In questa pagina viene presentato GnuPg, il sistema di crittografia predefinito di Ubuntu. Oltre al comando gpg verrà illustrato l’uso delle più comuni interfacce grafiche.

• GnuPG utilizza la crittografia a chiave pubblica per permettere a coloro che lo utilizzano di comunicare in sicurezza. In un sistema a chiave pubblica ogni utente ha una coppia di chiavi consistenti in una chiave privata e una chiave pubblica. La chiave privata di una persona viene tenuta segreta; non deve mai essere rivelata. La chiave pubblica può essere data a tutti coloro con i quali l’utente vuole comunicare.

Interfacce grafiche

Esistono diversi programmi che forniscono un’interfaccia grafica al sottosistema gpg. Di seguito ne vengono descritte alcuni di essi.

I programmi seguenti, possono essere utilizzati per generare le chiavi GPG.

Seahorse

Seahorse è lo strumento di gestione delle chiavi predefinito di Ubuntu.

Il programma, nelle ultime versioni di Ubuntu, è installato automaticamente. Nel caso in cui non sia presente, installare il pacchetto seahorse.

Kgpg

L’applicazione kgpg è un’interfaccia per KDE, utile agli utenti di Kubuntu.

Per installare il programma è sufficiente installare il pacchetto kgpg.

Generare una chiave

Dalla riga di comando

1. Aprire un terminale e digitare:

   gpg --gen-key

2. Apparirà una schermata di selezione con le seguenti opzioni:

   Please select what kind of key you want:
      (1) DSA and Elgamal (default)
      (2) DSA (sign only)
      (5) RSA (sign only)

   La scelta predefinita, «(1)», è la migliore, in quanto le altre non possono essere utilizzate per cifrare.

3. Verrà chiesto di scegliere una dimensione per la chiave:

   What keysize do you want? (2048)

   È consigliato lasciare l’impostazione predefinita.

4. Verrà chiesto di impostare una data di scadenza:

   Key is valid for? (0)

   Molte persone creano le proprie chiavi senza scadenza. Se si effettua tale scelta bisogna ricordarsi di revocare la chiave quando non la si usa più. Premere «Y» per continuare con il processo di configurazione.

5. Il passaggio successivo riguarda la creazione dell’identificativo:

   You need a user ID to identify your key; the software constructs the user ID
   from the Real Name, Comment and Email Address in this form:
       "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
   
   Real name: Dennis Kaarsemaker
   Email address: dennis@kaarsemaker.net
   Comment: Tutorial key
   You selected this USER-ID:
       "Dennis Kaarsemaker (Tutorial key) <dennis@kaarsemaker.net>"

1. Una volta verificata la correttezza delle informazioni inserite, premere «O» per generare la chiave. Verrà chiesto di inserire una passphrase:

   You need a Passphrase to protect your secret key.

   L’ideale sarebbe scegliere una breve frase difficile da indovinare. A differenza di una password, una passphrase può contenere anche degli spazi bianchi.

1. Una volta inserita la passphrase verrà avviato il processo di creazione della chiave . Seguire le istruzioni a video finché non si raggiunge una schermata simile alla seguente:

   gpg: key D8FC66D2 marked as ultimately trusted
   public and secret key created and signed.
   
   pub   1024D/D8FC66D2 2005-09-08
         Key fingerprint = 95BD 8377 2644 DD4F 28B5  2C37 0F6E 4CA6 D8FC 66D2
   uid                  Dennis Kaarsemaker (Tutorial key) <dennis@kaarsemaker.net>
   sub   2048g/389AA63E 2005-09-08

   L’ID della chiave nell’esempio è «D8FC66D2».

2. È buona norma configurare questa chiave come la chiave predefinita all’interno del file ~/.bashrc, in modo tale da specificare come automatico l’utilizzo di essa con le altre applicazioni che fanno uso del sistema GnuPg. Per fare ciò basta inserire nel file ~/.bashrc la riga:

   export GPGKEY=D8FC66D2

   La dicitura «D8FC66D2» va sostituita con il proprio ID.

3. Ora è necessario riavviare il servizio per la cifratura. A seconda del sistema in uso potrebbe essere necessario terminare uno dei due seguenti processi:
   • gpg-agent:

     killall -q gpg-agent
     eval $(gpg-agent --daemon)

   • seahorse-agent:

     killall -q seahorse-agent
     eval $(seahorse-agent --daemon)

4. Infine, eseguire questo comando:

   source ~/.bashrc

Certificato di revoca

Un certificato di revoca deve essere generato per consentire la revoca della propria chiave pubblica nel caso in cui la chiave privata sia stata compromessa.

