Chiavi e serrature (ovvero PuTTY e le chiavi private ssh)

Eccomi per la nuova avventura: dopo secoli ho riabilitato la mia chiave privata crittografata per accedere ai server web che gestisco e cerco di non scordare come ho fatto. Per prima cosa, sto parlando di un sistema di autenticazione a server remoti che mi evita di ricordare (o peggio, appuntare) le complicatissime password che i gestori dei server che ho in amministrazione mi impongono. In pratica stabilisco con i server una connessione sicura ssh e uso una chiave crittografata per entrare.

Esistono numerosi siti che spiegano la procedura, ma spesso danno per scontato che il vostro computer di lavoro sia anch’esso una macchina ‘nix. Io invece lavoro su windows, e anche se dalla versione 10 è diventato possibile installare un Windows subsistem Linux a piacimento che potete usare un po’ come se fosse la vostra finestra di comando (cmd) o la vostra PoweShell, fino ad oggi per collegarsi via terminale ad un server remoto (generalmente il server web) con una connessione ssh l’unica strada era PuTTY. Non fatevi ingannare dallo stile vecchio stampo del sito e dall’aspetto amatoriale, parliamo di un programma che da vent’anni è di fatto IL modo di collegarsi via telnet e ssh a Unix e Linux al punto che la Commissione europea ha sponsorizzato la ricerca di bug per ridurne la vulmerabilità!

Non ho idea di quando io abbia scaricato per la prima volta PuTTY, probabilmente attorno ai primi anni del XXI secolo 😉 , ma per molto tempo gran parte dei componenti presenti nel pacchetto completo sono rimasti per me degli inutili orpelli… che fortunatamente occupavano pochi byte. Questo fino a due anni fa, quando lo spostamento del server di Engramma su una nuova macchina virtuale mi ha lasciato con una password di 20 caratteri imposta dal gestore che francamente, pur avendola ormai memorizzata (mi serve ad ogni sudo) mi ha obbligata a cercare di capire se potevo fare di meglio. E, ovviamente, potevo.

Il mio server basato su sistema Debian infatti prevedeva di default l’autenticazione con chiave RSA, ma le istruzioni non erano chiare per un utente Windows. Dopo vari tentativi, ho finalmente capito qualcosa che non mi era subito parso evidente.

  • la chiave RSA (iniziali dei creatori Rivest–Shamir–Adleman) è una mia chiave personale. Non ha nessuna connessione con il server in cui la userò, almeno finché non la autorizzerò su  quel server. Quindi non create una chiave per il vostro server, ma un sistema di chiave e serratura per voi.
  • La chiave RSA è fatta di due parti, una chiave privata che tenete voi e una pubblica che potete mettere nei server a cui volete collegarvi. La chiave pubblica NON può essere usata per generare le informazioni della chiave privata, ma può solo verificare che sia corretta. In pratica è come mettere nel server una vostra porta privata (chiave pubblica) ed usare la vostra chiave (chiave privata) per aprire.
  • Ovviamente le chiavi aprono sempre e comunque, quindi la chiave privata va tenuta al sicuro. Da una chiave privata potete riceare la chiave pubblica! Buona norma è quella di munirla di una password che eviti che chi ne viene impropriamente in possesso possa usarla a vostra insaputa. Un po’ come le password che vi servono per usare la firma digitale o altro. In pratica state mettendo la vostra chiave in un cassetto chiuso a chiave.
  • Potete usare la porta quante volte volete, se il formato di crittografia corrisponde agli standard impostati nel sistema finale (per esempio, mentre seguivo le guide, non mi sono accorta che il mio sistema voleva delle chiavi RSA da 2048 bit… e per un pezzo non ho capito perché non funzionava.

Se avete un sistema operativo Linux potete tranquillamente seguire le istruzioni della pagina Debian, ma se usate Windows e PuTTY? ecco che finalmente scopro di avere da anni un generatore di chiavi, PuTTYgen, che attende solo di essere usato!

Per generare la vostra accoppiata, se i parametri di sicurezza elencati in basso vi soddisfano, non vi serve altro che cliccare Generate e muovere il mouse per generare le informazioni random…


E finalmente vi troverete con le vostre chiavi pronte per essere salvate (non preoccupatevi per la mia sicurezza, questa è tutta per voi!):


A questo punto siete quasi pronti per salvare le vostre chiavi. Per riconoscere la chiave in modo più semplice, è utile cambiare il commento (Key comment) in qualcosa di più immediato per ricordare per quale scopo è stata generara. La passphrase è ovviamente la password di sicurezza che evita che qualcuno possa entrare in possesso della vostra chiave ed usarla a vostra insaputa. Solo dopo aver settato queste informazioni salvate la chiave pubblica (Save public key) e, soprattutto, la chiave privata (save private key).

