index.html

<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  
  
  <title>Geegeek&#39;xo</title>
  <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
  <meta property="og:type" content="website">
<meta property="og:title" content="Geegeek&#39;xo">
<meta property="og:url" content="https://geegeek.github.io/index.html">
<meta property="og:site_name" content="Geegeek&#39;xo">
<meta property="og:locale" content="en_US">
<meta property="article:author" content="geegeek">
<meta name="twitter:card" content="summary">
  
    <link rel="alternate" href="/atom.xml" title="Geegeek'xo" type="application/atom+xml">
  
  
    <link rel="shortcut icon" href="/favicon.png">
  
  
  
<link rel="stylesheet" href="/css/style.css">

  
    
<link rel="stylesheet" href="/fancybox/jquery.fancybox.min.css">

  
  
<link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/fork-awesome@1.2.0/css/fork-awesome.min.css">






<!-- Google tag (gtag.js) -->
<script async src="https://www.googletagmanager.com/gtag/js?id=G-D9PQ5R85NW"></script>
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());

  gtag('config', 'G-D9PQ5R85NW');
</script>








<meta name="generator" content="Hexo 7.3.0"></head>

<body>
  <div id="container">
    <div id="wrap">
      <header id="header">
  <div id="banner"></div>
  <div id="header-outer" class="outer">
    <div id="header-title" class="inner">
      <h1 id="logo-wrap">
        <a href="/" id="logo">Geegeek&#39;xo</a>
      </h1>
      
    </div>
    <div id="header-inner" class="inner">
      <nav id="main-nav">
        <a id="main-nav-toggle" class="nav-icon"><span class="fa fa-bars"></span></a>
        
          <a class="main-nav-link" href="/">Home</a>
        
          <a class="main-nav-link" href="/archives">Archives</a>
        
      </nav>
      <nav id="sub-nav">
        
        
          <a class="nav-icon" href="/atom.xml" title="RSS Feed"><span class="fa fa-rss"></span></a>
        
        <a class="nav-icon nav-search-btn" title="Search"><span class="fa fa-search"></span></a>
      </nav>
      <div id="search-form-wrap">
        <form action="//google.com/search" method="get" accept-charset="UTF-8" class="search-form"><input type="search" name="q" class="search-form-input" placeholder="Search"><button type="submit" class="search-form-submit">&#xF002;</button><input type="hidden" name="sitesearch" value="https://geegeek.github.io"></form>
      </div>
    </div>
  </div>
</header>

      <div class="outer">
        <section id="main">
  
    <article id="post-Impostazione-dei-permessi-in-var-www-html-con-il-bit-SGID" class="h-entry article article-type-post" itemprop="blogPost" itemscope itemtype="https://schema.org/BlogPosting">
  <div class="article-meta">
    <a href="/2025/01/28/Impostazione-dei-permessi-in-var-www-html-con-il-bit-SGID/" class="article-date">
  <time class="dt-published" datetime="2025-01-28T13:47:13.000Z" itemprop="datePublished">2025-01-28</time>
</a>
    
  <div class="article-category">
    <a class="article-category-link" href="/categories/SysAdmin/">SysAdmin</a>
  </div>

  </div>
  <div class="article-inner">
    
    
      <header class="article-header">
        
  
    <h1 itemprop="name">
      <a class="p-name article-title" href="/2025/01/28/Impostazione-dei-permessi-in-var-www-html-con-il-bit-SGID/">Impostazione dei permessi in /var/www/html con il bit SGID</a>
    </h1>
  

      </header>
    
    <div class="e-content article-entry" itemprop="articleBody">
      
        <h2 id="Introduzione"><a href="#Introduzione" class="headerlink" title="Introduzione"></a>Introduzione</h2><p>Quando più utenti devono collaborare su un progetto in un ambiente<br>Linux, nasce l’esigenza di gestire correttamente i permessi su file e<br>directory. Per evitare che i file creati da un singolo utente assumano<br>come <em>owner</em> e <em>group</em> il suo gruppo primario, possiamo sfruttare il bit<br>SGID (<em>Set Group ID</em>) sulle directory condivise.</p>
<p>In questo articolo vedremo come impostare il bit SGID solo sulle<br>directory — perché è pensato esclusivamente per gestire l’ereditarietà<br>del gruppo —, così da semplificare la collaborazione in una struttura<br>come <code>/var/www/html</code>.</p>
<h2 id="Il-problema"><a href="#Il-problema" class="headerlink" title="Il problema"></a>Il problema</h2><p>Supponiamo che un utente (es. <code>user1</code>) carichi o modifichi file via FTP<br>nella directory <code>/var/www/html</code>. Di default, ogni file nuovo assume come<br>proprietario <code>user1</code> e come gruppo il gruppo primario di <code>user1</code> (es.<br><code>user1</code> stesso). Se vogliamo che il gruppo di questi file sia invece<br><code>www-data</code> (tipico in ambiente web), dobbiamo configurare correttamente<br>i permessi e impostare il bit SGID sulle directory.</p>
<h2 id="Obiettivi"><a href="#Obiettivi" class="headerlink" title="Obiettivi"></a>Obiettivi</h2><ol>
<li>Far sì che tutte le directory sotto <code>/var/www/html</code> abbiano il<br>gruppo <code>www-data</code> e il bit SGID attivo, in modo che qualsiasi file<br>creato o caricato al loro interno eredi automaticamente il gruppo<br><code>www-data</code>.</li>
<li>Applicare permessi ragionevoli per directory (2775) e file (0644),<br>così da garantire che i membri del gruppo <code>www-data</code> possano<br>interagire correttamente con il contenuto, mantenendo un livello di<br>sicurezza adeguato.</li>
<li>Verificare che tutti i file e le directory appartengano<br>effettivamente al gruppo <code>www-data</code>.</li>
</ol>
<h2 id="Passo-1-Assegnare-proprieta-e-gruppo-a-var-www-html"><a href="#Passo-1-Assegnare-proprieta-e-gruppo-a-var-www-html" class="headerlink" title="Passo 1: Assegnare proprietà e gruppo a &#x2F;var&#x2F;www&#x2F;html"></a>Passo 1: Assegnare proprietà e gruppo a &#x2F;var&#x2F;www&#x2F;html</h2><p>Per prima cosa, se non l’hai già fatto, assegna ricorsivamente owner e<br>gruppo <code>www-data:www-data</code> a <code>/var/www/html</code>:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> <span class="built_in">chown</span> -R www-data:www-data /var/www/html</span><br></pre></td></tr></table></figure>

<p>Questo fa sì che l’utente e il gruppo su tutti i file e directory<br>all’interno di <code>/var/www/html</code> siano ora <code>www-data:www-data</code>.</p>
<h2 id="Passo-2-Impostare-i-permessi-sui-file-e-sulle-directory"><a href="#Passo-2-Impostare-i-permessi-sui-file-e-sulle-directory" class="headerlink" title="Passo 2: Impostare i permessi sui file e sulle directory"></a>Passo 2: Impostare i permessi sui file e sulle directory</h2><p>Distinguiamo due situazioni: <em>directory</em> e <em>file</em>.</p>
<ol>
<li><strong>Directory</strong>: vogliamo che abbiano i permessi 2775 (<em>rwxrwsr-x</em>).<ul>
<li>Il “2” all’inizio indica il bit SGID, così che tutti i nuovi<br>file&#x2F;dir ereditino il gruppo della cartella madre (in questo<br>caso, <code>www-data</code>).</li>
<li>“775” permette al proprietario (<code>www-data</code>) e al gruppo di<br>leggere, scrivere ed entrare nella directory; gli “altri”<br>possono solo leggere ed entrare (<code>r-x</code>).</li>
</ul>
</li>
<li><strong>File</strong>: vogliamo che abbiano i permessi 0644 (<em>rw-r--r--</em>).<ul>
<li>In questo modo, il proprietario e il gruppo possono leggere e<br>scrivere, mentre gli altri possono solo leggere (nessuna<br>esecuzione di default).</li>
</ul>
</li>
</ol>
<p>Per applicare questi permessi ricorsivamente:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><span class="line"><span class="comment"># Imposta 2775 su tutte le directory</span></span><br><span class="line"><span class="built_in">sudo</span> find /var/www/html -<span class="built_in">type</span> d -<span class="built_in">exec</span> <span class="built_in">chmod</span> 2775 &#123;&#125; \;</span><br><span class="line"></span><br><span class="line"><span class="comment"># Imposta 0644 su tutti i file</span></span><br><span class="line"><span class="built_in">sudo</span> find /var/www/html -<span class="built_in">type</span> f -<span class="built_in">exec</span> <span class="built_in">chmod</span> 0644 &#123;&#125; \;</span><br></pre></td></tr></table></figure>

<p>In questo modo, ogni directory avrà:<br><code>rwxrwsr-x www-data www-data (2775)</code>, mentre ogni file avrà:<br><code>rw-r--r-- www-data www-data (0644)</code>.</p>
<h2 id="Passo-3-Verificare-che-il-bit-SGID-sia-applicato-solo-alle-directory"><a href="#Passo-3-Verificare-che-il-bit-SGID-sia-applicato-solo-alle-directory" class="headerlink" title="Passo 3: Verificare che il bit SGID sia applicato solo alle directory"></a>Passo 3: Verificare che il bit SGID sia applicato solo alle directory</h2><p>Il bit SGID va usato <em>solo</em> sulle directory, non sui file. Se vuoi<br>controllare che nelle directory sia attivo, puoi eseguire:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">ls</span> -ld /var/www/html</span><br></pre></td></tr></table></figure>

<p>Vedrai un output simile:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">drwxrwsr-x  5 www-data www-data 4096 Jan 22 12:34 /var/www/html</span><br></pre></td></tr></table></figure>

<p>dove la presenza di <code>s</code> nella sezione dei permessi del gruppo (<code>rws</code>)<br>indica che la directory ha il bit SGID attivo.</p>
<p>Se accidentalmente hai applicato SGID anche ai file, puoi rimuoverlo dai<br>soli file con:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> find /var/www/html -<span class="built_in">type</span> f -<span class="built_in">exec</span> <span class="built_in">chmod</span> g-s &#123;&#125; \;</span><br></pre></td></tr></table></figure>

<h2 id="Passo-4-Verificare-l’appartenenza-al-gruppo-www-data"><a href="#Passo-4-Verificare-l’appartenenza-al-gruppo-www-data" class="headerlink" title="Passo 4: Verificare l’appartenenza al gruppo www-data"></a>Passo 4: Verificare l’appartenenza al gruppo www-data</h2><p>Infine, se vuoi controllare che <em>tutti</em> i file e le directory<br>appartengano al gruppo <code>www-data</code> (e segnalare se qualcosa non va), puoi<br>usare un comando <code>find</code> dedicato:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> find /var/www/html -not -group www-data -<span class="built_in">exec</span> <span class="built_in">ls</span> -l &#123;&#125; \;</span><br></pre></td></tr></table></figure>

<p>Se non viene stampato nulla, significa che tutti gli elementi presenti<br>in <code>/var/www/html</code> hanno già il gruppo <code>www-data</code>.</p>
<h2 id="Conclusioni"><a href="#Conclusioni" class="headerlink" title="Conclusioni"></a>Conclusioni</h2><p>Configurare correttamente i permessi e il bit SGID in <code>/var/www/html</code> è<br>fondamentale per gestire un ambiente di sviluppo o produzione in cui più<br>utenti collaborano sui file. Impostando i permessi 2775 sulle directory<br>e 0644 sui file, e assicurandoti che il bit SGID sia attivo <em>solo</em> sulle<br>directory, potrai lavorare in modo coerente e ordinato, senza dover<br>correggere manualmente le impostazioni di proprietà ogni volta che<br>vengono caricati nuovi file.</p>

      
    </div>
    <footer class="article-footer">
      <a data-url="https://geegeek.github.io/2025/01/28/Impostazione-dei-permessi-in-var-www-html-con-il-bit-SGID/" data-id="cm6gj9nub00002fj9h1wk4nkq" data-title="Impostazione dei permessi in /var/www/html con il bit SGID" class="article-share-link"><span class="fa fa-share">Share</span></a>
      
      
      
  <ul class="article-tag-list" itemprop="keywords"><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/var-www-html/" rel="tag">&#x2F;var&#x2F;www&#x2F;html</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/Linux/" rel="tag">Linux</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/Permessi/" rel="tag">Permessi</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/bit-SGID/" rel="tag">bit SGID</a></li></ul>

    </footer>
  </div>
  
</article>



  
    <article id="post-Generazione-e-condivisione-di-password-online-tramite-github-Pages" class="h-entry article article-type-post" itemprop="blogPost" itemscope itemtype="https://schema.org/BlogPosting">
  <div class="article-meta">
    <a href="/2024/12/16/Generazione-e-condivisione-di-password-online-tramite-github-Pages/" class="article-date">
  <time class="dt-published" datetime="2024-12-16T00:00:00.000Z" itemprop="datePublished">2024-12-16</time>
</a>
    
  <div class="article-category">
    <a class="article-category-link" href="/categories/Sicurezza-Informatica/">Sicurezza Informatica</a>►<a class="article-category-link" href="/categories/Sicurezza-Informatica/Strumenti-Online/">Strumenti Online</a>
  </div>

  </div>
  <div class="article-inner">
    
    
      <header class="article-header">
        
  
    <h1 itemprop="name">
      <a class="p-name article-title" href="/2024/12/16/Generazione-e-condivisione-di-password-online-tramite-github-Pages/">Generazione e condivisione di password online tramite github Pages</a>
    </h1>
  