Per creare un certificato di revoca, da terminale digitare:

gpg --output revoke.asc --gen-revoke <KEY-ID>

Caricare una chiave

Questa sezione contiene le istruzioni per inviare la propria chiave a un server di chiavi in modo che tutti possano scaricarla. Una volta caricata su un server, dopo un breve periodo di tempo, tutti gli altri server di chiavi avranno la propria firma. È possibile velocizzare questo procedimento spedendo la propria chiave a più server.

Inviare un chiave a un server con GnuPG

In un terminale digitare:

gpg --send-keys --keyserver keyserver.ubuntu.com <KEY-ID>

Inviare una chiave con un browser web

1. Esportare la propria chiave digitando il seguente comando:

   gpg --export -a "Key-ID" > public.key

   Verrà creato un file public.key contenente la propria chiave pubblica.

2. Aprire una browser e andare al seguente indirizzo: http://pgp.mit.edu
3. Incollare il contenuto del file public.key nella casella sotto la scritta «Submit a key», dunque fare clic su «Submit this key to the keyserver!».

Firmare una chiave

Il sistema di firma delle chiavi di gpg consente di creare una rete di fiducia. Firmare la chiave di una persona significa aver controllato l’identità di quest’ultima e essersi assicurati che essa sia in pieno controllo della propria chiave privata. In questo modo si può creare una rete di individui che si fidano l’uno degli altri. Questa rete è definita come un insieme fortemente connesso, ulteriori informazioni a riguardo si possono trovare a questo indirizzo.

Dato che firmare una chiave significa aver controllato e verificato che una certa chiave pubblica appartenga a una tale persona che possiede la relativa chiave privata, è necessario seguire questi semplici accorgimenti quando si firma una chiave:

1. Il procedimento di firma di una chiave è sempre svolto dopo aver incontrato tale persona.
2. Durante l’incontro è necessario scambiarsi i fingerprint delle rispettive chiavi e almeno un documento identificativo (con una fotografia all’interno). Tali fingerprint vengono solitamente distribuiti su dei foglietti, creati da degli script come gpg-key2ps (pacchetto signing-party).
3. Controllare che il nome nella chiave corrisponda con quello del documento identificativo.
4. Dopo questi controlli accertarsi che la persona sia veramente in possesso della chiave privata. Per fare ciò basta rispedire a lei/lui la sua chiave pubblica firmata e criptata con la rispettiva chiave pubblica. Il programma caff facilita tale procedimento. È necessario creare un file .caffrc nella propria cartella Home con i seguenti valori all’interno:

   $CONFIG{owner} = q{Nome e cognome};
   $CONFIG{email} = q{L'indirizzo email della chiave};
   $CONFIG{keyid} = [ qw{Gli ultimi 16 caratteri del fingerprint della chiave} ];

   Ora basta eseguire il seguente comando, sostituendo la dicitura «id_della_chiave» con l’ID della chiave che si vuole verificare e firmare:

   caff id_della_chiave

5. Quando si ricevono chiavi firmate, si ricevono come allegati: salvarli e importarli con gpg. Ora è possibile inviare queste chiavi ad un server delle chiavi.

Firmare i dati

La firma dei dati è utile per verificare l’identità del mittente.

Firma del Codice di condotta di Ubuntu

Prima di firmare il «Codice di condotta» di Ubuntu è necessario aggiornare il proprio account inserendovi, fra le varie informazioni, la chiave gpg che si desidera utilizzare per tale operazione.

Caricare la chiave in Launchpad

1. Eseguire l’accesso in Launchpad.
2. Fare clic sul proprio nome in alto a destra e poi su «Edit OpenPGP keys».
3. Copiare il fingerprint della propria chiave all’interno della casella di testo «Key Fingerprint».
4. Launchpad spedirà, all’indirizzo specificato, un’email contenente del testo cifrato con la nuova chiave. Per procedere con l’operazione di decifratura è sufficiente salvare il testo in un file all’interno della propria Home, aprire una finestra di terminale e digitare il seguente comando:

   gpg --decrypt file.txt

5. Una volta inserita la passphrase comparirà in chiaro il testo del messaggio, il quale conterrà un collegamento da inserire nella barra degli indirizzi del proprio browser per convalidare la chiave.