PuTTYgen salva le chiavi private con una speciale estensione .ppk e non attribuisce nessuna estensione alle chiavi pubbliche, cercate per la vostra memoria di fare in modo di sapere quale sia accoppiata con l’altra (miachiave.ppk con miachiave_pub per esempio). A questo punto le varie istruzioni dicono di caricare il file della chiave pubblica sul vostro server e accodarlo al file authorized_keys che avrete creato nella vostra home directory. Tentazione che è venuta anche a me oggi quando ho cercato di usare il file della chiave pubblica che avevo nel mio pc su un nuovo server… salvo vedermi richiesta la password. Il problema è che il file che PuTTY salva come backup, pur contenendo anche il testo della chiave corretto, lo mette con degli a capo che lo rendono inutile. Se guardata la vostra finestra vedrete che nella parte alta c’è una casella, che al momento in cui finite di generare le chiavi è evidenziata, con scritto “Public key for pasting…”. Ecco, quella è la chiave che serve al vostro server! Caricarla è semplice: per prima cosa vi collegate al vostro server con PuTTY con nome utente e password. Il nome utente è quello di un utente non root. Al solito sarete nella vostra home directory. Se ci siete già dentro e volete tornare alla home vi basta dare il comando cd senza scrivere nulla. A questo punto, se non ci sono altre chiavi, seguite la solita procedura di tutte le guide:

mkdir ~/.ssh chmod 700 ~/.ssh cd ~/.ssh

ora invece di caricare file, fate copia della chiave nella finestra di PuTTYgen (CTRL+C), poi tornate nella sessione online e create con il vostro editor il file necessario. Io sono vecchio stile per cui per me i comandi saranno:

vi authorized_keys
i #attiva l'inserimento
#tasto destro nella finestra per incollare il testo copiato
ESC #esco da modalità inserimento
:wq

A questo punto dovete procedere come negli altri esempi online

chmod 600 authorized_keys

e potete anche chiudere la sessione PuTTY.

A questo punto inizia la gestione della chiave privata: fra i vari programmi nella cartella PuTTY dovreste trovare Pageant, l’icona del PC con il cappello.  Se ci cliccate sopra non sembra succedere nulla, ma una nuova icona si aggiunge nella vostra barra delle applicazioni di Windows:

Se ci cliccate sopra col tasto destro troverete l’opzione “add keys” che vi farà cercare la chiave .ppk che avete salvato prima. Caricandola sarà chiesta la password, e la domanda verrà ripetuta ogni volta che avviate Pageant (tenetelo presente se decidete di avviarlo in automatico col pc 😉 ).  A questo punto potete modificare anche la sessione salvata con cui vi collegate normalmente al server (perché ovviamente AVETE una sessione salvata!). Per poter usare l’autenticazione RSA dovete caricare la sessione che vi interessa e poi nella categoria di destra spostarvi al punto “Connection” e poi dentro “Data”. Qui dove è scritto “Autologin username” inserite quello che usate per collegarvi. Poi spostatevi nel nodo “SSH” e cliccate su “Auth”, dove potrete selezionare la vostra chiave privata nuovamente per aggiungerla alla sessione.

Prima di cliccare “Open” ed avviare la sessione con l’autenticazione RSA, tornate su “Session” in modo da poter salvare la sessione. A questo punto cliccando su “Open” dovreste entrare senza che vi venga chiesta la password. Al massimo vi verrà chiesta la password di protezione della chiave privata. Ma la parte più bella è che se avviate Pageant, dopo la prima richiesta di password, potrete trovare le vostre sessioni PuTTY salvate con il tasto destro sotto “Saved sessions”. Questo vuol dire che potrete aprire una sessione PuTTY con un solo click senza più mettere password finché non chiudete Pageant o il pc!

Non so se vi interessi minimamente la cosa, ma siccome sono certa che per la prossima volta che mi servirà avrò dimenticato un pezzo, me lo salvo online e così poi so dove cercarlo!

Diario di una mamma di nativi digitali (parte 1?)