      </header>
    
    <div class="e-content article-entry" itemprop="articleBody">
      
        <h1 id="Introduzione-alla-Sicurezza-delle-Password"><a href="#Introduzione-alla-Sicurezza-delle-Password" class="headerlink" title="Introduzione alla Sicurezza delle Password"></a>Introduzione alla Sicurezza delle Password</h1><p>Le password sono la prima linea di difesa per proteggere dati, account personali e risorse sensibili. Tuttavia, creare e ricordare password sufficientemente forti non è sempre semplice: è diffusa la cattiva abitudine di riutilizzare la stessa password per più servizi, oppure di crearne una troppo semplice e prevedibile.</p>
<p>Inoltre, quando si tratta di condividere queste credenziali con un collega, un collaboratore o un familiare, spesso vengono utilizzati canali non sicuri come email non cifrate o messaggistica istantanea. Questo tipo di condivisione espone a notevoli rischi, poiché chi intercetta il messaggio potrà potenzialmente utilizzare quella password. Per mitigare questi problemi, esistono strumenti online che semplificano sia la creazione di password complesse sia la loro condivisione in modo sicuro e temporaneo.</p>
<h2 id="Generatore-di-Password-Caratteristiche-e-Utilizzo"><a href="#Generatore-di-Password-Caratteristiche-e-Utilizzo" class="headerlink" title="Generatore di Password: Caratteristiche e Utilizzo"></a>Generatore di Password: Caratteristiche e Utilizzo</h2><p>Il primo strumento è un <strong>generatore di password</strong> disponibile su GitHub Pages. Questo servizio permette di creare password casuali di diversa complessità. L’utente può personalizzare i parametri in base alle proprie necessità: lunghezza, utilizzo di caratteri speciali, maiuscole, minuscole e numeri.</p>
<ul>
<li><p><strong>Accesso allo Strumento</strong>:<br>Il generatore è disponibile qui: <a href="https://geegeek.github.io/password/index.html">https://geegeek.github.io/password/index.html</a><br>Una volta aperta la pagina, è possibile selezionare i parametri desiderati (ad esempio, una lunghezza compresa tra 12 e 16 caratteri, includendo numeri e simboli) e generare una password complessa.</p>
</li>
<li><p><strong>Esempio di Generazione</strong>:<br>Supponiamo di voler creare una password robusta di 16 caratteri, contenente lettere maiuscole, minuscole, numeri e simboli. Lo strumento restituirà una stringa casuale, ad esempio:  </p>
<blockquote>
<blockquote>
<blockquote>
<p>XyZ!9mLpQ3r#1BdT  </p>
</blockquote>
</blockquote>
</blockquote>
<p>Questa password, lunga e complessa, non è facile da indovinare e rappresenta un buon punto di partenza per garantire un livello di sicurezza medio.</p>
</li>
</ul>
<h2 id="One-Time-Password-Link-Condivisione-Sicura-e-Temporanea"><a href="#One-Time-Password-Link-Condivisione-Sicura-e-Temporanea" class="headerlink" title="One-Time Password Link: Condivisione Sicura e Temporanea"></a>One-Time Password Link: Condivisione Sicura e Temporanea</h2><p>Il secondo strumento consente di condividere in modo sicuro la password generata, creando un link monouso attraverso cui il destinatario potrà visualizzare la password una sola volta. Questo meccanismo riduce la probabilità che la password resti esposta a lungo in chiaro su un canale di comunicazione insicuro.</p>
<ul>
<li><p><strong>Accesso allo Strumento</strong>:<br>Il servizio one-time si trova qui: <a href="https://geegeek.github.io/password/1timepassword/index.html">https://geegeek.github.io/password/1timepassword/index.html</a></p>
</li>
<li><p><strong>Funzionamento</strong>:<br>Una volta ottenuta la password dal generatore, è possibile trasferirla allo strumento 1timepassword, che creerà un link univoco. Chi riceve questo link potrà visualizzare la password una sola volta; dopodiché, il link non sarà più valido. In questo modo si riducono notevolmente i rischi legati alla condivisione diretta del testo.</p>
</li>
<li><p><strong>Vantaggi della Condivisione Monouso</strong>:  </p>
<ul>
<li>Evita di scrivere la password in chiaro su un canale di comunicazione.  </li>
<li>La password non rimane disponibile online a lungo.  </li>
<li>Una volta visualizzata, il link si “autodistrugge”, minimizzando l’esposizione.</li>
</ul>
</li>
</ul>
<h2 id="Integrazione-tra-i-due-Strumenti"><a href="#Integrazione-tra-i-due-Strumenti" class="headerlink" title="Integrazione tra i due Strumenti"></a>Integrazione tra i due Strumenti</h2><p>Una delle caratteristiche più interessanti di questi due servizi è la possibilità di integrarli tra loro. Il flusso può essere riassunto così:</p>
<ol>
<li>L’utente genera una password complessa con il primo strumento.</li>
<li>La password viene automaticamente passata allo strumento one-time password.</li>
<li>Si genera un link monouso, che l’utente può inviare al destinatario.</li>
</ol>
<p>Questo processo semplifica notevolmente la fase di condivisione. Non si deve copiare e incollare manualmente la password, riducendo errori e garantendo un flusso più lineare.</p>
<ul>
<li><p><strong>Esempio Pratico Passo Passo</strong>:  </p>
<ol>
<li>Aprire <a href="https://geegeek.github.io/password/index.html">https://geegeek.github.io/password/index.html</a>  </li>
<li>Generare una password con i parametri desiderati.  </li>
<li>Cliccare sull’opzione per passare la password generata allo strumento one-time (se disponibile nell’interfaccia).  </li>
<li>Aprire <a href="https://geegeek.github.io/password/1timepassword/index.html">https://geegeek.github.io/password/1timepassword/index.html</a>  </li>
<li>Ottenere il link generato.  </li>
<li>Condividere il link con il destinatario in modo sicuro.</li>
</ol>
</li>
<li><p><strong>Benefici dell’Integrazione</strong>:  </p>
<ul>
<li>Facilità d’uso: non serve copiare e incollare.  </li>
<li>Riduzione degli errori: la password passa direttamente dall’uno all’altro strumento.  </li>
<li>Maggiore sicurezza: il link monouso limita l’esposizione della password.</li>
</ul>
</li>
</ul>
<h2 id="Aspetti-Tecnici-e-Codice-di-Base"><a href="#Aspetti-Tecnici-e-Codice-di-Base" class="headerlink" title="Aspetti Tecnici e Codice di Base"></a>Aspetti Tecnici e Codice di Base</h2><p>Entrambi gli strumenti sono hostati su GitHub Pages, una soluzione semplice per pubblicare siti statici. Le pagine si basano su HTML, CSS e JavaScript. Il codice di integrazione può essere facilmente analizzato e modificato a seconda delle esigenze.</p>
<ul>
<li><p><strong>Struttura dei File</strong>:<br>In genere, si hanno file HTML per la struttura della pagina, CSS per il layout e JS per la logica di generazione e passaggio delle password.<br>Uno schema generico potrebbe essere:  </p>
<blockquote>
<blockquote>
<blockquote>
<p>index.html<br>├── style.css<br>└── script.js  </p>
</blockquote>
</blockquote>
</blockquote>
</li>
<li><p><strong>Esempio di Integrazione del Codice</strong>:<br>Nella pagina del generatore di password (index.html) potrebbe esserci un codice JavaScript che, una volta generata la password, effettua un redirect o invoca un endpoint della pagina del one-time password.</p>
<p>Ad esempio:  </p>
<blockquote>
<blockquote>
<blockquote>
<p>&#x2F;&#x2F; Generazione della password<br>const password &#x3D; generatePassword({ length: 16, symbols: true, numbers: true });<br>&#x2F;&#x2F; Invio la password allo strumento one-time attraverso un parametro GET<br>const oneTimeUrl &#x3D; “<a href="https://geegeek.github.io/password/1timepassword/index.html?pwd=">https://geegeek.github.io/password/1timepassword/index.html?pwd=</a>“ + encodeURIComponent(password);<br>console.log(“Visita questo link per la password monouso:”, oneTimeUrl);</p>
</blockquote>
</blockquote>
</blockquote>
<p>Questa è una semplice illustrazione. In pratica, il codice effettivo potrebbe essere più complesso.</p>
</li>
<li><p><strong>Configurazioni di Base Consigliate</strong>:  </p>
<ol>
<li><strong>Lunghezza della password</strong>: almeno 12 caratteri.  </li>
<li><strong>Caratteri inclusi</strong>: lettere minuscole, maiuscole, numeri e simboli.  </li>
<li><strong>HTTPS obbligatorio</strong>: assicurarsi che la condivisione del link avvenga sempre tramite protocollo HTTPS.  </li>
<li><strong>Aggiornamenti periodici</strong>: mantenere il codice aggiornato per includere eventuali fix di sicurezza.</li>
</ol>
</li>
</ul>
<h2 id="Buone-Pratiche-di-Sicurezza"><a href="#Buone-Pratiche-di-Sicurezza" class="headerlink" title="Buone Pratiche di Sicurezza"></a>Buone Pratiche di Sicurezza</h2><p>L’impiego di strumenti come questi non elimina la necessità di attenersi a buone pratiche di sicurezza:</p>
<ul>
<li><strong>Non riutilizzare le password</strong>: Non utilizzare la stessa password per più account.  </li>
<li><strong>Cambiare periodicamente le password</strong>: Aggiornare le credenziali ogni tre-sei mesi.  </li>
<li><strong>Utilizzare password manager riconosciuti</strong>: Se necessario, impiegare un password manager affidabile.  </li>
<li><strong>Verificare la provenienza dei link</strong>: Non cliccare su link sospetti. Il link monouso per la password deve provenire da una fonte fidata.</li>
</ul>
<h2 id="Conclusioni-e-Sviluppi-Futuri"><a href="#Conclusioni-e-Sviluppi-Futuri" class="headerlink" title="Conclusioni e Sviluppi Futuri"></a>Conclusioni e Sviluppi Futuri</h2><p>Gli strumenti presentati offrono una soluzione semplice per migliorare la sicurezza nella creazione e condivisione delle password. La combinazione tra un generatore affidabile e un servizio di link monouso riduce al minimo i rischi legati alla divulgazione non autorizzata delle credenziali.</p>
<p>Guardando al futuro, sarebbe possibile integrare ulteriormente queste funzionalità con API di messaggistica sicura o aggiungere restrizioni temporali più raffinate (ad esempio, il link è valido per un numero limitato di minuti).</p>
<p>In conclusione, l’approccio è semplice, non richiede particolari competenze tecniche e può migliorare la vita di chiunque debba gestire e condividere password in modo più sicuro e consapevole.</p>
<p>NOTA BENE:<br>Pur essendo un metodo pratico e immediato per condividere informazioni sensibili senza l’ausilio di infrastrutture complesse, è importante considerare attentamente le implicazioni di sicurezza e le limitazioni di questo approccio, tenendo presente che – anche se crittografata – la password viene comunque trasmessa nell’URL, con i relativi rischi.</p>

      
    </div>
    <footer class="article-footer">
      <a data-url="https://geegeek.github.io/2024/12/16/Generazione-e-condivisione-di-password-online-tramite-github-Pages/" data-id="cm5wmibd3000935j9amdqcoqa" data-title="Generazione e condivisione di password online tramite github Pages" class="article-share-link"><span class="fa fa-share">Share</span></a>
      
      
      
  <ul class="article-tag-list" itemprop="keywords"><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/one-time-password/" rel="tag">one-time password</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/password-generator/" rel="tag">password generator</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/sicurezza/" rel="tag">sicurezza</a></li></ul>

    </footer>
  </div>
  
</article>



  
    <article id="post-Come-identificare-e-gestire-i-file-che-occupano-troppo-spazio-su-disco-da-linea-di-comando" class="h-entry article article-type-post" itemprop="blogPost" itemscope itemtype="https://schema.org/BlogPosting">
  <div class="article-meta">
    <a href="/2024/12/12/Come-identificare-e-gestire-i-file-che-occupano-troppo-spazio-su-disco-da-linea-di-comando/" class="article-date">
  <time class="dt-published" datetime="2024-12-12T17:32:08.000Z" itemprop="datePublished">2024-12-12</time>
</a>
    
  <div class="article-category">
    <a class="article-category-link" href="/categories/Amministrazione-di-Sistema/">Amministrazione di Sistema</a>►<a class="article-category-link" href="/categories/Amministrazione-di-Sistema/Linux/">Linux</a>
  </div>

  </div>
  <div class="article-inner">
    
    
      <header class="article-header">
        
  
    <h1 itemprop="name">
      <a class="p-name article-title" href="/2024/12/12/Come-identificare-e-gestire-i-file-che-occupano-troppo-spazio-su-disco-da-linea-di-comando/">Come identificare e gestire i file che occupano troppo spazio su disco da linea di comando</a>
    </h1>
  

      </header>
    
    <div class="e-content article-entry" itemprop="articleBody">
      
        <p>Quando lo spazio su disco inizia a ridursi, diventa importante individuare quali directory o file consumano grandi quantità di spazio di archiviazione. Disporre dei giusti comandi da riga di comando è essenziale per una manutenzione quotidiana del proprio HomeLab, permettendo di affrontare con calma ed efficienza situazioni potenzialmente critiche.</p>
<p>In questo articolo vedremo alcuni comandi utili per analizzare lo spazio su disco su sistemi Linux. Verranno illustrate anche alcune strategie per liberare spazio, mantenendo un livello di sicurezza medio-alto e operando in modo ragionevole. Nessuna pratica eccessivamente rischiosa verrà proposta, e suggeriremo sempre di operare con la massima cautela.</p>
<hr>
<h3 id="Panoramica-sullo-spazio-su-disco"><a href="#Panoramica-sullo-spazio-su-disco" class="headerlink" title="Panoramica sullo spazio su disco"></a>Panoramica sullo spazio su disco</h3><p>Prima di tutto, è utile avere una panoramica generale dell’utilizzo delle partizioni:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">df</span> -h</span><br></pre></td></tr></table></figure>

<p>L’opzione <code>-h</code> (human-readable) converte i valori in unità facilmente leggibili (KB, MB, GB). Da questo output, potrai vedere subito se una partizione è vicina al limite della sua capacità.</p>
<hr>
<h3 id="Identificare-le-directory-piu-grandi"><a href="#Identificare-le-directory-piu-grandi" class="headerlink" title="Identificare le directory più grandi"></a>Identificare le directory più grandi</h3><p>Quando individui una partizione critica (ad esempio <code>/opt/NOME_DIRECTORY</code>), puoi analizzare la struttura delle directory al suo interno:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">du</span> -h /opt/NOME_DIRECTORY --max-depth=1 2&gt;/dev/null | <span class="built_in">sort</span> -hr | <span class="built_in">head</span> -n 10</span><br></pre></td></tr></table></figure>

<ul>
<li><code>du -h</code>: mostra la dimensione delle directory in modo leggibile  </li>
<li><code>--max-depth=1</code>: limita la profondità dell’analisi a un solo livello  </li>
<li><code>sort -hr</code>: ordina i risultati dal più grande al più piccolo  </li>
<li><code>head -n 10</code>: mostra le prime 10 linee</li>
<li>L’opzione <code>2&gt;/dev/null</code> viene utilizzata per ignorare i messaggi di errore relativi a directory non accessibili, semplificando l’analisi dell’output. In alcuni contesti potresti ometterla, se preferisci vedere quali percorsi non possono essere letti.</li>
</ul>
<p>Se individui una sottodirectory di grandi dimensioni, puoi approfondire ulteriormente nello stesso modo:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">du</span> -h /opt/NOME_DIRECTORY/GRANDE_CARTELLA_1 --max-depth=1 2&gt;/dev/null | <span class="built_in">sort</span> -hr | <span class="built_in">head</span> -n 10</span><br></pre></td></tr></table></figure>

<p>Queste analisi a imbuto ti consentono di scendere gradualmente fino ai singoli file più ingombranti.</p>
<hr>
<h3 id="Cercare-file-di-grandi-dimensioni"><a href="#Cercare-file-di-grandi-dimensioni" class="headerlink" title="Cercare file di grandi dimensioni"></a>Cercare file di grandi dimensioni</h3><p>Se desideri individuare direttamente i file più pesanti, puoi utilizzare:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">find / -<span class="built_in">type</span> f -size +100M 2&gt;/dev/null | <span class="built_in">head</span> -n 20</span><br></pre></td></tr></table></figure>