Firmare il Codice di condotta

Per firmare il «Codice di condotta» di Ubuntu bastano tre semplici passi:

1. Scaricare il «Codice di condotta» da questo indirizzo : https://launchpad.net/codeofconduct/1.0.1
2. Digitare il seguente comando:

   gpg --clearsign UbuntuCodeofConduct-1.0.1.txt

3. Copiare il contenuto del file appena creato UbuntuCodeofConduct-1.0.1.txt.asc nel relativo campo presente a questo indirizzo.

Firmare e cifrare email

Questa sezione vi aiuterà a configurare Evolution e Thunderbird per firmare e criptare email.

Evolution

• Aprire Evolution e fare clic su Modifica -> Preferenze
• Scegliere il proprio account email e poi fare clic su «Modifica»
• Fare clic sulla linguetta «Sicurezza»
• Nella casella di testo «ID della chiave PGP/GPG» copiare il vostro KEY-ID
• Fare clic su «OK» e poi «Chiudi»

Se si desidera utilizzare la chiave in ogni nuova mail, fare clic sul menù «Sicurezza» in un nuovo messaggio e poi su «Firma PGP».

Mozilla Thunderbird

• Installare il plugin Enigmail installando il pacchetto mozilla-thunderbird-enigmail.
  In alternativa è possibile scaricare il plugin da mozdev per poi installarlo manualmente.
• Configurare gpg in Thunderbird scegliendo OpenPGP -> Preferences e nella casella di testo «GnuPG executable path» aggiungere /usr/bin/gpg.

Disponibile in AppStore una nuova applicazione molto interessante. Sto parlando di Nascondi Documenti, la quale ci permetterà di visualizzare dei documenti e di nasconderli proteggendoli da sguardi indiscreti.

L’applicazione ci permetterà di visualizzare dei documenti caricati sul dispositivo da casa, per poi nascondere il documento che si sta guardando mostrando al suo posto un orologio digitale.
Questa applicazione infatti mira principalmente ad aiutare tutte quelle persone che hanno la necessità di consultare dei documenti in pubblico, senza che però gli altri abbiano la possibilità di sbirciare.
Ecco di seguito le principali caratteristiche dell’applicazione:

• Carica i documenti nell’iPhone/iPod Touch con la connessione wireless e un browser;
• Visualizza i documenti all’interno del dispositivo mobile;
• Supporto ai seguenti file: png, tiff, pdf, txt, jpeg, jpg, doc, docx, htm, html, xls, xlsx, ppt, pptx;
• Elegante orologio digitale;
• Nascondi il documento con un tocco;
• Nascondi il documento con uno scossone o un piccolo movimento, scegli tu;
• Mostra di nuovo il documento dopo averlo nascosto con un semplice trascinamento (da in basso a sinistra ad in basso a destra);
• Abilita o disabilita il server a piacimento.

Nascondi Documenti è disponibile in AppStore ed è compatibile con iPhone ed iPod Touch. Per chi fosse interessato all’acquisto, l’applicazione ha un costo di 0,79€.

In questa guida sono presenti delle istruzioni utili all’installazione e all’utilizzo di Cryptkeeper, un programma semplice e intuitivo per criptare con password le proprie cartelle.

Installazione

Installare i pacchetti encfs e cryptkeeper presenti nel componente universe dei repository ufficiali.

Utilizzo

Creazione della cartella criptata

1. Avviare cryptkeeper da Applicazioni -> Strumenti di sistema -> Cryptkeeper.
2. Fare clic sull’icona presente nel pannello e selezionare New encrypted folder.
3. Scegliere la posizione desiderata per la cartella e fare clic su Forward.
4. Verrà chiesto l’inserimento di una password…
5. Infine fare clic su Forward e poi su OK…

Utilizzo della cartella criptata

Fare clic sull’icona presente nel pannello, in cui è presente l’elenco delle cartelle criptate con i percorsi e un segno di spunta a sinistra per montare o smontare le cartelle.

Rimuovere la password e/o la cartella

Fare clic sull’icona nel pannello e infine fare clic con il tasto destro del mouse sulla cartella desiderata.