Personalmente non amo molto la definizione “nativo digitale“, che dovrebbe indicare, da parte dei miei figli, una maggiore facilità nei rapporti con delle tecnologie con cui hanno a che fare dalla nascita, perché non mi pare che la dimestichezza con gli strumenti li aiuti ad essere padroni di essi, anzi. Detto questo ammetto che i miei figli hanno una esposizione alle tecnologie incredibile ed io stessa, per necessità o pigrizia, ho incoraggiato questo contatto molto precoce. Tutto è iniziato con il treno, quando andando al lavoro fuori città, mi portavo la figlia piccola (ora media XD) nel marsupio in treno con me per lasciarla al nido aziendale. Se nella maggior parte dei casi dormiva, non sempre la cosa era certa e, durante un convegno particolarmente stressante, ho accettato la possibilità di iniziare ad usare lo smartphone per intrattenerla quando non avevo alternative. Se siete dei genitori sani, che riescono ad andare a cena coi bambini piccoli e inorridiscono nel vedere che qualche genitore allunga il telefono al bambino quando ormai scalpita e non si trattiene, questo post non fa per voi. Anche io cerco i locali con baby room, intrattenimento bambini o porto scatole di macchinine e colori, ma obbiettivamente non tutti i locali sono sicuri e tolleranti con bambini che si inseguono gattonando sul pavimento per giocare e colorare e le rarissime volte che esco in un contesto non per bambini (compleanni o simili) alle volte non resisto e voglio scambiare qualche parola con gli altri adulti… lo so, è puro egoismo, ma se capita anche a voi, ci sono alcune cose che è utile sapere, in particolare se come me usate Android (lascio iOS a chi se lo può permettere). Leggi tutto “Diario di una mamma di nativi digitali (parte 1?)”

Liste ordinate strutturate in una pagina web

Non so se usiate le liste nidificate, cioè quelle liste in cui esistono uno o più sottolivelli. Che si tratti di elenchi o di titoli, è fondamentale che esista una certa coerenza fra i numeri ed i livelli. Se l’elenco è fatto di elementi consecutivi in generale basta cambiare l’indentatura e si capisce immediatamente. Ma se stiamo parlando di titoli di capitolo e paragrafo? Come evitare di numerare tutto a mano? come tenere conto del livello? Probabilmente sono la sola che si è posta il problema perché online non ho trovato alcuna soluzione, almeno quando ho affrontato il problema alcuni anni fa, ma probabilmente vale ancora la pena di postare i miei vecchi appunti. Leggi tutto “Liste ordinate strutturate in una pagina web”

Editoria digitale

L’editoria nel tardo ‘500

Per una volta, invece che alle mie solite macchine da cucire, vorrei dedicare un po’ di spazio alle macchine con cui passo buona parte delle mie giornate, ovvero gli elaboratori elettronici. In particolare vorrei puntare l’attenzione al mondo dell’editoria digitale, intesa come sistemi e servizi per la creazione e l’impaginazione di libri. Ovviamente i contenuti e la loro qualità sono fondamentali, ma in un mondo in cui gli “editori” producono tonnellate di carta da macero alla disperata ricerca del best seller che li ripaghi di tutti gli investimenti passati e futuri, esiste un circuito parallelo, direi “indie” (nel senso di indipendente dalle grandi case) che spesso corrisponde all’autoproduzione casalinga non solo per gli aspiranti romanzieri, ma anche per buona parte delle pubblicazioni scientifiche, sia divulgative che di alto livello.

Se da una parte ormai raramente una “casa editrice” (uso le virgolette perchè riten Leggi tutto “Editoria digitale”

Debugging

Per chi non lo sapesse, il termine debugging indica, in ambito di programazione, l’individuazione e la rimozione degli errori.  Ho finalmente risolto l’errore che mi impediva di ricevere le email di notifica dei vostri messaggi, il che dovrebbe significare anche che non dovrete più attendere giorni o settimane per l’approvazione o la risposta se ho il tempo.  Si trattave di uno spazio in più all’interno dei parametri della funzione di invio posta.  I piaceri della vita, se siete appasionati di enigmistica, probabilmente. Leggi tutto “Debugging”

Missione impossibile … o quasi

(per chi legge abitualmente i miei post dedicati alle macchine da cucire, questa è una digressione…)

Dato che ufficialmente mi sto astenendo dal lavoro, in questi giorni ho ripreso il mio vecchio lavoro di sistemista per aiutare mio marito ad avviare la sua attività. In particolare sto cercando di dare un senso all’accozzaglia di pc, mac, stampanti ed accessori che ha ereditato dal socio e che al momento, non potendo fare ulteriori investimenti, sono i suoi strumenti di lavoro. Ammetto che essere fuori dal giro dal quasi dieci anni non aiuta, ma devo dire che non mi aspettavo così tanti problemi… Leggi tutto “Missione impossibile … o quasi”

Comperare modelli online – una esperienza

Mi è capitato recentemente (in occasione della recita di fine anno del mio cucciolo) di trovarmi all’ultimo minuto a cercare online un modello, in questo caso per una polo e dei pantaloni, da realizzare così al volo da non avere il tempo di fiondarmi nell’archivio giornali della mamma o della zia. Nell’occasione mi sono avvalsa di siti specializzati nella distribuzione di modelli digitali, da scaricare al volo.