<ul>
<li><code>find /</code>: inizia la ricerca dalla radice  </li>
<li><code>-type f</code>: cerca solo file  </li>
<li><code>-size +100M</code>: limita la ricerca ai file maggiori di 100MB  </li>
<li><code>2&gt;/dev/null</code>: sopprime i messaggi di errore su directory non accessibili  </li>
<li><code>head -n 20</code>: mostra solo i primi 20 risultati</li>
</ul>
<p>In questo modo otterrai una rapida lista dei maggiori responsabili del consumo di spazio.</p>
<hr>
<h3 id="Strumenti-interattivi-ncdu"><a href="#Strumenti-interattivi-ncdu" class="headerlink" title="Strumenti interattivi: ncdu"></a>Strumenti interattivi: ncdu</h3><p>Se puoi installare nuovi tool nel tuo HomeLab, <code>ncdu</code> è uno strumento interattivo molto utile:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">apt update</span><br><span class="line">apt install ncdu</span><br></pre></td></tr></table></figure>

<p>Una volta installato, puoi eseguirlo con:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">ncdu /home/utente</span><br></pre></td></tr></table></figure>

<p><code>ncdu</code> fornisce un’interfaccia testuale per navigare tra le directory, visualizzarne le dimensioni e, se necessario, eliminare i file direttamente dall’interfaccia. Eccone simile esempio:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br></pre></td><td class="code"><pre><span class="line">ncdu 1.19 ~ Use the arrow keys to navigate, press ? <span class="keyword">for</span> <span class="built_in">help</span></span><br><span class="line">--- /home/utente ---------------------------------------------------------------------------</span><br><span class="line">  120.0 MiB [########################]  /progettoX</span><br><span class="line">   60.5 MiB [############            ]  /.local</span><br><span class="line">   32.2 MiB [#####                   ]  /.cache</span><br><span class="line">   15.0 MiB [##                      ]  /documenti</span><br><span class="line">    5.0 MiB [                        ]  /.ssh</span><br><span class="line">    2.0 MiB [                        ]  config_backup.tar.gz</span><br><span class="line">    1.0 MiB [                        ]  notes.txt</span><br><span class="line">   40.0 KiB [                        ]  .bash_history</span><br><span class="line">    4.0 KiB [                        ]  .bashrc</span><br><span class="line">    4.0 KiB [                        ]  .profile</span><br><span class="line"></span><br></pre></td></tr></table></figure>

<hr>
<h3 id="Altri-comandi-utili"><a href="#Altri-comandi-utili" class="headerlink" title="Altri comandi utili"></a>Altri comandi utili</h3><ol>
<li><p><strong><code>du -sh *</code> nella directory corrente</strong><br>Mostra la dimensione di ogni directory e file nel percorso corrente, per una rapida panoramica.</p>
</li>
<li><p><strong><code>lsof +aL1 /NOME_MONTAGGIO</code></strong><br>A volte lo spazio è occupato da file già cancellati ma ancora aperti da qualche processo. Questo comando mostra i file aperti con link count zero, evidenziando i casi in cui è sufficiente terminare il processo per liberare spazio.</p>
</li>
<li><p><strong><code>df -i</code></strong><br>Se sospetti che non sia lo spazio ad esaurirsi, ma gli inode, <code>df -i</code> ti mostrerà quanti inode sono utilizzati. Gli inode sono strutture dati utilizzate per gestire informazioni sui file, come metadati, permessi e puntatori al contenuto; un eccesso di file molto piccoli può saturare il numero di inode disponibili.</p>
</li>
</ol>
<hr>
<h3 id="Caso-reale-avviso-da-un-servizio-di-monitoraggio-Nagios"><a href="#Caso-reale-avviso-da-un-servizio-di-monitoraggio-Nagios" class="headerlink" title="Caso reale: avviso da un servizio di monitoraggio (Nagios)"></a>Caso reale: avviso da un servizio di monitoraggio (Nagios)</h3><p>Vediamo ora un esempio pratico di come questi comandi possano risultare utili, sia in un’infrastruttura aziendale complessa che in un semplice HomeLab. È una pratica diffusa configurare uno o più servizi di monitoraggio, come Nagios o Zabbix, per tenere sotto controllo lo stato delle macchine. Questi strumenti possono raccogliere dati in modi diversi:</p>
<ul>
<li><p><strong>Con agent</strong>: Il sistema monitorato esegue un software agente (come <code>NRPE</code> per Nagios o l’agente nativo di Zabbix) che invia periodicamente informazioni sullo stato delle risorse (utilizzo CPU, RAM, spazio disco, servizi attivi) al server di monitoraggio.</p>
</li>
<li><p><strong>Senza agent (agentless)</strong>: Il server di monitoraggio interroga direttamente i sistemi target usando protocolli standard come SNMP, WMI (per macchine Windows) o SSH. In questo caso non è necessario installare nulla sul sistema da controllare, riducendo così la complessità dell’infrastruttura.</p>
</li>
</ul>
<p>Nel mio HomeLab, ad esempio, ho ricevuto un avviso da Nagios, che segnalava una situazione critica su un host generico (<code>NOME_HOST</code>). Ecco un esempio del messaggio:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br></pre></td><td class="code"><pre><span class="line">***** Nagios Monitor XI Alert *****</span><br><span class="line"></span><br><span class="line">Notification Type: PROBLEM</span><br><span class="line"></span><br><span class="line">Service: Check linux disk usage </span><br><span class="line">Host: NOME_HOST </span><br><span class="line">Address: NOME_INDIRIZZO_IP </span><br><span class="line">State: CRITICAL</span><br><span class="line"></span><br><span class="line">Date/Time: NOME_DATA_ORA</span><br><span class="line"></span><br><span class="line">Additional Info:</span><br><span class="line"></span><br><span class="line">CRITICAL. DISK STATS: / al 90%, /opt/NOME_DIRECTORY al 100%.</span><br></pre></td></tr></table></figure>


<p>Questa notifica mi ha spinto a utilizzare i comandi sopra descritti, individuando con facilità i file e le directory più ingombranti. Ciò mi ha permesso di liberare spazio in modo mirato e sicuro, riducendo l’impatto sull’ambiente e prevenendo potenziali downtime.</p>
<hr>
<p><strong>In conclusione</strong>, utilizzare comandi come <code>df</code>, <code>du</code>, <code>find</code>, o tool interattivi come <code>ncdu</code>, ti permette di individuare rapidamente le aree problematiche del tuo spazio su disco, mantenendo un approccio umile, controllato e sicuro nel tempo. Queste pratiche diventano fondamentali per evitare situazioni di emergenza e mantenere il tuo HomeLab ottimizzato e funzionale.</p>

      
    </div>
    <footer class="article-footer">
      <a data-url="https://geegeek.github.io/2024/12/12/Come-identificare-e-gestire-i-file-che-occupano-troppo-spazio-su-disco-da-linea-di-comando/" data-id="cm5wmibcl000235j97csic3hh" data-title="Come identificare e gestire i file che occupano troppo spazio su disco da linea di comando" class="article-share-link"><span class="fa fa-share">Share</span></a>
      
      
      
  <ul class="article-tag-list" itemprop="keywords"><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/HomeLab/" rel="tag">HomeLab</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/Linux/" rel="tag">Linux</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/Nagios/" rel="tag">Nagios</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/manutenzione/" rel="tag">manutenzione</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/spazio-disco/" rel="tag">spazio disco</a></li></ul>

    </footer>
  </div>
  
</article>



  
    <article id="post-Esempi-Pratici-di-Expect-sulla-CLI-Linux-Accesso-Remoto-e-Gestione-Password" class="h-entry article article-type-post" itemprop="blogPost" itemscope itemtype="https://schema.org/BlogPosting">
  <div class="article-meta">
    <a href="/2024/12/10/Esempi-Pratici-di-Expect-sulla-CLI-Linux-Accesso-Remoto-e-Gestione-Password/" class="article-date">
  <time class="dt-published" datetime="2024-12-10T00:00:00.000Z" itemprop="datePublished">2024-12-10</time>
</a>
    
  </div>
  <div class="article-inner">
    
    
      <header class="article-header">
        
  
    <h1 itemprop="name">
      <a class="p-name article-title" href="/2024/12/10/Esempi-Pratici-di-Expect-sulla-CLI-Linux-Accesso-Remoto-e-Gestione-Password/">Esempi Pratici di Expect sulla CLI Linux: Accesso Remoto e Gestione Password</a>
    </h1>
  

      </header>
    
    <div class="e-content article-entry" itemprop="articleBody">
      
        <h2 id="Introduzione"><a href="#Introduzione" class="headerlink" title="Introduzione"></a>Introduzione</h2><p>In ambiente Linux&#x2F;Unix, l’automazione di compiti ripetitivi e l’interazione non presidiata con programmi che richiedono input da tastiera sono attività frequenti. L’utilizzo di <strong>Expect</strong> offre una soluzione semplice e versatile: questo strumento consente di definire in anticipo le risposte a richieste interattive, evitando la necessità di sviluppare interi script in linguaggi più complessi come Python o PHP.</p>
<p>Garantire un buon livello di sicurezza nell’automazione è fondamentale. Gli esempi forniti di seguito mantengono un approccio prudente: utilizzeremo account non privilegiati o con le autorizzazioni minime necessarie, eviteremo l’uso diretto dell’utente root e ci assicureremo di non memorizzare password in chiaro su file non protetti. L’obiettivo è automatizzare task comuni in modo sicuro e affidabile.</p>
<h2 id="Cosa-e-Expect"><a href="#Cosa-e-Expect" class="headerlink" title="Cosa è Expect?"></a>Cosa è Expect?</h2><p>Expect è un programma che permette di “dialogare” con altri programmi interattivi secondo uno script. In altre parole, con Expect si può:</p>
<ul>
<li>Avviare un programma interattivo (come <code>ssh</code> o <code>passwd</code>)</li>
<li>Attendere determinate risposte, prompt o messaggi</li>
<li>Inviare input predefiniti in risposta a tali messaggi</li>
</ul>
<p>Il linguaggio di scripting di Expect si basa su Tcl, un linguaggio interpretato, semplice ma potente, che fornisce strutture di controllo (if, for), definizione di procedure, manipolazione di stringhe e molto altro. Questa combinazione consente di creare script di automazione flessibili, capaci di gestire condizioni variabili e flussi logici complessi.</p>
<h2 id="Quando-e-Perche-Usare-Expect"><a href="#Quando-e-Perche-Usare-Expect" class="headerlink" title="Quando e Perché Usare Expect?"></a>Quando e Perché Usare Expect?</h2><p>Expect è utile in qualsiasi scenario in cui si necessiti di fornire risposte previste a input richiesti da un programma. Ad esempio:</p>
<ul>
<li>Accesso remoto a sistemi via SSH senza dover inserire la password manualmente, utile quando si devono eseguire comandi su più server.</li>
<li>Gestione automatizzata delle password, ad esempio per aggiornare le credenziali di un account locale su più macchine.</li>
<li>Automazione di procedure interne a sistemi legacy o applicazioni non modernizzate.</li>
</ul>
<p>Rispetto ad altre soluzioni come l’uso di librerie Python o di Ansible, Expect può risultare più semplice e immediato, specialmente per piccole automazioni quotidiane o integrazioni rapide all’interno di script Bash esistenti.</p>
<h2 id="Installazione-e-Uso-di-Base"><a href="#Installazione-e-Uso-di-Base" class="headerlink" title="Installazione e Uso di Base"></a>Installazione e Uso di Base</h2><p>Prima di tutto, verificare che Expect sia installato:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">which</span> expect</span><br><span class="line">```  </span><br><span class="line">Se non installato, utilizzare il gestore pacchetti della distribuzione per aggiungerlo. Ad esempio su Debian/Ubuntu:</span><br><span class="line">```bash</span><br><span class="line"><span class="built_in">sudo</span> apt-get update &amp;&amp; <span class="built_in">sudo</span> apt-get install expect</span><br></pre></td></tr></table></figure>

<p>Per eseguire uno script Expect:</p>
<ul>
<li>Creare il file con estensione <code>.exp</code></li>
<li>Assicurarsi che abbia i permessi di esecuzione</li>
<li>Lanciare lo script con:<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">expect -f nome_script.exp</span><br></pre></td></tr></table></figure></li>
</ul>
<p>È anche possibile rendere lo script eseguibile e utilizzare il <strong>shebang</strong>:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="meta">#!/usr/bin/expect -f</span></span><br></pre></td></tr></table></figure>
<p>In questo modo si potrà lanciare lo script direttamente, come un normale comando.</p>
<p>Per maggiori dettagli sulle opzioni, consultare la pagina man di Expect:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">man expect</span><br></pre></td></tr></table></figure>

<h2 id="Esempio-1-Connessione-SSH-e-Comando-Remoto"><a href="#Esempio-1-Connessione-SSH-e-Comando-Remoto" class="headerlink" title="Esempio 1: Connessione SSH e Comando Remoto"></a>Esempio 1: Connessione SSH e Comando Remoto</h2><p>Un caso tipico è l’accesso a un server remoto via SSH per eseguire un comando specifico. Immaginiamo di dover connetterci a un server senza inserire manualmente la password e lanciare un singolo comando remoto.</p>
<p><strong>Prerequisiti di sicurezza:</strong></p>
<ul>
<li>Assicurarsi di utilizzare chiavi SSH protette da passphrase se possibile, oppure conservare la password in modo sicuro (ad esempio in un file con permessi limitati).</li>
<li>Non utilizzare l’utente root, ma un account non privilegiato.</li>
</ul>
<h3 id="Script-di-Esempio"><a href="#Script-di-Esempio" class="headerlink" title="Script di Esempio"></a>Script di Esempio</h3><p>Creare un file <code>ssh_command.exp</code> con il seguente contenuto:</p>
<figure class="highlight tcl"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br><span class="line">19</span><br><span class="line">20</span><br><span class="line">21</span><br><span class="line">22</span><br><span class="line">23</span><br><span class="line">24</span><br><span class="line">25</span><br></pre></td><td class="code"><pre><span class="line"><span class="comment">#!/usr/bin/expect -f</span></span><br><span class="line"></span><br><span class="line"><span class="comment"># Verifica dei parametri: username, password, server, porta, comando</span></span><br><span class="line"><span class="keyword">if</span> &#123;[<span class="keyword">llength</span> <span class="variable">$argv</span>] != <span class="number">5</span>&#125; &#123;</span><br><span class="line">    <span class="keyword">puts</span> <span class="string">&quot;Uso: ./ssh_command.exp &lt;username&gt; &lt;password&gt; &lt;server&gt; &lt;porta&gt; &lt;comando&gt;&quot;</span></span><br><span class="line">    <span class="keyword">exit</span> <span class="number">1</span></span><br><span class="line">&#125;</span><br><span class="line"></span><br><span class="line"><span class="keyword">set</span> username [<span class="keyword">lindex</span> <span class="variable">$argv</span> <span class="number">0</span>]</span><br><span class="line"><span class="keyword">set</span> password [<span class="keyword">lindex</span> <span class="variable">$argv</span> <span class="number">1</span>]</span><br><span class="line"><span class="keyword">set</span> server [<span class="keyword">lindex</span> <span class="variable">$argv</span> <span class="number">2</span>]</span><br><span class="line"><span class="keyword">set</span> port [<span class="keyword">lindex</span> <span class="variable">$argv</span> <span class="number">3</span>]</span><br><span class="line"><span class="keyword">set</span> command [<span class="keyword">lindex</span> <span class="variable">$argv</span> <span class="number">4</span>]</span><br><span class="line"></span><br><span class="line"><span class="keyword">set</span> timeout <span class="number">60</span></span><br><span class="line"></span><br><span class="line"><span class="comment"># Avvio della sessione SSH</span></span><br><span class="line">spawn ssh -p <span class="variable">$port</span> <span class="variable">$username</span>@<span class="variable">$server</span> <span class="variable">$command</span></span><br><span class="line">expect <span class="string">&quot;?assword:&quot;</span></span><br><span class="line"></span><br><span class="line"><span class="comment"># Invio della password</span></span><br><span class="line">send <span class="string">&quot;$password\r&quot;</span></span><br><span class="line"></span><br><span class="line"><span class="comment"># Attendo la fine dell’esecuzione del comando</span></span><br><span class="line">expect <span class="keyword">eof</span></span><br></pre></td></tr></table></figure>