Le opzioni presenti sono:

• Information: mostra informazioni sulla cartella criptata.
• Change password: permette di modificare la password per la cartella criptata.
• Delete encrypted folder: permette di eliminare la cartella criptata.

Scegliere l’opzione desiderata.

Spero di essere stato utile

Il computer viene spesso utilizzato per lavoro e chi scrive spesso si ritrova a digitare le parole ad una velocità cosi elevata, ma quando si utilizza il computer portatile questo a volte non è possibile soprattutto se si usa un netbook che rende la digitazione veloce praticamente impossibile.

Gli ostacoli che possiamo incontrare utilizzando il portatile, al di la della durata della batteria, è il touchpad, questa tavoletta avvolte è più fastidiosa che utile, soprattutto durante la scrittura dei testi. Per fretta può capitare di toccare il touchpad e di muovere il cursore proprio nel momento sbagliato, per evitare problemi di questo tipo possiamo utilizzare Touchfreeze.

Un programma gratuito che una volta attivato permetterà di disattivare il touchpad escludendo ogni possibile errore durante la battitura del testo. Tutte le funzioni del touchpad saranno bloccate durante la digitazione del testo e quindi scrivere velocemente non sarà più un problema.

Questa utility sarà molto utile per tutti i web writer e blogger che per lavoro o passione ogni giorno scrivono tantissimi articoli su pc portatili. Touchfreeze entrerà a far parte dei vostri programmi preferiti

La notizia della scarsa sicurezza del sistema operativo targato Apple ci arriva da una leggenda vivente della sicurezza informatica: Charlie Miller.

Secondo il ricercatore, Mac OS X presenta una ventina di falle che permetterebbero attacchi pesanti da parte degli hacker: una volta entrati nella macchina individuata come vittima, l’hacker potrebbe praticamente fare di tutto di più di essa.

Ma Miller ricorda anche come gli utenti Mac si sentano particolarmente tranquilli da possibili malware. E’ infatti risaputo che gli hacker nutrono davvero un interesse scarso per questo sistema operativo, che viene considerato ancora molto di nicchia, quindi con un bacino d’utenza decisamente ristretto rispetto al ben più famoso – e aggiungiamo massacrato – Windows.

Ha fatto anche una metafora sicuramente azzeccata: “Mac OS X è come vivere in una fattoria in campagna senza neanche serratura, invece Windows è come vivere in una casa con sbarre alle finestre nel quartiere peggiore della città.”

Miller ha comunque specificato che non spiegherà dettagliatamente in cosa consistono le venti falle. Racconterà come le ha trovate, però, alla conferenza di Vancouver della prossima settimana. Della quale, poi, vi racconteremo l’esito.

Bitdefender colpisce ancora!

Sabato 20.03.2010 dopo aver fatto l’aggiornamento disponibile per l’antivirus, gli utenti di Windows Xp, Windows 7 e Windows Vista a 64 bit si sono visti bloccare il proprio pc.
Infatti questo update dell’antivirus avendo al suo interno un firmware danneggiato, ha riconosciuto come antivirus il sistema operativo. Capirete la preoccupazione di tutti e il chiasso mediatico che ha portato questo gravissimo errore. Pare che Bitdefender per questo errore passerà per l’anno 2010 nelle ultime classifiche degli antivirus.

Nel forum di Bitdefender pare ci sia stato un affluenza di gente fenomenale infatti tutti sono andati li a lamentarsi del disagio arrecato e Bitdefender, con poca delicatezza nei confronti di tutti, ha detto che erano a conoscenza del problema che provocava il riconoscimento del sistema operativo come virus infeti da l trojan Trojan.FakeAlert.5 ma che avrebbero risolto nei prossimi giorni.

Ovviamente lo sdegno da parte di tutti gli utilizzatori che si vedevano bloccato il loro pc per giorni ha portato Bitdefender a risolvere il problema rilasciando una patch che è stata in grado di fissare il problema.

• La patch è disponibile in diverse pagine che elenco qui sotto:
• Windows XP 64 bit
• Windows Vista 64 bit
• Windows 7 64 bit

Ecco tutte le novità che sono state apportate alla nuova versione di Kaspersky 2010:

• Nuova  Kaspersky Toolbar per Internet Explorer (una completa barra anti phishing)
• Nuova Modalità “Game Mode” che sospende avvisi, aggiornamenti e scansioni mentre si gioca
• Migliorata la  Prevenzione del furto di identità, inclusa la Virtual Keyboard (personalmente mai usata)
• Migliorato l’ Urgent Detection System, la gestione delle minacce dell’ultimo minuto.
• Migliorata la Protezione Proactive di Nuova Generazione.

