrase (vuoto per nessuna passphrase)
Le chiavi vengono salvate in una posizione predefinita ( $HOME/.ssh/id_rsa) o, se ne è stata specificata uno, con un nome diverso. La chiave pubblica ha il suffisso .pub.
La passphrase è una password locale per proteggere ulteriormente la chiave privata e non viene mai inviata al server remoto. Se una chiave privata viene rubata è inutile senza la passphrase. Una passphrase vuota è fortemente scoraggiata.
Usare il comando man ssh-keygen per ulteriori informazioni.
Ulteriori riiferimenti
Istruzioni più dettagliate si possono trovare in Jump Hosts -- Passing Through a Gateway, con man ssh and man ssh_config sotto linux o ricercando con Google "ssh jump host".
Windows openssh
Da Windows 10 1803 in poi, openssh è disponibile come riga di comando. Può essere avviato da cmd.exe o powershell.exe. Suggeriamo di installare il nuovo terminale da Microsoft: https://github.com/microsoft/terminal disponibile anche da Microsoft Store.
Windows Putty
Su Windows 10/11 consigliamo di utilizzare il client openssh integrato.
PuTTY puo' utilizzare il jump host con la sua utility plink.exe utility. Per configurare il jump host:
- Una sola volta in un shell CMD lanciare plink.exe <fbk_login_name>@jump.fbk.eu, memorizzare la chiave ed ignorare il messaggio di errore: Fatal Error.
- Caricare la chiave ssh di accesso in Pageant.
Aprire in PuTTY una New Session. In Session , inserire Host Name (or IP address) (<hostname>.fbk.eu) e Port (22) o del host destinazione .
- Sotto Connection, selezionare Proxy, sotto Proxy type selezionare Local. Aggiungere jump.fbk.eu sia in Proxy Hostname che in Exclude Hosts/IPS
- Nella stessa schermata Proxy, aggiungere il proprio <fbk_login_name> come Username ( il campo Password è ignorato);
- Cancellare il contenuto di Telnet command, or local proxy command e sostituirlo con:
plink.exe %user@%proxyhost -agent -nc %host:%port
%user viene sostituito da Username , %proxyhost da Proxy Hostname , %host da Host Name (or IP address).
Per una descrizione completa di Putty vedere Putty.
Generazione chiavi SSH con Putty
Per la generazione ed utilizzo delle chiavi ssh in Putty sotto windows: Use SSH Keys With PuTTY On Windows oppure https://www.ssh.com/ssh/putty/windows/puttygen.
La chiave pubblica utilizzata dal Jump Host deve essere in formato SSH. In PuTTYgen, copiare il contenuto del campo "Public key for pasting into OpenSSH authorized keys file" (Chiave pubblica da incollare nel file delle chiavi autorizzate OpenSSH) e salvarlo su un file; questa è la chiave pubblica.
Windows WinSCP
WinSCP puo' importare ed utilizzare Putty configurations.
Ogni configurazione JumpHost di Putty viene trasformata nell'importazione in una configurazione scp via JumpHost con WinSCP.
Come per Putty la chiave ssh deve essere prima inserita in Pageant.
La configurazione manuale di JumpHost si trova in Advanced Site Settings, sezione Connection->Proxy
Windows MobaxTerm
Su Windows 10 e Windows 11 consigliamo di utilizzare il client openssh integrato.
MobaXterm puo' utilizzare un jump host per collegarsi.
Creata una sessione, in Basic SSH Settings si deve inserire <hostname>.fbk.eu as Remote host, abilitare Specify Username e aggiungere <fbk_login_name>. in Advanced SSH Settings abilitare Use private e scegliere la relativa chiave ssh (formato openssh).
Infine in Network Settings definire jump.fbk.eu come Gateway SSH server, specificare <fbk_login_name> come User, abilitare Use private key e scegliere la relativa chiave ssh (formato openssh).
GENERAZIONE DI CHIAVI SSH CON MOBAXTERM
Per la generazione ed utilizzo delle chiavi ssh in MobaxTerm vedere la documentazione ufficiale: https://mobaxterm.mobatek.net/documentation.html#6_3_2
Messaggi di errore
Messaggi di errore comuni sono:
- <login_name>@jump.fbk.eu: Permission denied (publickey).
La chiave ssh privata inviata non corrisponde alla chiave pubblica registrata per l'host di salto, controllare il comando. - Received disconnect from 217.77.82.20 port 22:2: Too many authentication failures.
Tutte le chiavi ssh private trovate in $ HOME / .ssh / vengono inviate al server una alla volta. Per evitare un attacco basato sulle chiavi, dopo 3 tentativi l'host di salto nega l'accesso. Utilizzare le direttive IdentitiesOnly e IdentityFile (vedere man ssh config) o il file di configurazione alternativo sopra descritto. - Login prompt from internal host
La chiave ssh pubblica registrata per l'host di salto non e' presente nel $HOME / .ssh_authorized_keys nel server interno.
Per messaggi di errore differenti, inviare una notifica a help-it@fbk.eu.
BASTION
L'accesso remoto alle workstation interne è disponibile senza l’ausilio di alcuna VPN tramite browser connettendosi a bastion.fbk.eu con le proprie credenzili FBK.
I tipi di protocollo supportati sono: SSH, VNC o RDP.
Per accedere al servizio inviare un e-mail a HELP-IT@fbk.eu con soggetto "Add new connection on Bastion" e specificando le seguenti informazioni:
- Tipo di protocollo: VNC, SSH o RDP
- Nome della workstation a cui ci si vuole collegare
- Porta di ascolto vncserver precedentemente configurata dall’utente (Solo per connessioni VNC)
Una volta processata la richiesta verrà resa disponibile al richiedente la connessione alla workstation: essa sarà quindi visibile su bastion.fbk.eu
Richiesta connessione VPN
I metodi di accesso alla rete trusted FBK descritti in precedenza coprono la maggior parte delle esigenze degli utenti FBK.
Se fosse necessario necessario l'uso della connessione in VPN, l'utente deve mandare un'email ad help-it@fbk.eu con soggetto "Richiesta abilitazione VPN", specificando:
- perchè vuole usare la connessione in VPN
- se il computer dal quale apre la connessione è autogestito o gestito da FBK
DOMANDE E DUBBI FREQUENTI
F.A.Q.
Come faccio a connettermi alla rete di FBK da casa/università?
per connettersi alla rete trusted FBK, nella maggior parte dei casi, si possono usare BASTION e JUMPHOST. Per particolari esigenze, mandare un e-mail a help-it@fbk.eu.