<p>Rendere lo script eseguibile:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">chmod</span> +x ssh_command.exp</span><br></pre></td></tr></table></figure>

<p>Eseguire lo script:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">./ssh_command.exp utente password server.example.com 22 <span class="string">&quot;ls -l&quot;</span></span><br></pre></td></tr></table></figure>

<p>Lo script effettuerà la connessione, inserirà la password per voi ed eseguirà il comando <code>ls -l</code> sul server remoto.</p>
<h2 id="Esempio-2-Cambio-Password-Utente-con-Expect"><a href="#Esempio-2-Cambio-Password-Utente-con-Expect" class="headerlink" title="Esempio 2: Cambio Password Utente con Expect"></a>Esempio 2: Cambio Password Utente con Expect</h2><p>Supponiamo di voler aggiornare la password di un account locale. L’uso di Expect consente di automatizzare questo processo senza inserire manualmente la password all’interno del prompt di <code>passwd</code>.</p>
<p><strong>Nota di Sicurezza:</strong>  </p>
<ul>
<li>Non utilizzare l’utente root. Utilizzare un account con i permessi minimi sufficienti a modificare la password desiderata. In un contesto reale, valutare attentamente le autorizzazioni del proprio ambiente.</li>
<li>Evitare di lasciare password in chiaro su file non sicuri. Eventualmente usare variabili d’ambiente protette, o gestori di segreti sicuri.</li>
</ul>
<h3 id="Script-di-Esempio-1"><a href="#Script-di-Esempio-1" class="headerlink" title="Script di Esempio"></a>Script di Esempio</h3><p>Creare il file <code>passwd_change.exp</code>:</p>
<figure class="highlight tcl"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br></pre></td><td class="code"><pre><span class="line"><span class="comment">#!/usr/bin/expect -f</span></span><br><span class="line"></span><br><span class="line"><span class="keyword">if</span> &#123;[<span class="keyword">llength</span> <span class="variable">$argv</span>] != <span class="number">2</span>&#125; &#123;</span><br><span class="line">    <span class="keyword">puts</span> <span class="string">&quot;Uso: ./passwd_change.exp &lt;username&gt; &lt;nuova_password&gt;&quot;</span></span><br><span class="line">    <span class="keyword">exit</span> <span class="number">1</span></span><br><span class="line">&#125;</span><br><span class="line"></span><br><span class="line"><span class="keyword">set</span> username [<span class="keyword">lindex</span> <span class="variable">$argv</span> <span class="number">0</span>]</span><br><span class="line"><span class="keyword">set</span> newpass [<span class="keyword">lindex</span> <span class="variable">$argv</span> <span class="number">1</span>]</span><br><span class="line"></span><br><span class="line"><span class="keyword">set</span> timeout <span class="number">20</span></span><br><span class="line"></span><br><span class="line">spawn passwd <span class="variable">$username</span></span><br><span class="line">expect <span class="string">&quot;assword:&quot;</span></span><br><span class="line">send <span class="string">&quot;$newpass\r&quot;</span></span><br><span class="line">expect <span class="string">&quot;assword:&quot;</span></span><br><span class="line">send <span class="string">&quot;$newpass\r&quot;</span></span><br><span class="line">expect <span class="keyword">eof</span></span><br></pre></td></tr></table></figure>

<p>Rendere lo script eseguibile:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">chmod</span> +x passwd_change.exp</span><br></pre></td></tr></table></figure>

<p>Eseguire lo script per cambiare la password:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">./passwd_change.exp utente locale_nuova_password</span><br></pre></td></tr></table></figure>

<h2 id="Integrazione-con-Script-Bash"><a href="#Integrazione-con-Script-Bash" class="headerlink" title="Integrazione con Script Bash"></a>Integrazione con Script Bash</h2><p>Expect può essere facilmente integrato all’interno di script Bash più ampi. Ad esempio, potremmo avere uno script Bash che esegue aggiornamenti periodici su un server e successivamente richiama Expect per eseguire comandi remoti in modo automatizzato.</p>
<p>Esempio di snippet Bash che chiama lo script di connessione SSH:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br></pre></td><td class="code"><pre><span class="line"><span class="meta">#!/bin/bash</span></span><br><span class="line"></span><br><span class="line"><span class="comment"># Aggiornamenti o altre operazioni di contesto qui...</span></span><br><span class="line"><span class="comment"># Variabili definite all’interno dello script Bash</span></span><br><span class="line">USERNAME=<span class="string">&quot;utente&quot;</span></span><br><span class="line">PASSWORD=<span class="string">&quot;mypass&quot;</span></span><br><span class="line">SERVER=<span class="string">&quot;server.example.com&quot;</span></span><br><span class="line">PORT=22</span><br><span class="line">COMMAND=<span class="string">&quot;uptime&quot;</span></span><br><span class="line"></span><br><span class="line"><span class="comment"># Richiama lo script Expect</span></span><br><span class="line">./ssh_command.exp <span class="string">&quot;<span class="variable">$USERNAME</span>&quot;</span> <span class="string">&quot;<span class="variable">$PASSWORD</span>&quot;</span> <span class="string">&quot;<span class="variable">$SERVER</span>&quot;</span> <span class="string">&quot;<span class="variable">$PORT</span>&quot;</span> <span class="string">&quot;<span class="variable">$COMMAND</span>&quot;</span></span><br></pre></td></tr></table></figure>

<p>In questo modo è possibile combinare logica Bash, controllo di flussi, cicli e condizioni con la capacità interattiva di Expect.</p>
<h2 id="Considerazioni-Finali"><a href="#Considerazioni-Finali" class="headerlink" title="Considerazioni Finali"></a>Considerazioni Finali</h2><p>Gli esempi presentati mostrano come Expect possa semplificare l’automazione di operazioni comuni:</p>
<ul>
<li>Connettersi a un server remoto e dare comandi in autonomia.</li>
<li>Aggiornare la password di un utente locale senza interazioni manuali.</li>
</ul>
<p>L’uso di Expect rimane flessibile: può essere applicato a numerosi altri scenari, dalla configurazione di dispositivi di rete all’interazione con applicazioni legacy. L’approccio basato su Tcl rende Expect potente e adattabile. È consigliabile esplorare la documentazione completa per scoprire funzionalità avanzate come la gestione dei timeout, l’uso di pattern più complessi e l’integrazione con altri strumenti.</p>
<h2 id="Riferimenti-e-Risorse"><a href="#Riferimenti-e-Risorse" class="headerlink" title="Riferimenti e Risorse"></a>Riferimenti e Risorse</h2><ul>
<li><p>Pagina man di Expect:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">man expect</span><br></pre></td></tr></table></figure></li>
<li><p>Documentazione Tcl:<br><a target="_blank" rel="noopener" href="https://www.tcl.tk/">https://www.tcl.tk/</a></p>
</li>
<li><p>Esempi aggiuntivi e progetti open source su GitHub e altri repository di script per l’automazione, dove potete trovare soluzioni reali e suggerimenti pratici.</p>
</li>
</ul>
<p>In definitiva, l’obiettivo è mantenere un equilibrio tra automazione e sicurezza, adottando pratiche prudenziali come l’uso di account non privilegiati, la protezione delle credenziali e la verifica costante degli script prima di metterli in produzione.</p>

      
    </div>
    <footer class="article-footer">
      <a data-url="https://geegeek.github.io/2024/12/10/Esempi-Pratici-di-Expect-sulla-CLI-Linux-Accesso-Remoto-e-Gestione-Password/" data-id="cm5wmibd2000735j9b8cl7wfb" data-title="Esempi Pratici di Expect sulla CLI Linux: Accesso Remoto e Gestione Password" class="article-share-link"><span class="fa fa-share">Share</span></a>
      
      
      
  <ul class="article-tag-list" itemprop="keywords"><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/automazione/" rel="tag">automazione</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/linux/" rel="tag">linux</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/networking/" rel="tag">networking</a></li></ul>

    </footer>
  </div>
  
</article>



  
    <article id="post-Automatizzare-la-configurazione-differenziata-dell-accesso-SSH-con-Ansible" class="h-entry article article-type-post" itemprop="blogPost" itemscope itemtype="https://schema.org/BlogPosting">
  <div class="article-meta">
    <a href="/2024/12/09/Automatizzare-la-configurazione-differenziata-dell-accesso-SSH-con-Ansible/" class="article-date">
  <time class="dt-published" datetime="2024-12-09T00:00:00.000Z" itemprop="datePublished">2024-12-09</time>
</a>
    
  </div>
  <div class="article-inner">
    
    
      <header class="article-header">
        
  
    <h1 itemprop="name">
      <a class="p-name article-title" href="/2024/12/09/Automatizzare-la-configurazione-differenziata-dell-accesso-SSH-con-Ansible/">Automatizzare la configurazione differenziata dell&#39;accesso SSH con Ansible</a>
    </h1>
  

      </header>
    
    <div class="e-content article-entry" itemprop="articleBody">
      
        <h2 id="Introduzione"><a href="#Introduzione" class="headerlink" title="Introduzione"></a>Introduzione</h2><p>Nel precedente articolo abbiamo esplorato come implementare una configurazione SSH modulare su un server Ubuntu&#x2F;Debian, differenziando i metodi di accesso a seconda della provenienza (interna o esterna), degli utenti e dei metodi di autenticazione. Abbiamo separato la configurazione in file multipli all’interno di <code>sshd_config.d</code>, applicando politiche restrittive per l’accesso esterno e più permissive per la rete interna, oltre a integrare fail2ban, firewall (<code>ufw</code>) e il port forwarding su porte alte per aumentare la sicurezza.</p>
<p>In questo nuovo articolo ci concentreremo sull’automazione dello stesso identico approccio utilizzando <strong>Ansible</strong>, uno strumento di automazione dell’infrastruttura che ci consentirà di distribuire e mantenere le medesime configurazioni su uno o più server in modo semplice, ripetibile e privo di errori umani. L’uso di Ansible garantisce che le configurazioni siano idempotenti: eseguendo il playbook più volte otterremo sempre lo stato desiderato, senza dover ritoccare manualmente i file o rischiare inconsistenze.</p>
<p>Obiettivi principali:</p>
<ul>
<li>Automatizzare l’installazione e configurazione di OpenSSH Server.</li>
<li>Gestire i file di configurazione (<code>/etc/ssh/sshd_config</code> e <code>/etc/ssh/sshd_config.d/*.conf</code>) tramite Ansible.</li>
<li>Impostare regole <code>ufw</code> e configurazione base di <code>fail2ban</code>.</li>
<li>Creare utenti, impostare chiavi SSH, differenziare l’accesso da interno ed esterno.</li>
<li>Integrare il port forwarding su porte alte e mostrare come questa configurazione rimane coerente nel tempo.</li>
<li>Mantenere la stessa logica del precedente articolo, ma ora tramite playbook Ansible.</li>
</ul>
<h2 id="Prerequisiti"><a href="#Prerequisiti" class="headerlink" title="Prerequisiti"></a>Prerequisiti</h2><ul>
<li>Un controller Ansible (ad esempio un sistema locale con Ansible installato).</li>
<li>Connessione SSH al server o ai server bersaglio, con utente avente privilegi <code>sudo</code>.</li>
<li>Chiavi SSH già installate sul controller per l’utente amministrativo che si collegherà al target in modo da non dover usare password negli <code>ansible-playbook</code>.</li>
<li>Un server Ubuntu&#x2F;Debian di destinazione, aggiornato e con un utente sudo.</li>
<li>Configurazione base di rete, con la possibilità di configurare il router per il port forwarding (come descritto nel precedente articolo).</li>
<li>Conoscenza base di Ansible e della struttura di un playbook.</li>
</ul>
<h2 id="Struttura-del-Progetto-Ansible"><a href="#Struttura-del-Progetto-Ansible" class="headerlink" title="Struttura del Progetto Ansible"></a>Struttura del Progetto Ansible</h2><p>Possiamo organizzare il nostro progetto con la seguente struttura:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br></pre></td><td class="code"><pre><span class="line">ansible/</span><br><span class="line">├─ inventory.ini</span><br><span class="line">├─ playbook.yaml</span><br><span class="line">└─ roles/</span><br><span class="line">   └─ ssh_config/</span><br><span class="line">      ├─ tasks/</span><br><span class="line">      │  ├─ main.yaml</span><br><span class="line">      │  ├─ firewall.yaml</span><br><span class="line">      │  ├─ fail2ban.yaml</span><br><span class="line">      │  ├─ sshd.yaml</span><br><span class="line">      │  └─ users.yaml</span><br><span class="line">      ├─ templates/</span><br><span class="line">      │  ├─ sshd_config.j2</span><br><span class="line">      │  ├─ 00-internal.conf.j2</span><br><span class="line">      │  └─ 01-external.conf.j2</span><br><span class="line">      └─ files/</span><br><span class="line">         └─ authorized_keys_deploy</span><br></pre></td></tr></table></figure>