Dopo queste “golose” premesse, ecco il metodo testato e funzionante per avere Kaspersky 2010 gratis per sempre; senza usare nessun tipo di serial number o altre crack.

Il tutto infatti avverrà utilizzando solo un semplice programma, che ha lo scopo di resettare ogni volta che lo si usa, i 30 giorni di prova offerti dal programma; e quindi avere l’antivirus sempre gratis. Di seguito sono elencati tutti i passaggi per ottenere il risultato voluto.

Per prima cosa, dovrete scaricare la versione di prova di Kaspersky 2010 (una delle due):



Se pensavate di averle sentite tutte, bè, è tempo di ricredervi. Si sa, la dipendenza da Facebook e similari è ormai nota e risaputa, persino tra gli stessi utenti che si divertono a creare link nei quali, memori delle loro ore trascorse sul pc a curiosare sui profili degli altri, si identificano come scheletri attaccati alla tastiera, in attesa di una notifica.

Però da qui a dire che l’uso spropositato di Facebook aumenti i casi di infezione di malattie veneree, ebbene, il passo ci sembra esagerato. Eppure è questo che sostiene Peter Kelly, professore e direttore degli uffici sanitari della medicina pubbilca del Teesside, in Inghilterra. Secondo Kelly, esiste una relazione tra l’uso dei social network e l’incremento delle infezioni, tra le quali la sifilide.

Certamente assurdo, ci fa pensare alle teorie che vogliono gli uomini impotenti a causa del cellulare – il che è già da smentire, visto che chi usa facebook lo fa per lo più dal cellulare.. e se si ammala di sifilide tanto impotente non è! – e vedono i Wi-Fi come principali cause di terribili tumori al cervello – peccato che trent’anni fa si moriva di tumore al cervello senza avere in casa un Wi-Fi.

Forse che chi mette in giro queste teorie apocalittiche non ha un grande rapporto con la tecnologia? Chissà. Nel frattempo, onde evitare contagi, se siete assidui frequentatori di social network, fate un salto dal medico. Non si sa mai.

Ci sono due principarli concetti per gli utenti: l’autenticazione e gli account.Con l’autenticazione di Active Directory (d’ora in poi AD) si usa il protocollo Kerberos 5 mentre per gli account si usa LDAP. Prima di tutto è necessario configurare Kerberos 5 e LDAP in modo da gestire gli utenti un una AD.In questo articolo verranno usati i seguenti indirizzi IP , di conseguenza adattateli alle vostre esigenze.

10.30.2.1           Router and DNS server or proxy
10.30.2.2           DHCP and TFTP server
10.30.2.10          NFS server
10.30.2.20          LTSP server
10.30.2.100-200     LTSP clients

Si da per sconattaio che AD sia confugurato con un dominio AD del tipo EXAMPLE.COM e ccon un utente creato del tipo:

account name:       wendy
UID:                1002
GID:                1002
home directory:     /home/wendy
shell:              /bin/bash

Account

Per gli account LDAP è necessario il pacchetto libnss-ldap che non è presente sul CD di Dapper ma è disponibile nei repository Universe.Una volta aggiunti tali repository è sufficiente dare :

$ sudo apt-get update
$ sudo apt-get install libnss-ldap

Inseriamo l’indirizzo del server Active Direcory.

Specifichiamo il search basedm

Selezionare LDAP versione 3

Carica nuovo allegato “Screenshot-ocean-nss-ldap-version.png”

Sono necessari alcuni aggiustamenti ulteriori , per questo andiamo a modificare /etc/libnss-ldap.conf

# libnss-ldap.conf

# Your LDAP server. Must be resolvable without using LDAP.
# Multiple hosts may be specified, each separated by a
# space. How long nss_ldap takes to failover depends on
# whether your LDAP client library supports configurable
# network or connect timeouts (see bind_timelimit).
host 10.30.2.2

# The distinguished name of the search base.
base example,dc=com

# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version 3

#  (AD) mappings
# <to> <from>
nss_map_attribute userPassword sambaPassword
nss_map_attribute gecos name
nss_map_attribute uid unixName
nss_map_attribute shadowLastChange pwdLastSet
nss_map_objectclass posixGroup group
pam_filter objectclass=User
pam_password crypt

# Disable SASL security layers. This is needed for AD.
sasl_secprops maxssf=0

Configuriamo il nome del servisio per usare LDAP modificando/etc/nsswitch.conf

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         files ldap
group:          files ldap
shadow:         files ldap

hosts:          files dns mdns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Testing

Il comando getent mostrerà il contenuto del servizio, così una volta configurato Active Directory con un utente e con libnss-ldap configurato, dovremmo essere in grado di vedere gli utenti extra e i gruppi.