Il mio preferito è normalmente Burda style, da cui però finora ho preso solo modelli gratuiti, a cui ero iscritta ancora prima che venisse integrato con quello della rivista omonima…

Per l’occasione però non riuscivo a trovare un modello come mi serviva ad un prezzo sensato, per cui sono finita su printsew, che paradossalmente sembra avere a disposizione per il download più modelli Burda del sito Burda, ed a prezzi concorrenziali! Prima delusione, la navigazione: cercare un modello è difficilissimo. Scelto il modello e pagato (scoprendo che oltre al prezzo del cartamodello (3.99$) ci sono delle spese aggiunte (0,75$) per la gestione) , seconda e più terribile delusione: il modello non viene dato da scaricare, come su Burdastyle, offrendo la doppia versione “da casa” e “da copisteria”, ma da stampare con un plugin direttamente dal sito. Al modello originale Burda sono state aggiunte delle inutili note che vanno in alcuni casi a coprire delle marche, inoltre non è possibile stampare una pagina, si devono sempre stampare tutte, e i margini sono al vivo, con pagine dimensionate male se si chiede di stampare in A4… senza contare che  il sistema di criptaggio (fileopen) è una vera minaccia alla privacy:  me ne sono accorta oggi che ho cercato di ristampare il file usando un pc diverso e non ho potuto. Il server infatti ha registrato tutte le informazioni del mio pc, identificazione dell’hard disk, della cpu, indirizzo di rete, login e password… insomma, da paura! E con  tutto questo scoprite di non aver nemmeno comperato il cartamodello, ma solo il diritto di stamparlo per un anno dall’acquisto per il numero di volte che a loro sembra congruente (e se come a me vi capita la stampante che fa i capricci, sono dolori…)

Morale della storia:  primo ed ultimo cartamodello da questo sito, per quanto possano mandarmi offerte due volte la settimana… Se proprio non trovo online, carta velina 😛

Cronaca di una morte annunciata … con principio di rianimazione ;)

Singer 66

Anche se ormai la maggioranza dei mie acquisti di accessori per macchine da cucire avviene su internet, raramente acquisto macchine intere se non posso ritirarle di persona. Questo mi ha portato a gite in tutto il centro-nord, da Torino a Pavia o Venezia, ma anche Arezzo e le colline fiorentine. Ovviamente, visti i costi del trasporto, le gite non servivano a risparmiare sui costi di spedizione ma ad accertarmi di ricevere una macchina e non un rottame. Le macchine spedite erano state in genere quelle acquistate “per pezzi”, ovvero di cui potevo correre il rischio che venissero ammaccate. Oppure acquistate a prezzi irrisori o comunque molto inferiori a quelli sparati in Italia, all’estero, come le mie Elna, che però hanno il pregio di essere contenute in una valigia di ferro a prova di corriere. Leggi tutto “Cronaca di una morte annunciata … con principio di rianimazione ;)”

Sorry, we don’t ship to Italy (Spiacenti, non spediamo in Italia)

Nelle ultime settimane sembra essere questa la risposta standard dei venditori eBay americani a cui chiedo (se dichiarano di fare spedizioni in Europa) il costo della spedizione di qualche oggetto verso l’Italia. Ovvero, sempre più venditori si rifiuta di spedire specificamente in Italia. Dalla mia esperienza maturata in almeno una cinquantina di acquisti ed un centinaio di mancati acquisti negli ultimi anni, questa è una sgradevole nuova tendenza. Ci sono sempre stati venditori che non avevano voglia di spedire all’estero e su quello c’è poco da dire. Nel mio caso il valore della merce è in genere di poco inferiore al costo della spedizione internazionale, ma dato che in Italia non esiste un mercato di accessori e piedini per macchine da cucire vintage e senza accorgersi l’idea di completare il corredino di ogni macchina che possiedo è diventata una abitudine, continuo a tenere d’occhio le aste anche se ormai ho la casa straripante di materiale. Vi racconterò del mio ultimo oggetto del desidero se riuscirò ad ottenerne uno, anche se ormai devo contare sulla gentilezza delle amiche appassionate americane che ricevono e rispediscono per conto mio. Leggi tutto “Sorry, we don’t ship to Italy (Spiacenti, non spediamo in Italia)”

Qualche utilità per il PC

Dopo l’indigestione di piedini degli articoli passati, ho pensato di condividere con voi una piccola lista di “accessori” ma questa volta per pc, dato che con l’acquisto del mio nuovo netbook mi sono trovata a reinstallarli tutti. Si tratta di piccoli applicativi, in genere meno di cinque megabyte, distribuiti gratuitamente sotto varie forme di licenze (alcuni opensource, altri versioni lite di programmi commerciali). In alcuni casi è possibile farli funzionare “standalone”, senza cioè che vengano installati nel pc, per cui è possibile infilarli in una chiavetta pronti a disposizione in caso di emergenza dell’amico in crisi da pc. Leggi tutto “Qualche utilità per il PC”