<ul>
<li><strong>inventory.ini:</strong> Contiene l’inventario dei nostri host da configurare.</li>
<li><strong>playbook.yaml:</strong> Il file principale che esegue il ruolo <code>ssh_config</code>.</li>
<li><strong>roles&#x2F;ssh_config&#x2F;tasks&#x2F;:</strong> Directory con i task divisi per argomento (firewall, fail2ban, sshd, utenti).</li>
<li><strong>roles&#x2F;ssh_config&#x2F;templates&#x2F;:</strong> I template Jinja2 per generare i file di configurazione.</li>
<li><strong>roles&#x2F;ssh_config&#x2F;files&#x2F;:</strong> Eventuali file statici come chiavi autorizzate.</li>
</ul>
<p>È possibile variare la struttura secondo le preferenze, ma questa offre una buona separazione delle responsabilità.</p>
<h2 id="L’inventario-di-Ansible"><a href="#L’inventario-di-Ansible" class="headerlink" title="L’inventario di Ansible"></a>L’inventario di Ansible</h2><p>Nel file <code>inventory.ini</code> definiremo i server target:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">[ssh_servers]</span><br><span class="line">myserver ansible_host=aa.bb.cc.dd ansible_user=mio_utente</span><br></pre></td></tr></table></figure>

<p>Sostituite <code>aa.bb.cc.dd</code> con l’IP pubblico del server o un dominio che lo punti. L’<code>ansible_user</code> è l’utente sudo locale creato in precedenza.</p>
<h2 id="Variabili-e-Considerazioni"><a href="#Variabili-e-Considerazioni" class="headerlink" title="Variabili e Considerazioni"></a>Variabili e Considerazioni</h2><p>Nelle variabili potremmo definire:</p>
<ul>
<li>La rete interna da cui consentire l’accesso con password (es. <code>192.168.0.0/24</code>).</li>
<li>L’IP esterno o range ammesso all’accesso via chiave.</li>
<li>L’utente dedicato all’accesso esterno (es. <code>deploy</code>).</li>
</ul>
<p>Queste variabili possono essere definite nel <code>playbook.yaml</code> o in <code>group_vars/ssh_servers.yaml</code> per maggiore scalabilità.</p>
<p>Esempio di variabili (in <code>playbook.yaml</code> o in un file <code>vars.yaml</code>):</p>
<figure class="highlight yaml"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br></pre></td><td class="code"><pre><span class="line"><span class="attr">vars:</span></span><br><span class="line">  <span class="attr">internal_network:</span> <span class="string">&quot;192.168.0.0/24&quot;</span></span><br><span class="line">  <span class="attr">external_ip:</span> <span class="string">&quot;aa.bb.cc.dd&quot;</span></span><br><span class="line">  <span class="attr">external_user:</span> <span class="string">&quot;deploy&quot;</span></span><br><span class="line">  <span class="attr">ssh_port:</span> <span class="number">22</span></span><br><span class="line">  <span class="attr">external_port:</span> <span class="number">22222</span>   <span class="comment"># porta esterna sul router</span></span><br></pre></td></tr></table></figure>

<h2 id="Il-Playbook-Principale-playbook-yaml"><a href="#Il-Playbook-Principale-playbook-yaml" class="headerlink" title="Il Playbook Principale: playbook.yaml"></a>Il Playbook Principale: <code>playbook.yaml</code></h2><p>Questo playbook eseguirà il ruolo <code>ssh_config</code> sui server del gruppo <code>ssh_servers</code>:</p>
<figure class="highlight yaml"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br></pre></td><td class="code"><pre><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Configure</span> <span class="string">SSH</span> <span class="string">access</span> <span class="string">via</span> <span class="string">Ansible</span></span><br><span class="line">  <span class="attr">hosts:</span> <span class="string">ssh_servers</span></span><br><span class="line">  <span class="attr">become:</span> <span class="literal">true</span></span><br><span class="line">  <span class="attr">vars:</span></span><br><span class="line">    <span class="attr">internal_network:</span> <span class="string">&quot;192.168.0.0/24&quot;</span></span><br><span class="line">    <span class="attr">external_ip:</span> <span class="string">&quot;aa.bb.cc.dd&quot;</span></span><br><span class="line">    <span class="attr">external_user:</span> <span class="string">&quot;deploy&quot;</span></span><br><span class="line">    <span class="attr">ssh_port:</span> <span class="number">22</span></span><br><span class="line">    <span class="attr">external_port:</span> <span class="number">22222</span></span><br><span class="line">  <span class="attr">roles:</span></span><br><span class="line">    <span class="bullet">-</span> <span class="string">ssh_config</span></span><br></pre></td></tr></table></figure>

<h2 id="Il-Ruolo-ssh-config"><a href="#Il-Ruolo-ssh-config" class="headerlink" title="Il Ruolo ssh_config"></a>Il Ruolo <code>ssh_config</code></h2><p>Il ruolo si occupa di:</p>
<ol>
<li><p><strong>Installare e configurare OpenSSH Server:</strong>  </p>
<ul>
<li>Assicurarsi che <code>openssh-server</code> sia installato.</li>
<li>Copiare i template di configurazione in <code>/etc/ssh/</code>.</li>
<li>Riavviare il demone <code>sshd</code>.</li>
</ul>
</li>
<li><p><strong>Configurare il firewall (ufw):</strong>  </p>
<ul>
<li>Consentire la porta 22 (interna) se serve.</li>
<li>Limitare l’accesso esterno eventualmente per IP specifici.</li>
<li>Gestire le regole per consentire l’accesso dalla LAN e limitare l’esterno.</li>
</ul>
</li>
<li><p><strong>Configurare fail2ban:</strong>  </p>
<ul>
<li>Installare fail2ban se non presente.</li>
<li>Copiare una configurazione base.</li>
<li>Riavviare fail2ban.</li>
</ul>
</li>
<li><p><strong>Creare utenti, chiavi SSH, assegnare i privilegi:</strong>  </p>
<ul>
<li>Creare l’utente <code>deploy</code> se non esiste.</li>
<li>Aggiungere la chiave pubblica a <code>~deploy/.ssh/authorized_keys</code>.</li>
<li>Configurare l’utente amministrativo.</li>
</ul>
</li>
<li><p><strong>Template per <code>sshd_config</code> e <code>sshd_config.d/*.conf</code>:</strong>  </p>
<ul>
<li><code>sshd_config.j2</code> contenente configurazioni generali.</li>
<li><code>00-internal.conf.j2</code> e <code>01-external.conf.j2</code> per differenziare gli accessi.</li>
</ul>
</li>
</ol>
<h3 id="Esempio-di-tasks-main-yaml"><a href="#Esempio-di-tasks-main-yaml" class="headerlink" title="Esempio di tasks/main.yaml"></a>Esempio di <code>tasks/main.yaml</code></h3><p>Questo file includerà gli altri file di task:</p>
<figure class="highlight yaml"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br></pre></td><td class="code"><pre><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Include</span> <span class="string">firewall</span> <span class="string">tasks</span></span><br><span class="line">  <span class="attr">include_tasks:</span> <span class="string">firewall.yaml</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Include</span> <span class="string">fail2ban</span> <span class="string">tasks</span></span><br><span class="line">  <span class="attr">include_tasks:</span> <span class="string">fail2ban.yaml</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Include</span> <span class="string">sshd</span> <span class="string">tasks</span></span><br><span class="line">  <span class="attr">include_tasks:</span> <span class="string">sshd.yaml</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Include</span> <span class="string">users</span> <span class="string">tasks</span></span><br><span class="line">  <span class="attr">include_tasks:</span> <span class="string">users.yaml</span></span><br></pre></td></tr></table></figure>

<h3 id="Esempio-di-tasks-firewall-yaml"><a href="#Esempio-di-tasks-firewall-yaml" class="headerlink" title="Esempio di tasks/firewall.yaml"></a>Esempio di <code>tasks/firewall.yaml</code></h3><p>Questa sezione:</p>
<ul>
<li>Installa <code>ufw</code> se non presente.</li>
<li>Resetta le regole, permette SSH interno, limita l’esterno all’IP definito.</li>
</ul>
<figure class="highlight yaml"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br><span class="line">19</span><br><span class="line">20</span><br><span class="line">21</span><br><span class="line">22</span><br><span class="line">23</span><br><span class="line">24</span><br><span class="line">25</span><br><span class="line">26</span><br></pre></td><td class="code"><pre><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Ensure</span> <span class="string">ufw</span> <span class="string">is</span> <span class="string">installed</span></span><br><span class="line">  <span class="attr">apt:</span></span><br><span class="line">    <span class="attr">name:</span> <span class="string">ufw</span></span><br><span class="line">    <span class="attr">state:</span> <span class="string">present</span></span><br><span class="line">    <span class="attr">update_cache:</span> <span class="literal">yes</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Reset</span> <span class="string">ufw</span> <span class="string">rules</span></span><br><span class="line">  <span class="attr">command:</span> <span class="string">ufw</span> <span class="string">--force</span> <span class="string">reset</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Allow</span> <span class="string">internal</span> <span class="string">SSH</span> <span class="string">access</span></span><br><span class="line">  <span class="attr">ufw:</span></span><br><span class="line">    <span class="attr">rule:</span> <span class="string">allow</span></span><br><span class="line">    <span class="attr">port:</span> <span class="string">&quot;<span class="template-variable">&#123;&#123; ssh_port &#125;&#125;</span>&quot;</span></span><br><span class="line">    <span class="attr">proto:</span> <span class="string">tcp</span></span><br><span class="line">    <span class="attr">source:</span> <span class="string">&quot;<span class="template-variable">&#123;&#123; internal_network &#125;&#125;</span>&quot;</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Allow</span> <span class="string">external</span> <span class="string">SSH</span> <span class="string">from</span> <span class="string">specified</span> <span class="string">IP</span> <span class="string">only</span></span><br><span class="line">  <span class="attr">ufw:</span></span><br><span class="line">    <span class="attr">rule:</span> <span class="string">allow</span></span><br><span class="line">    <span class="attr">port:</span> <span class="string">&quot;<span class="template-variable">&#123;&#123; ssh_port &#125;&#125;</span>&quot;</span></span><br><span class="line">    <span class="attr">proto:</span> <span class="string">tcp</span></span><br><span class="line">    <span class="attr">source:</span> <span class="string">&quot;<span class="template-variable">&#123;&#123; external_ip &#125;&#125;</span>&quot;</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Enable</span> <span class="string">ufw</span></span><br><span class="line">  <span class="attr">ufw:</span></span><br><span class="line">    <span class="attr">state:</span> <span class="string">enabled</span></span><br></pre></td></tr></table></figure>

<p>Qui apriamo la 22 solo per la rete interna e per l’IP specificato per l’esterno. Questo riflette la logica precedente: da esterno accede solo un IP e uno specifico utente.</p>
<h3 id="Esempio-di-tasks-fail2ban-yaml"><a href="#Esempio-di-tasks-fail2ban-yaml" class="headerlink" title="Esempio di tasks/fail2ban.yaml"></a>Esempio di <code>tasks/fail2ban.yaml</code></h3><figure class="highlight yaml"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br><span class="line">19</span><br><span class="line">20</span><br><span class="line">21</span><br><span class="line">22</span><br><span class="line">23</span><br><span class="line">24</span><br></pre></td><td class="code"><pre><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Ensure</span> <span class="string">fail2ban</span> <span class="string">is</span> <span class="string">installed</span></span><br><span class="line">  <span class="attr">apt:</span></span><br><span class="line">    <span class="attr">name:</span> <span class="string">fail2ban</span></span><br><span class="line">    <span class="attr">state:</span> <span class="string">present</span></span><br><span class="line">    <span class="attr">update_cache:</span> <span class="literal">yes</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Configure</span> <span class="string">fail2ban</span></span><br><span class="line">  <span class="attr">copy:</span></span><br><span class="line">    <span class="attr">dest:</span> <span class="string">/etc/fail2ban/jail.local</span></span><br><span class="line">    <span class="attr">content:</span> <span class="string">|</span></span><br><span class="line"><span class="string">      [sshd]</span></span><br><span class="line"><span class="string">      enabled = true</span></span><br><span class="line"><span class="string">      port = &#123;&#123; ssh_port &#125;&#125;</span></span><br><span class="line"><span class="string">      filter = sshd</span></span><br><span class="line"><span class="string">      logpath = /var/log/auth.log</span></span><br><span class="line"><span class="string">      maxretry = 5</span></span><br><span class="line"><span class="string">      findtime = 600</span></span><br><span class="line"><span class="string">      bantime = 3600</span></span><br><span class="line"><span class="string">      ignoreip = 127.0.0.1/8 &#123;&#123; internal_network &#125;&#125;</span></span><br><span class="line"><span class="string"></span></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Restart</span> <span class="string">fail2ban</span></span><br><span class="line">  <span class="attr">service:</span></span><br><span class="line">    <span class="attr">name:</span> <span class="string">fail2ban</span></span><br><span class="line">    <span class="attr">state:</span> <span class="string">restarted</span></span><br></pre></td></tr></table></figure>

<p>Abbiamo ignorato il range interno in modo che la LAN non venga bannata da tentativi multipli.</p>
<h3 id="Esempio-di-tasks-users-yaml"><a href="#Esempio-di-tasks-users-yaml" class="headerlink" title="Esempio di tasks/users.yaml"></a>Esempio di <code>tasks/users.yaml</code></h3><p>Creiamo l’utente <code>deploy</code> e aggiungiamo la sua chiave pubblica. Presumiamo di avere una chiave pubblica pronta nel ruolo (in <code>files/authorized_keys_deploy</code>):</p>
<figure class="highlight yaml"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br><span class="line">19</span><br><span class="line">20</span><br><span class="line">21</span><br></pre></td><td class="code"><pre><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Ensure</span> <span class="string">deploy</span> <span class="string">user</span> <span class="string">exists</span></span><br><span class="line">  <span class="attr">user:</span></span><br><span class="line">    <span class="attr">name:</span> <span class="string">&quot;<span class="template-variable">&#123;&#123; external_user &#125;&#125;</span>&quot;</span></span><br><span class="line">    <span class="attr">shell:</span> <span class="string">/bin/bash</span></span><br><span class="line">    <span class="attr">create_home:</span> <span class="literal">yes</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Ensure</span> <span class="string">.ssh</span> <span class="string">directory</span> <span class="string">exists</span></span><br><span class="line">  <span class="attr">file:</span></span><br><span class="line">    <span class="attr">path:</span> <span class="string">&quot;/home/<span class="template-variable">&#123;&#123; external_user &#125;&#125;</span>/.ssh&quot;</span></span><br><span class="line">    <span class="attr">state:</span> <span class="string">directory</span></span><br><span class="line">    <span class="attr">owner:</span> <span class="string">&quot;<span class="template-variable">&#123;&#123; external_user &#125;&#125;</span>&quot;</span></span><br><span class="line">    <span class="attr">group:</span> <span class="string">&quot;<span class="template-variable">&#123;&#123; external_user &#125;&#125;</span>&quot;</span></span><br><span class="line">    <span class="attr">mode:</span> <span class="string">&#x27;0700&#x27;</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Deploy</span> <span class="string">the</span> <span class="string">authorized_keys</span> <span class="string">file</span></span><br><span class="line">  <span class="attr">copy:</span></span><br><span class="line">    <span class="attr">src:</span> <span class="string">authorized_keys_deploy</span></span><br><span class="line">    <span class="attr">dest:</span> <span class="string">&quot;/home/<span class="template-variable">&#123;&#123; external_user &#125;&#125;</span>/.ssh/authorized_keys&quot;</span></span><br><span class="line">    <span class="attr">owner:</span> <span class="string">&quot;<span class="template-variable">&#123;&#123; external_user &#125;&#125;</span>&quot;</span></span><br><span class="line">    <span class="attr">group:</span> <span class="string">&quot;<span class="template-variable">&#123;&#123; external_user &#125;&#125;</span>&quot;</span></span><br><span class="line">    <span class="attr">mode:</span> <span class="string">&#x27;0600&#x27;</span></span><br></pre></td></tr></table></figure>