$ getent passwd

gdm:x:106:111:Gnome Display Manager:/var/lib/gdm:/bin/false
test:x:1000:1000:Test,,,:/home/test:/bin/bash
wendy:x:1002:1002:wendy:/home/wendy:/bin/bash
$ getent group

gdm:x:111:
test:x:1000:
wendy:x:1002:

Un semplice file di prova ci mostrerà se Ubuntu comprende gli username di AD.

$ cd /tmp
$ touch moo
$ ls -l moo
-rw-rw-r-- 1 root    root    0 2006-07-20 14:27 moo
$ sudo chown wendy moo
$ ls -l moo
-rw-rw-r-- 1 wendy   root    0 2006-07-20 14:27 moo

Per visualizzare gli utenti tramite LDAP è necessario installare il pacchetto ldap-utils

$ sudo apt-get install ldap-utils
$ ldapsearch -x -H ldap://10.30.2.2 "(objectClass=posixAccount)" sAMAccountName
# extended LDIF
#
# LDAPv3
# base <> with scope sub
# filter: (objectClass=posixAccount)
# requesting: sAMAccountName
#

# wendy, Users, EXAMPLE.COM
dn: cn=wendy,cn=Users,dc=EXAMPLE,dc=COM
sAMAccountName: wendy

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Autenticazione

Ora che le informazioni relative agli utenti sono presenti, è necessario configurare Linux affinché gli utenti possano effettuare il login.Il protocollo di login di AD è Kerberos 5, quindi è necessario installare il modulo PAM Kerberos 5 e il pacchetto client per procedere al test.

$ sudo apt-get-install heimdal-clients libpam-heimdal

Configuriamo Kerberos con i parametri del dominio AD e dell’ indirizo IP editando/etc/krb5.conf

[libdefaults]
       default_realm = EXAMPLE.COM

[realms]
       EXAMPLE.COM = {
               kdc = 10.30.2.2:88
      }

[domain_realm]
       .example.com = EXAMPLE.COM
       example.com = EXAMPLE.COM

Aggiorniamo la configurazione di PAM in modo da verificare gli account Kerberos /etc/pam.d/common-auth scegliamo se vogliamo un prompt di login di Kerberos oppure un prompt classico.

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#

# prompt user "Password for : " (warning: no l18n)
auth    sufficient      pam_krb5.so minimum_uid=1000 ➊
auth    required        pam_unix.so nullok_secure

# use password from pam_unix prompt
#auth    sufficient      pam_unix.so nullok_secure
#auth    sufficient      pam_krb5.so minimum_uid=1000 use_first_pass

Sono possibili molte opzioni, una modifica classica di “minimum_uid” è “ignore_root”.

#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive).  The default is pam_unix.
#

session required        pam_unix.so
session optional        pam_foreground.so
session optional        pam_krb5.so

Aggiunlgiamo la seguente linea se vogliamo creare automaticamente le home per i nuovi utenti.

session required        pam_mkhomedir.so umask=0022 skel=/etc/skel

Le password Samba 4 non possono essere modificate tramitekpasswde quindi le configurazioni di common-password sono irrilevanti.Le informazioni degli account sono gestite già tramite pam_unix con NSS e libnss-ldap quindi non sono necessarie modifiche per common-account comunque ulteriori informazioni sono disponibili nelle seguenti linee di codice.

#
# /etc/pam.d/common-account - authorization settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system.  The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
account required        pam_unix.so
account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] pam_krb5.so

Attenzione

Se AD gira su in PC con … non c’è un orologio con batteria di backup.Questo significa che quando la macchina vien spenta per un certo periodo di tempo , l’orologio verrà resettato.quando la macchina verrà riaccesa sarà necessaria una connessione internet per risincronizzare l’ora.senza una risincronizzazione dell’orologiao , Kerberos non permettrò il login ai clients.