<h3 id="Esempio-di-tasks-sshd-yaml"><a href="#Esempio-di-tasks-sshd-yaml" class="headerlink" title="Esempio di tasks/sshd.yaml"></a>Esempio di <code>tasks/sshd.yaml</code></h3><p>Qui gestiamo i file di configurazione <code>sshd_config</code> e <code>sshd_config.d</code> tramite template:</p>
<figure class="highlight yaml"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br><span class="line">19</span><br><span class="line">20</span><br><span class="line">21</span><br><span class="line">22</span><br><span class="line">23</span><br><span class="line">24</span><br><span class="line">25</span><br><span class="line">26</span><br><span class="line">27</span><br><span class="line">28</span><br><span class="line">29</span><br><span class="line">30</span><br><span class="line">31</span><br><span class="line">32</span><br><span class="line">33</span><br><span class="line">34</span><br><span class="line">35</span><br><span class="line">36</span><br><span class="line">37</span><br><span class="line">38</span><br><span class="line">39</span><br><span class="line">40</span><br><span class="line">41</span><br><span class="line">42</span><br><span class="line">43</span><br><span class="line">44</span><br><span class="line">45</span><br><span class="line">46</span><br><span class="line">47</span><br><span class="line">48</span><br><span class="line">49</span><br><span class="line">50</span><br><span class="line">51</span><br></pre></td><td class="code"><pre><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Ensure</span> <span class="string">openssh-server</span> <span class="string">is</span> <span class="string">installed</span></span><br><span class="line">  <span class="attr">apt:</span></span><br><span class="line">    <span class="attr">name:</span> <span class="string">openssh-server</span></span><br><span class="line">    <span class="attr">state:</span> <span class="string">present</span></span><br><span class="line">    <span class="attr">update_cache:</span> <span class="literal">yes</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Backup</span> <span class="string">original</span> <span class="string">sshd_config</span> <span class="string">if</span> <span class="string">present</span></span><br><span class="line">  <span class="attr">copy:</span></span><br><span class="line">    <span class="attr">src:</span> <span class="string">/etc/ssh/sshd_config</span></span><br><span class="line">    <span class="attr">dest:</span> <span class="string">/etc/ssh/sshd_config.bak</span></span><br><span class="line">    <span class="attr">remote_src:</span> <span class="literal">yes</span></span><br><span class="line">    <span class="attr">force:</span> <span class="literal">no</span></span><br><span class="line">  <span class="attr">when:</span> <span class="string">ansible_stat.exists</span></span><br><span class="line"></span><br><span class="line">  <span class="attr">vars:</span></span><br><span class="line">    <span class="attr">ansible_stat:</span> <span class="string">&quot;<span class="template-variable">&#123;&#123; lookup(&#x27;ansible.builtin.stat&#x27;, &#x27;/etc/ssh/sshd_config&#x27;) &#125;&#125;</span>&quot;</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Deploy</span> <span class="string">main</span> <span class="string">sshd_config</span></span><br><span class="line">  <span class="attr">template:</span></span><br><span class="line">    <span class="attr">src:</span> <span class="string">sshd_config.j2</span></span><br><span class="line">    <span class="attr">dest:</span> <span class="string">/etc/ssh/sshd_config</span></span><br><span class="line">    <span class="attr">owner:</span> <span class="string">root</span></span><br><span class="line">    <span class="attr">group:</span> <span class="string">root</span></span><br><span class="line">    <span class="attr">mode:</span> <span class="string">&#x27;0644&#x27;</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Ensure</span> <span class="string">sshd_config.d</span> <span class="string">directory</span> <span class="string">exists</span></span><br><span class="line">  <span class="attr">file:</span></span><br><span class="line">    <span class="attr">path:</span> <span class="string">/etc/ssh/sshd_config.d</span></span><br><span class="line">    <span class="attr">state:</span> <span class="string">directory</span></span><br><span class="line">    <span class="attr">mode:</span> <span class="string">&#x27;0755&#x27;</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Deploy</span> <span class="number">00</span><span class="string">-internal.conf</span></span><br><span class="line">  <span class="attr">template:</span></span><br><span class="line">    <span class="attr">src:</span> <span class="number">00</span><span class="string">-internal.conf.j2</span></span><br><span class="line">    <span class="attr">dest:</span> <span class="string">/etc/ssh/sshd_config.d/00-internal.conf</span></span><br><span class="line">    <span class="attr">owner:</span> <span class="string">root</span></span><br><span class="line">    <span class="attr">group:</span> <span class="string">root</span></span><br><span class="line">    <span class="attr">mode:</span> <span class="string">&#x27;0644&#x27;</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Deploy</span> <span class="number">01</span><span class="string">-external.conf</span></span><br><span class="line">  <span class="attr">template:</span></span><br><span class="line">    <span class="attr">src:</span> <span class="number">01</span><span class="string">-external.conf.j2</span></span><br><span class="line">    <span class="attr">dest:</span> <span class="string">/etc/ssh/sshd_config.d/01-external.conf</span></span><br><span class="line">    <span class="attr">owner:</span> <span class="string">root</span></span><br><span class="line">    <span class="attr">group:</span> <span class="string">root</span></span><br><span class="line">    <span class="attr">mode:</span> <span class="string">&#x27;0644&#x27;</span></span><br><span class="line"></span><br><span class="line"><span class="bullet">-</span> <span class="attr">name:</span> <span class="string">Restart</span> <span class="string">ssh</span> <span class="string">service</span></span><br><span class="line">  <span class="attr">service:</span></span><br><span class="line">    <span class="attr">name:</span> <span class="string">ssh</span></span><br><span class="line">    <span class="attr">state:</span> <span class="string">restarted</span></span><br></pre></td></tr></table></figure>

<h3 id="Template-sshd-config-j2"><a href="#Template-sshd-config-j2" class="headerlink" title="Template sshd_config.j2"></a>Template <code>sshd_config.j2</code></h3><p>Questo ricalca le configurazioni base:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br></pre></td><td class="code"><pre><span class="line">UsePAM yes</span><br><span class="line">PermitRootLogin no</span><br><span class="line">ChallengeResponseAuthentication no</span><br><span class="line">PasswordAuthentication yes</span><br><span class="line">PubkeyAuthentication yes</span><br><span class="line">Include /etc/ssh/sshd_config.d/*.conf</span><br></pre></td></tr></table></figure>

<h3 id="Template-00-internal-conf-j2"><a href="#Template-00-internal-conf-j2" class="headerlink" title="Template 00-internal.conf.j2"></a>Template <code>00-internal.conf.j2</code></h3><p>Consente da rete interna l’uso della password e delle chiavi a qualsiasi utente:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br></pre></td><td class="code"><pre><span class="line">Match address &#123;&#123; internal_network &#125;&#125;</span><br><span class="line">    PasswordAuthentication yes</span><br><span class="line">    PubkeyAuthentication yes</span><br></pre></td></tr></table></figure>

<h3 id="Template-01-external-conf-j2"><a href="#Template-01-external-conf-j2" class="headerlink" title="Template 01-external.conf.j2"></a>Template <code>01-external.conf.j2</code></h3><p>Limitato all’utente <code>deploy</code> e all’indirizzo IP esterno, solo chiave:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br></pre></td><td class="code"><pre><span class="line">Match User &#123;&#123; external_user &#125;&#125;, Address &#123;&#123; external_ip &#125;&#125;</span><br><span class="line">    PasswordAuthentication no</span><br><span class="line">    PubkeyAuthentication yes</span><br></pre></td></tr></table></figure>

<h2 id="Port-Forwarding-su-Porta-Alta-22222"><a href="#Port-Forwarding-su-Porta-Alta-22222" class="headerlink" title="Port Forwarding su Porta Alta (22222)"></a>Port Forwarding su Porta Alta (22222)</h2><p>Dal lato del router, come nel precedente articolo, si configura il port forwarding della porta 22222 esterna verso la 22 interna del server. Ansible non può effettuare questa operazione sul router a meno di avere plugin specifici o un router programmabile (ad esempio via API). Presumiamo che questa modifica sia stata già fatta a mano sul router:</p>
<ul>
<li>Dall’esterno: <code>ssh -p 22222 deploy@mio_dominio</code><br>Il router inoltra la 22222 → 22 del server interno.</li>
</ul>
<p>Nella configurazione di Ansible non cambia nulla per <code>sshd</code>, rimane in ascolto sulla 22 interna. Il firewall filtra gli accessi, l’utente <code>deploy</code> può accedere solo dall’<code>external_ip</code> consentito con chiave, mentre la rete interna può accedere con password.</p>
<p>Se si volesse essere più coerenti, potremmo cambiare la <code>Port</code> in <code>sshd_config.j2</code>. Tuttavia, il port forwarding è una soluzione migliore, perché non richiede modifiche al demone SSH e non influisce sugli accessi LAN.</p>
<h2 id="Eseguire-il-Playbook"><a href="#Eseguire-il-Playbook" class="headerlink" title="Eseguire il Playbook"></a>Eseguire il Playbook</h2><p>Dopo aver preparato tutto:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">ansible-playbook -i inventory.ini playbook.yaml</span><br></pre></td></tr></table></figure>

<p>Se il vostro accesso SSH al server è pronto, Ansible applicherà in pochi secondi tutte le configurazioni descritte. Eseguite nuovamente il playbook in futuro per mantenere lo stato o dopo modifiche alle variabili: le configurazioni saranno sempre coerenti.</p>
<h2 id="Possibili-Estensioni-e-Conclusione"><a href="#Possibili-Estensioni-e-Conclusione" class="headerlink" title="Possibili Estensioni e Conclusione"></a>Possibili Estensioni e Conclusione</h2><p>In questo articolo abbiamo replicato l’approccio modulare e differenziato dell’accesso SSH mediante la creazione e applicazione automatizzata di playbook Ansible. Questo consente di scalare la stessa configurazione su più server e di mantenere un controllo centralizzato, coerente e privo di rischi di errore umano.</p>
<p>Per ulteriori estensioni future, si potrebbero creare ruoli separati per la gestione delle chiavi SSH, per l’applicazione di policy di sicurezza più complesse, per l’integrazione con sistemi di gestione delle identità o per la distribuzione automatica di fail2ban con configurazioni personalizzate.<br>Inoltre, si potrebbe integrare Ansible con strumenti CI&#x2F;CD per testare automaticamente le configurazioni prima del deployment in produzione.</p>
<p>Con l’introduzione di Ansible, abbiamo compiuto un passo significativo verso l’automazione dell’infrastruttura e la riduzione del carico di lavoro amministrativo, garantendo un accesso SSH sicuro, modulare e facile da mantenere.</p>

      
    </div>
    <footer class="article-footer">
      <a data-url="https://geegeek.github.io/2024/12/09/Automatizzare-la-configurazione-differenziata-dell-accesso-SSH-con-Ansible/" data-id="cm5wmibch000135j9h0xdh5bx" data-title="Automatizzare la configurazione differenziata dell&#39;accesso SSH con Ansible" class="article-share-link"><span class="fa fa-share">Share</span></a>
      
      
      
  <ul class="article-tag-list" itemprop="keywords"><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/ansible/" rel="tag">ansible</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/automazione/" rel="tag">automazione</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/linux/" rel="tag">linux</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/networking/" rel="tag">networking</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/sicurezza/" rel="tag">sicurezza</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/ssh/" rel="tag">ssh</a></li></ul>

    </footer>
  </div>
  
</article>



  
    <article id="post-Implementare-un-server-SSH-su-Ubuntu-Debian-configurazioni-differenziate-e-accesso-esterno-con-port-forwarding" class="h-entry article article-type-post" itemprop="blogPost" itemscope itemtype="https://schema.org/BlogPosting">
  <div class="article-meta">
    <a href="/2024/12/09/Implementare-un-server-SSH-su-Ubuntu-Debian-configurazioni-differenziate-e-accesso-esterno-con-port-forwarding/" class="article-date">
  <time class="dt-published" datetime="2024-12-09T00:00:00.000Z" itemprop="datePublished">2024-12-09</time>
</a>
    
  </div>
  <div class="article-inner">
    
    
      <header class="article-header">
        
  
    <h1 itemprop="name">
      <a class="p-name article-title" href="/2024/12/09/Implementare-un-server-SSH-su-Ubuntu-Debian-configurazioni-differenziate-e-accesso-esterno-con-port-forwarding/">Implementare un server SSH su Ubuntu/Debian, configurazioni differenziate e accesso esterno con port forwarding</a>
    </h1>
  

      </header>
    
    <div class="e-content article-entry" itemprop="articleBody">
      
        <h2 id="Introduzione"><a href="#Introduzione" class="headerlink" title="Introduzione"></a>Introduzione</h2><p>In questo articolo approfondiremo la configurazione di un server SSH su Ubuntu&#x2F;Debian con un livello di sicurezza un po’ piu’ elevato. Non ci limiteremo alla semplice attivazione del servizio, ma esploreremo una strategia di configurazione modulare utilizzando la directory <code>sshd_config.d</code>. Questo approccio consente di creare differenti casistiche di accesso in base alla rete di provenienza, al metodo di autenticazione e all’utente che tenta di collegarsi. Inoltre, vedremo come:</p>
<ul>
<li>Limitare gli accessi esterni a determinati utenti e chiavi pubbliche, filtrando per indirizzi IP di origine.</li>
<li>Permettere, da rete interna, l’accesso anche con password per tutti gli utenti.</li>
<li>Integrare firewall e fail2ban per mitigare i tentativi di accesso non autorizzati.</li>
<li>Esporre la porta SSH su una porta alta tramite port forwarding, aumentandone la sicurezza.</li>
<li>Preparare il terreno per automatizzare questi processi in futuro.</li>
</ul>
<p>Assumeremo i seguenti prerequisiti:</p>
<ul>
<li>Il server è basato su Ubuntu&#x2F;Debian con <code>sudo</code> abilitato per l’utente di amministrazione.</li>
<li>OpenSSH Server è installato.</li>
<li>Un firewall (ad esempio <code>ufw</code>) è attivo e configurato.</li>
<li>Fail2ban è installato per prevenire i tentativi di brute-force.</li>
<li>Il server dispone di un IP interno (LAN) e di un IP pubblico (o di un router con port forwarding configurabile).</li>
<li>L’utente di amministrazione appartiene al gruppo <code>sudo</code>.</li>
</ul>
<h2 id="Perche’�-adottare-una-configurazione-modulare-con-sshd-config-d"><a href="#Perche’�-adottare-una-configurazione-modulare-con-sshd-config-d" class="headerlink" title="Perche’� adottare una configurazione modulare con sshd_config.d"></a>Perche’� adottare una configurazione modulare con sshd_config.d</h2><p>Il file principale <code>/etc/ssh/sshd_config</code> definisce il comportamento globale del server SSH. Tuttavia, utilizzando la directory <code>/etc/ssh/sshd_config.d</code>, possiamo inserire file aggiuntivi che sovrascrivono o integrano la configurazione di base. Questo approccio modulare permette di mantenere il file principale pulito e di organizzare le diverse casistiche di accesso in file separati. È particolarmente utile quando si gestiscono scenari complessi e si ha necessità di apportare modifiche incrementali senza rischiare di compromettere l’intera configurazione.</p>
<h2 id="Configurazione-di-base-di-OpenSSH"><a href="#Configurazione-di-base-di-OpenSSH" class="headerlink" title="Configurazione di base di OpenSSH"></a>Configurazione di base di OpenSSH</h2><h3 id="Installazione"><a href="#Installazione" class="headerlink" title="Installazione"></a>Installazione</h3><p>Se non lo avete già fatto, procedete all’installazione:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> apt update</span><br><span class="line"><span class="built_in">sudo</span> apt install openssh-server</span><br></pre></td></tr></table></figure>

<p>Il servizio <code>sshd</code> sarà avviato e abilitato automaticamente.</p>
<h3 id="Configurazione-del-firewall-UFW"><a href="#Configurazione-del-firewall-UFW" class="headerlink" title="Configurazione del firewall (UFW)"></a>Configurazione del firewall (UFW)</h3><p>Assicuratevi che il firewall <code>ufw</code> sia installato e attivato:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> apt install ufw</span><br><span class="line"><span class="built_in">sudo</span> ufw <span class="built_in">enable</span></span><br></pre></td></tr></table></figure>

<p>Per consentire la connessione sulla porta SSH standard (22), eseguite:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> ufw allow 22/tcp</span><br></pre></td></tr></table></figure>

<p>Successivamente, quando imposteremo un port forwarding su una porta differente, modificheremo le regole di conseguenza.</p>
<h3 id="Configurazione-di-fail2ban"><a href="#Configurazione-di-fail2ban" class="headerlink" title="Configurazione di fail2ban"></a>Configurazione di fail2ban</h3><p>Fail2ban blocca gli indirizzi IP che tentano di eseguire accessi non autorizzati (brute-force). Se non presente:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> apt install fail2ban</span><br></pre></td></tr></table></figure>

<p>Nella configurazione predefinita, fail2ban monitorerà il file di log di SSH e bloccherà automaticamente gli IP che generano troppi tentativi falliti. È possibile personalizzare <code>/etc/fail2ban/jail.local</code> per definire tempi di ban, numero di tentativi e altro. Un esempio basilare (da aggiungere o modificare in <code>/etc/fail2ban/jail.local</code>):</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br></pre></td><td class="code"><pre><span class="line">[sshd]</span><br><span class="line">enabled = true</span><br><span class="line">port = 22</span><br><span class="line">filter = sshd</span><br><span class="line">logpath = /var/log/auth.log</span><br><span class="line">maxretry = 5</span><br><span class="line">findtime = 600</span><br><span class="line">bantime = 3600</span><br></pre></td></tr></table></figure>

<p>Dopo aver modificato i parametri:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> systemctl restart fail2ban</span><br></pre></td></tr></table></figure>

<p>Con questa configurazione di base, fallimenti ripetuti di autenticazione verranno puniti con il blocco temporaneo dell’IP.</p>
<h3 id="Gestione-utenti-e-privilegi-sudo"><a href="#Gestione-utenti-e-privilegi-sudo" class="headerlink" title="Gestione utenti e privilegi sudo"></a>Gestione utenti e privilegi sudo</h3><p>L’utente amministrativo dovrebbe appartenere al gruppo <code>sudo</code>. Se state utilizzando un utente diverso, potete aggiungerlo al gruppo:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> adduser mio_utente</span><br><span class="line"><span class="built_in">sudo</span> usermod -aG <span class="built_in">sudo</span> mio_utente</span><br></pre></td></tr></table></figure>

<p>In questo modo <code>mio_utente</code> potrà eseguire comandi <code>sudo</code> e gestire la configurazione del sistema.</p>
<h2 id="Creazione-di-scenari-differenziati"><a href="#Creazione-di-scenari-differenziati" class="headerlink" title="Creazione di scenari differenziati"></a>Creazione di scenari differenziati</h2><p>L’obiettivo è creare due casi d’uso:</p>
<ol>
<li><p><strong>Accessi dall’esterno:</strong>  </p>
<ul>
<li>Limitati a specifici utenti (ad esempio <code>deploy</code>)  </li>
<li>Limitati a specifici IP di origine  </li>
<li>Autenticazione <strong>solo con chiave</strong>, niente password.</li>
</ul>
</li>
<li><p><strong>Accessi dalla rete interna:</strong>  </p>
<ul>
<li>Consentiti per tutti gli utenti di sistema (ad esempio <code>mio_utente</code> o altri)  </li>
<li>Autenticazione con password abilitata e chiavi ammessa  </li>
<li>Nessuna restrizione di IP (ma ci si basa sul fatto che l’indirizzo IP provenga dalla rete interna, ad esempio <code>192.168.0.0/24</code>).</li>
</ul>
</li>
</ol>
<h3 id="Configurazione-di-base-di-etc-ssh-sshd-config"><a href="#Configurazione-di-base-di-etc-ssh-sshd-config" class="headerlink" title="Configurazione di base di /etc/ssh/sshd_config"></a>Configurazione di base di <code>/etc/ssh/sshd_config</code></h3><p>Nel file principale <code>/etc/ssh/sshd_config</code> lasceremo impostazioni generali di sicurezza:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> <span class="built_in">cp</span> /etc/ssh/sshd_config /etc/ssh/sshd_config.bak</span><br></pre></td></tr></table></figure>

<p>Modifichiamo <code>/etc/ssh/sshd_config</code> per disabilitare l’accesso root e alcune opzioni generali:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br></pre></td><td class="code"><pre><span class="line">UsePAM yes</span><br><span class="line">PermitRootLogin no</span><br><span class="line">ChallengeResponseAuthentication no</span><br><span class="line">PasswordAuthentication yes  # Abilitiamo qui la password come default, poi la limitiamo nei match esterni</span><br><span class="line">PubkeyAuthentication yes</span><br><span class="line"># Includiamo la directory di configurazione aggiuntiva</span><br><span class="line">Include /etc/ssh/sshd_config.d/*.conf</span><br></pre></td></tr></table></figure>

<p>Salviamo e chiudiamo. Con <code>Include /etc/ssh/sshd_config.d/*.conf</code> abbiamo dato istruzioni a <code>sshd</code> di leggere file aggiuntivi nella directory <code>sshd_config.d</code>.</p>
<h3 id="Creazione-dei-file-di-configurazione-modulari"><a href="#Creazione-dei-file-di-configurazione-modulari" class="headerlink" title="Creazione dei file di configurazione modulari"></a>Creazione dei file di configurazione modulari</h3><p>Creeremo due file all’interno di <code>/etc/ssh/sshd_config.d</code>:</p>
<ul>
<li><code>00-internal.conf</code> per la rete interna</li>
<li><code>01-external.conf</code> per l’accesso esterno</li>
</ul>
<h4 id="Configurazione-interna-etc-ssh-sshd-config-d-00-internal-conf"><a href="#Configurazione-interna-etc-ssh-sshd-config-d-00-internal-conf" class="headerlink" title="Configurazione interna: /etc/ssh/sshd_config.d/00-internal.conf"></a>Configurazione interna: <code>/etc/ssh/sshd_config.d/00-internal.conf</code></h4><p>Questa configurazione consente a chiunque si trovi all’interno della rete interna (es. <code>192.168.0.0/24</code>) di autenticarsi con password:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> nano /etc/ssh/sshd_config.d/00-internal.conf</span><br></pre></td></tr></table></figure>

<p>Inseriamo:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br></pre></td><td class="code"><pre><span class="line">Match address 192.168.0.0/24</span><br><span class="line">    PasswordAuthentication yes</span><br><span class="line">    PubkeyAuthentication yes</span><br><span class="line">    # In questo scenario lasciamo qualsiasi utente della LAN entrare con password o chiave.</span><br></pre></td></tr></table></figure>

<p>Salviamo e chiudiamo.</p>
<h4 id="Configurazione-esterna-etc-ssh-sshd-config-d-01-external-conf"><a href="#Configurazione-esterna-etc-ssh-sshd-config-d-01-external-conf" class="headerlink" title="Configurazione esterna: /etc/ssh/sshd_config.d/01-external.conf"></a>Configurazione esterna: <code>/etc/ssh/sshd_config.d/01-external.conf</code></h4><p>Per l’accesso esterno, supponiamo di avere un IP pubblico o di filtrare l’accesso tramite firewall. Ad esempio, immaginiamo che solo da un certo IP pubblico o da un range (ad esempio <code>aa.bb.cc.dd</code>) possa accedere l’utente <code>deploy</code>. Inoltre, vogliamo obbligare l’autenticazione solo tramite chiave.</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> nano /etc/ssh/sshd_config.d/01-external.conf</span><br></pre></td></tr></table></figure>

<p>Inseriamo:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br></pre></td><td class="code"><pre><span class="line">Match User deploy, Address aa.bb.cc.dd</span><br><span class="line">    PasswordAuthentication no</span><br><span class="line">    PubkeyAuthentication yes</span><br></pre></td></tr></table></figure>

<p>In questo modo, se la connessione proviene dall’indirizzo <code>aa.bb.cc.dd</code> e l’utente che tenta di accedere è <code>deploy</code>, la password non sarà accettata, ma solo la chiave pubblica. Nessun altro IP o utente potrà usufruire di queste impostazioni.</p>
<h3 id="Riavviare-il-servizio-SSH-per-applicare-le-modifiche"><a href="#Riavviare-il-servizio-SSH-per-applicare-le-modifiche" class="headerlink" title="Riavviare il servizio SSH per applicare le modifiche"></a>Riavviare il servizio SSH per applicare le modifiche</h3><p>Dopo aver creato i file di configurazione, riavviamo SSH:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> systemctl restart ssh</span><br></pre></td></tr></table></figure>

<h2 id="Chiavi-SSH"><a href="#Chiavi-SSH" class="headerlink" title="Chiavi SSH"></a>Chiavi SSH</h2><p>L’utente <code>deploy</code> che accede da remoto dovrà avere una coppia di chiavi. Sul client remoto, generiamo una chiave:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">ssh-keygen -t ed25519 -C <span class="string">&quot;deploy@example.com&quot;</span></span><br></pre></td></tr></table></figure>

<p>Copiare la chiave pubblica sul server (da remoto):</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">ssh-copy-id deploy@ip_o_dominio_del_server</span><br></pre></td></tr></table></figure>

<p>Il comando <code>ssh-copy-id</code> aggiungerà la chiave a <code>~/.ssh/authorized_keys</code> dell’utente <code>deploy</code>.</p>
<h2 id="Configurazione-del-firewall-per-differenti-casistiche"><a href="#Configurazione-del-firewall-per-differenti-casistiche" class="headerlink" title="Configurazione del firewall per differenti casistiche"></a>Configurazione del firewall per differenti casistiche</h2><p>Poiché da esterno si deve accedere solo con chiave e da determinati IP, si puo’ò rafforzare il tutto tramite <code>ufw</code>, consentendo solo l’IP esterno specifico:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> ufw allow from aa.bb.cc.dd to any port 22</span><br></pre></td></tr></table></figure>

<p>Se desiderate bloccare tutti gli altri tentativi di accesso esterni, assicuratevi di non eseguire un <code>ufw allow 22/tcp</code> generico, ma solo quello limitato all’IP sopra indicato. In caso foste costretti ad aprire a tutti l’accesso per qualche motivo, ricordate che fail2ban entra in azione per mitigare i tentativi di brute force.</p>
<h2 id="Fail2ban-e-le-due-casistiche-di-accesso"><a href="#Fail2ban-e-le-due-casistiche-di-accesso" class="headerlink" title="Fail2ban e le due casistiche di accesso"></a>Fail2ban e le due casistiche di accesso</h2><p>Fail2ban non fa distinzioni tra accessi interni o esterni di default, ma grazie alla sua configurazione blocca gli IP che tentano numerosi accessi non autorizzati. Questo è utile specialmente per gli attacchi provenienti da Internet. Se notate che IP interni vengono bloccati, potete modificare la configurazione <code>ignoreip</code> in <code>/etc/fail2ban/jail.local</code>:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br></pre></td><td class="code"><pre><span class="line">[sshd]</span><br><span class="line">enabled = true</span><br><span class="line">port = 22</span><br><span class="line">filter = sshd</span><br><span class="line">logpath = /var/log/auth.log</span><br><span class="line">maxretry = 5</span><br><span class="line">findtime = 600</span><br><span class="line">bantime = 3600</span><br><span class="line">ignoreip = 127.0.0.1/8 192.168.0.0/24</span><br></pre></td></tr></table></figure>

<p>In questo modo gli IP interni non saranno bloccati, permettendo maggiore flessibilità nella LAN.</p>
<p>Dopo le modifiche:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> systemctl restart fail2ban</span><br></pre></td></tr></table></figure>