Testing

Con l’AD in esecuzione e un account impostato , cerchiamio di acquisire alcuni dettagli con il comando kinit.

$ kinit wendy
wendy@EXAMPLE.COM's Password:

Orologio

Per sicurezza e efficacia dell’orologio, Kerberos necessita che tutti gli orologi siano sincronizzati.Altrimenti il comando kinit fallirà.

kinit: krb5_get_init_creds: Too large time skew

Il setup della sincronizzazione dell’ orologio con il programma ntpudate; la sincoronia si mantiene tramite un server ntpd.

$ sudo apt-get install ntpdate
$ sudo ntpdate ntp.ubuntu.com
25 Jul 16:22:06 ntpdate[8158]: step time server 82.211.81.145 offset 402569.951826 sec
$ sudo apt-get install ntp-simple

Confermiamo l’ottenimento di due tagliandi con il comando klist.

$ klist
Credentials cache: FILE:/tmp/krb5cc_1000
        Principal: wendy@EXAMPLE.COM

  Issued           Expires          Principal
Jul 25 16:23:06  Jul 26 02:23:58  krbtgt/EXAMPLE.COM@EXAMPLE.COM

Per testare gli account è necessario un sistema di login, poichè è necessario per LTSP allora procediamo all’ installazione del server OpenSSH e del client.

$ sudo apt-get install openssh-server openssh-client

Proviamo il login tramite l’utente AD.

$ ssh wendy@localhost
The authenticty of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is
Are you sure you want to continue connecting (yes/no)?
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
wendy@localhosts password:
Linux ubuntu 2.6.15-23-386 #1 PREEMPT Tue May 23 13:49:40 UTC 2006 i686 GNU/Linux

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.
Last login: Wed Jul 26 10:32:24 2006 from localhost
wendy@ubuntu:~$

Se ricevete un’ errore di password , confermate il funzionamento corretto della password tramite il comando kinit, se tutto funziona potrebbe esserci un problema di sincronizzazione dell’ orologio tra il server AD e il vostro server.Prima di tutto dobbiamo abilitare il debug del login tramite il modulo pam_krb5 ,modifichiamo il file common-auth e aggiungiamo la parola chiave “debug” alla fine della riga di Kerberos.

auth    sufficient      pam_krb5.so minimum_uid=1000 use_first_pass debug

Provate ad eseguire nuovamente il login e controllate /var/log/auth.log che dovrebbe spiegarvi la il motivo del mancato login.

Key Table non valida

Il seguinte errore può comparire se è presente un /etc/krb5.keytab non valido.

Aug  7 19:31:27 ubuntu sshd[4444]: pam_krb5: pam_sm_authenticate(ssh wendy): entry:
Aug  7 19:31:27 ubuntu sshd[4444]: pam_krb5: verify_krb_v5_tgt(): krb5_mk_req(): KDC has no support for encryption type
Aug  7 19:31:27 ubuntu sshd[4444]: pam_krb5: pam_sm_authenticate(ssh wendy): exit: failure
Aug  7 19:31:30 ubuntu sshd[4444]: Failed password for wendy from 127.0.0.1 port 50054 ssh2

Il seguente errore indica una /etc/krb5.keytab non valida , di solito non è un problema.

Aug  7 20:00:05 ubuntu sshd[4764]: pam_krb5: pam_sm_authenticate(ssh wendy): entry:
Aug  7 20:00:05 ubuntu sshd[4764]: pam_krb5: verify_krb_v5_tgt(): krb5_kt_read_service_key(): Key table entry not found
Aug  7 20:00:05 ubuntu sshd[4764]: pam_krb5: pam_sm_authenticate(ssh wendy): exit: success
Aug  7 20:00:05 ubuntu sshd[4764]: Failed password for wendy from 10.0.0.69 port 39428 ssh2

Shadow password

Una delle cause di fallimento consite nel fatto che i dettagli degli account nascosti non possono essere trovati, controllate di avere /etc/nsswitch.conf:

shadow:         files ldap

Specificando uno dei seguenti casi provoca il fallimento del login:

shadow:         files
shadow:         compat

Scambio di dominio

I seguenti errori indicano un host name non corretto, nome di domio o dominio AD.

Sep  9 17:35:00 ubuntu sshd[8088]: pam_krb5: pam_sm_authenticate(ssh steve-o): entry:
Sep  9 17:35:00 ubuntu sshd[8088]: pam_krb5: verify_v5_tgt(): krb5_sname_to_principal(): Cannot determine realm for host
Sep  9 17:35:00 ubuntu sshd[8088]: pam_krb5: pam_sm_authenticate(ssh steve-o): exit: failure
Sep  9 17:35:00 ubuntu sshd[8088]: Failed password for steve-o from 127.0.0.1 port 52992 ssh2

Verificate che /etc/hostname coincida con /etc/hosts e che coincida con l’intera voce dominio in /etc/krb5.conf .Gli esempi che seguino evidenziano dove il nome del dominio deve apparire.

• /etc/hostname:

  ubuntu.

• /etc/hosts:

  127.0.0.1        localhost
  10.82.6.10       ubuntu. ubuntu
  

• /etc/krb.conf:

  [libdefaults]
  default_realm = EXAMPLE.COM
  
  [realms]
  EXAMPLE.COM = {
          kdc = 10.30.2.2:88
  }
  
  [domain_realm]
  
  example.com = EXAMPLE.COM

Questa guida contiene delle istruzioni utili alla creazione di una cartella criptata personale.

Lo scopo principale della configurazione di una cartella privata è quello di nascondere a occhi indiscreti i dati sensibili dell’utente; tutto il contenuto della cartella Private all’interno della Home dell’utente verrà criptato sul disco all’interno della cartella nascosta .Private con i permessi impostati a «700» per l’utente proprietario.

Se si utilizza Ubuntu 8.04 «Hardy Heron»

Installazione

Installare il pacchetto ecryptfs-utils.

Configurazione

1. Per configurare la cartella privata digitare all’interno di una finestra di terminale il seguente comando:

   ecryptfs-setup-private
   

   Verranno poste due domande:

   • Enter your login passphrase: inserire la password di accesso dell’utente;
   • Enter your mount passphrase: inserire una password per il montaggio della cartella.
2. Per creare la cartella privata, terminare la sessione corrente ed effettuare nuovamente l’accesso.

Creare una cartella privata

Per spostare una cartella utilizzata da un programma assicurarsi prima che questo non sia in esecuzione.

Per cifrare una cartella, è sufficiente digitare all’interno di una finestra di terminale un comando simile al seguente:

mv cartella ~/Private

Sostituire la dicitura «cartella» con il percorso che si desidera criptare. Per esempio, se si desidera rendere privata la posta elettronica ricevuta e inviata con Evolution, è sufficiente digitare il seguente comando:

mv ~/.evolution ~/Private

Infine, creare un collegamente simbolico della cartella privata, digitando all’interno di una finestra di terminale un comando simile al seguente:

ln -s ~/Private/cartella cartella

Sostituire la dicitura «cartella» con il percorso della cartella che si desidera mantenere aggiornata con la sua copia cifrata. Per esempio, per rendere nuovamente disponibile la cartella di Evolution dell’esempio precedente, è sufficiente digitare il seguente comando:

ln -s ~/Private/.evolution ~/.evolution

Mount manuale della cartella privata

Nel caso si sia commesso l’errore di copiare la cartella ~/.ecryptfs all’interno di ~/Private sarà necessario montarla con i privilegi di amministrazione, a tale scopo è sufficiente digitare il seguente comando in una finestra di terminale:

sudo mount -t ecryptfs ~/.Private ~/Private

Dovrebbero comparire le seguenti opzioni:

• Select key type to use for newly created files: selezionare l’opzione numero 2 («passphrase»);
• Passphrase: inserire la passphrase dell’utente;
• Select cipher: selezionare l’opzione numero 1 («es: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)»);
• Select key bytes: selezionare l’opzione numero 1 («16»);
• Enable plaintext passthrough: premere «n».

Successivamente, per smontare la cartella privata, sarà sufficiente digitare il seguente comando:

sudo umount ~/Private

Sostituire ~/Private con il punto di mount dove è stata montata la cartella privata.

Recuperare la passphrase per il montaggio

Se si è dimenticata la passphrase per il montaggio della cartella è possibile recuperarlo digitando il seguente comando all’interno di un finestra di terminale:

ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase login_passphrase

Una volta recuperata la password, per evitare che sia visibile nella cronologia dei comandi del terminale è utile digitare il seguente comando:

history -c