<h2 id="Spostare-la-porta-SSH-esterna-su-una-porta-alta-con-port-forwarding"><a href="#Spostare-la-porta-SSH-esterna-su-una-porta-alta-con-port-forwarding" class="headerlink" title="Spostare la porta SSH esterna su una porta alta con port forwarding"></a>Spostare la porta SSH esterna su una porta alta con port forwarding</h2><p>È una buona pratica non esporre la porta 22 direttamente su Internet. Si può configurare il router per effettuare un port forwarding da una porta alta (ad esempio 22222) verso la porta 22 del server.</p>
<h3 id="Passi-generali"><a href="#Passi-generali" class="headerlink" title="Passi generali"></a>Passi generali</h3><ol>
<li><p><strong>Sul router&#x2F;NAT:</strong><br>Accedete all’interfaccia di gestione del vostro router e individuate la sezione “Port Forwarding” o “Virtual Server”.<br>Create una regola che inoltri la porta esterna 22222 (TCP) all’indirizzo IP interno del vostro server sulla porta 22.</p>
</li>
<li><p><strong>Configurazione del firewall interno per la nuova porta:</strong></p>
<p>Poiché la porta 22 rimane aperta internamente, nella rete LAN tutto rimane come prima. Dall’esterno, però, l’utente si collegherà a <code>ssh -p 22222 deploy@mio_dominio</code> (se avete un nome di dominio puntato sul vostro IP pubblico).</p>
<p>Se volete che il firewall accetti esplicitamente connessioni solo su 22 in LAN e non dall’esterno, potete chiudere la 22 dall’esterno e lasciare aperta solo tramite la regola del router:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line"><span class="built_in">sudo</span> ufw deny 22/tcp</span><br></pre></td></tr></table></figure>

<p>Ma questo bloccherebbe completamente SSH via 22 (anche internamente), quindi meglio gestire il firewall sul router o, se il server deve essere raggiungibile da LAN su 22, lasciare <code>ufw allow 22/tcp</code> ma consentire accesso esterno solo tramite l’IP specifico. Dipende dalla vostra topologia di rete.<br>Se volete segmentare, potete usare regole UFW avanzate per differenziare l’accesso esterno&#x2F;interno (ad esempio definendo <code>allow from 192.168.0.0/24 to any port 22</code> per la LAN, e negare tutto il resto).</p>
</li>
</ol>
<h3 id="Collegamento-esterno-sulla-porta-alta"><a href="#Collegamento-esterno-sulla-porta-alta" class="headerlink" title="Collegamento esterno sulla porta alta"></a>Collegamento esterno sulla porta alta</h3><p>Da un host remoto:</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">ssh -p 22222 deploy@mio_dominio</span><br></pre></td></tr></table></figure>

<p>La connessione arriverà al vostro router, che la inoltrerà alla porta 22 del server, passando le regole di <code>sshd</code>. Ricordate che l’utente <code>deploy</code> ha l’accesso da quell’IP autorizzato e soltanto con chiave.</p>
<h2 id="Considerazioni-finali-e-spunti-per-l’automazione"><a href="#Considerazioni-finali-e-spunti-per-l’automazione" class="headerlink" title="Considerazioni finali e spunti per l’automazione"></a>Considerazioni finali e spunti per l’automazione</h2><p>Abbiamo creato una configurazione modulare che differenzia gli accessi SSH sulla base della rete di provenienza, del metodo di autenticazione e dell’utente, utilizzando i file in <code>sshd_config.d</code>. Abbiamo integrato firewall, fail2ban e illustrato come effettuare un port forwarding per aumentare la sicurezza.</p>
<p>Questo approccio è solido, ma la sua gestione manuale puo’ò diventare complessa in ambienti di grandi dimensioni o con frequenti variazioni. Nel prossimo articolo potremmo esplorare meccanismi di <strong>automazione</strong>, utilizzando tool come Ansible, Puppet o Chef, per distribuire e mantenere queste configurazioni in maniera scalabile e ripetibile. L’automazione permetterebbe di applicare, testare e aggiornare queste configurazioni su un parco macchine esteso, riducendo il rischio di errori umani e semplificando il lavoro dell’amministratore di sistema.</p>
<p>Con questi spunti, si chiude questo lungo articolo, augurandoci che le informazioni fornite siano utili per implementare un accesso SSH sicuro, flessibile e ben organizzato.</p>
<h2 id="Possibili-Miglioramenti"><a href="#Possibili-Miglioramenti" class="headerlink" title="Possibili Miglioramenti"></a>Possibili Miglioramenti</h2><p>Un ulteriore passo avanti verso una configurazione più robusta e scalabile potrebbe essere l’utilizzo di un reverse proxy posizionato davanti alla porta SSH esposta su Internet. In particolare, adottare un servizio come Cloudflare (gratuito nella fascia free per il traffico su porte HTTP&#x2F;HTTPS, ma non per la porta SSH) consentirebbe di usufruire della loro rete globale di distribuzione, di strumenti di mitigazione avanzati contro attacchi DDoS, e di ulteriori livelli di filtraggio del traffico.</p>
<p>Tuttavia, questa configurazione introduce complessità aggiuntive: occorrerebbe consentire l’accesso solo agli indirizzi IP di Cloudflare, con una conseguente modifica delle regole firewall, una gestione più granulare delle liste di trusted IP e una combinazione di impostazioni su Cloudflare stesso.</p>
<p>Questa soluzione, pur più articolata, incrementa significativamente la resilienza del sistema e riduce l’esposizione diretta della vostra infrastruttura, rendendola meno vulnerabile alle minacce provenienti da Internet. Consideratela un’evoluzione del setup descritto in quest’articolo, una strada da intraprendere quando le esigenze di sicurezza e affidabilità diventano più stringenti.</p>

      
    </div>
    <footer class="article-footer">
      <a data-url="https://geegeek.github.io/2024/12/09/Implementare-un-server-SSH-su-Ubuntu-Debian-configurazioni-differenziate-e-accesso-esterno-con-port-forwarding/" data-id="cm5wmibd5000d35j97eczcbj6" data-title="Implementare un server SSH su Ubuntu/Debian, configurazioni differenziate e accesso esterno con port forwarding" class="article-share-link"><span class="fa fa-share">Share</span></a>
      
      
      
  <ul class="article-tag-list" itemprop="keywords"><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/automazione/" rel="tag">automazione</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/linux/" rel="tag">linux</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/networking/" rel="tag">networking</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/sicurezza/" rel="tag">sicurezza</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/ssh/" rel="tag">ssh</a></li></ul>

    </footer>
  </div>
  
</article>



  
    <article id="post-Gestire-la-configurazione-di-rete-con-il-comando-ip-su-Linux" class="h-entry article article-type-post" itemprop="blogPost" itemscope itemtype="https://schema.org/BlogPosting">
  <div class="article-meta">
    <a href="/2024/12/08/Gestire-la-configurazione-di-rete-con-il-comando-ip-su-Linux/" class="article-date">
  <time class="dt-published" datetime="2024-12-08T00:00:00.000Z" itemprop="datePublished">2024-12-08</time>
</a>
    
  </div>
  <div class="article-inner">
    
    
      <header class="article-header">
        
  
    <h1 itemprop="name">
      <a class="p-name article-title" href="/2024/12/08/Gestire-la-configurazione-di-rete-con-il-comando-ip-su-Linux/">Gestire la configurazione di rete con il comando ip su Linux</a>
    </h1>
  

      </header>
    
    <div class="e-content article-entry" itemprop="articleBody">
      
        <h2 id="Introduzione"><a href="#Introduzione" class="headerlink" title="Introduzione"></a>Introduzione</h2><p>Il comando <strong>ip</strong> su Linux è uno strumento estremamente versatile e potente per la gestione e la configurazione dei parametri di rete del sistema. Sostituisce gradualmente alcuni comandi più datati (come <code>ifconfig</code>, <code>route</code>, <code>netstat</code>) offrendo funzionalità più moderne e una sintassi coerente. Grazie a <strong>ip</strong> è possibile visualizzare, modificare e mantenere in efficienza la rete locale, le interfacce, i gateway e le rotte in modo sicuro, scalabile e senza ricorrere ad azioni rischiose.</p>
<p>In questo articolo esamineremo, in un ordine più coerente rispetto alla lista originale, come utilizzare il comando <strong>ip</strong> per coprire una serie di attività comuni in ambito di amministrazione di rete. Saranno illustrate le funzioni principali, la configurazione di base consigliata, alcune opzioni utili e le best practice per mantenere un livello di sicurezza medio-alto, senza ricorrere ad un accesso root diretto.</p>
<h2 id="Perche-usare-il-comando-ip"><a href="#Perche-usare-il-comando-ip" class="headerlink" title="Perché usare il comando ip?"></a>Perché usare il comando ip?</h2><p>Il comando <strong>ip</strong> fa parte del pacchetto <code>iproute2</code> e offre una sintassi modulare in cui le operazioni si esprimono come combinazioni di <code>ip [oggetto] [comando] [parametri]</code>. Gli oggetti principali sono <code>link</code> (le interfacce), <code>addr</code> (gli indirizzi IP), <code>route</code> (le rotte), <code>neigh</code> (gli ARP&#x2F;neighbour), e così via.</p>
<p>Rispetto ad altri comandi datati, <strong>ip</strong> fornisce un output più chiaro, supporta funzionalità moderne (come tunnel e policy routing) e permette di integrare opzioni avanzate (es. gestione di MTU, queueing discipline, bridging, bonding).</p>
<h2 id="Ordine-logico-delle-operazioni-con-il-comando-ip"><a href="#Ordine-logico-delle-operazioni-con-il-comando-ip" class="headerlink" title="Ordine logico delle operazioni con il comando ip"></a>Ordine logico delle operazioni con il comando ip</h2><p>Di seguito una lista ordinata di 15 azioni comuni che si possono effettuare con il comando <strong>ip</strong>, riorganizzate in un ordine più coerente per un amministratore di sistema:</p>
<ol>
<li><p><strong>Individuare le interfacce di rete disponibili sul sistema</strong><br>Prima di qualsiasi operazione è fondamentale sapere quali interfacce siano presenti: Ethernet, Wi-Fi, loopback, virtuali ecc.</p>
</li>
<li><p><strong>Consultare lo stato di una singola interfaccia IP</strong><br>Una volta individuata un’interfaccia, è utile controllarne stato, parametri e statistiche.</p>
</li>
<li><p><strong>Configurare l’interfaccia di loopback, Ethernet e altre interfacce IP</strong><br>Il loopback e le interfacce fisiche o virtuali possono essere configurate con indirizzi IP, MTU, etichette, ecc.</p>
</li>
<li><p><strong>Mettere un’interfaccia in stato attivo (up) o inattivo (down)</strong><br>Attivare o disattivare un’interfaccia senza rimuoverne la configurazione.</p>
</li>
<li><p><strong>Modificare parametri aggiuntivi di un’interfaccia, ad esempio MTU o nome</strong><br>Non solo up&#x2F;down, ma anche impostare l’MTU e, se supportato, rinominare l’interfaccia in modo coerente.</p>
</li>
<li><p><strong>Assegnare, eliminare e configurare indirizzi IP, subnet e altre informazioni IP</strong><br>Aggiungere un indirizzo IP, rimuoverlo, configurare maschere di rete e gateway può essere fatto con pochi comandi.</p>
</li>
<li><p><strong>Visualizzare e modificare l’elenco degli indirizzi IP e le loro proprietà</strong><br>Effettuare un inventario degli indirizzi configurati, controllare indirizzi multipli su una singola interfaccia, ecc.</p>
</li>
<li><p><strong>Configurare e modificare rotte predefinite e statiche</strong><br>Impostare una route di default o aggiungere rotte statiche verso sottoreti specifiche.</p>
</li>
<li><p><strong>Impostare o eliminare singole voci di routing</strong><br>Se necessario, aggiungere o rimuovere rotte individuali per un fine più granulare.</p>
</li>
<li><p><strong>Verificare il percorso (traccia) che un indirizzo IP seguirà</strong><br>Controllare come i pacchetti raggiungono una destinazione, utile per diagnosticare problemi di rete.</p>
</li>
<li><p><strong>Configurare tunnel su IP</strong><br>Creare e gestire tunnel IP (ad esempio GRE o IPIP) per connettere due reti remote attraverso un canale sicuro.</p>
</li>
<li><p><strong>Gestire e visualizzare lo stato globale della rete</strong><br>Panoramica dello stato di tutte le interfacce e delle relative statistiche.</p>
</li>
<li><p><strong>Raccogliere informazioni sugli indirizzi IP multicast</strong><br>Verificare quali gruppi multicast sono configurati sull’host.</p>
</li>
<li><p><strong>Mostrare la cache ARP o NDISC</strong><br>Visualizzare i mapping tra indirizzi IP e MAC (ARP su IPv4) o NDISC (su IPv6).</p>
</li>
<li><p><strong>Gestire gli oggetti neighbour: invalidare ARP cache, aggiungere entry ARP, ecc.</strong><br>Aggiungere manualmente voci ARP, rimuoverle o invalidarle per forzare la risoluzione dell’indirizzo in caso di problemi.</p>
</li>
</ol>
<h2 id="Comandi-utili-ed-esempi-di-configurazione"><a href="#Comandi-utili-ed-esempi-di-configurazione" class="headerlink" title="Comandi utili ed esempi di configurazione"></a>Comandi utili ed esempi di configurazione</h2><p>Di seguito riportiamo alcuni esempi pratici, usando il comando <code>ip</code>.<br><strong>Nota:</strong> Evita di operare come root; utilizza invece <code>sudo</code> quando necessario. Prima di modificare configurazioni critiche di rete, sperimenta su macchine di test o sistemi non di produzione.</p>
<h3 id="1-Individuare-le-interfacce-disponibili"><a href="#1-Individuare-le-interfacce-disponibili" class="headerlink" title="1. Individuare le interfacce disponibili"></a>1. Individuare le interfacce disponibili</h3><pre><code class="bash">ip link show

### 2. Consultare lo stato di una singola interfaccia

```bash
ip link show dev eth0

Questo comando mostra lo stato di `eth0`, le sue proprietà e se è up o down.

### 3. Configurare l’interfaccia di loopback

L’interfaccia loopback `lo` è solitamente già configurata di default, ma per verificarne lo stato:

```bash
ip link set lo up
ip addr show dev lo

### 4. Attivare o disattivare un’interfaccia

```bash
sudo ip link set eth0 up
sudo ip link set eth0 down

### 5. Modificare parametri avanzati dell’interfaccia

Ad esempio, per modificare l’MTU:

```bash
sudo ip link set eth0 mtu 1400

### 6. Assegnare un indirizzo IP

```bash
sudo ip addr add 192.168.1.10/24 dev eth0

Per rimuoverlo:

```bash
sudo ip addr del 192.168.1.10/24 dev eth0

### 7. Visualizzare gli indirizzi IP configurati

```bash
ip addr show

### 8. Configurare una route di default

```bash
sudo ip route add default via 192.168.1.1 dev eth0

### 9. Eliminare una route

```bash
sudo ip route del 192.168.2.0/24 dev eth0

### 10. Verificare il percorso verso un host remoto

Questo non è un comando `ip` diretto, ma `ip route get` può fornire una traccia del percorso:

```bash
ip route get 8.8.8.8

### 11. Configurare un tunnel IP (esempio GRE)

```bash
sudo ip tunnel add gre1 mode gre remote 203.0.113.5 local 198.51.100.10 dev eth0
sudo ip link set gre1 up
sudo ip addr add 10.0.0.1/24 dev gre1

### 12. Stato globale della rete

```bash
ip -s link

Mostra statistiche di rete su tutte le interfacce.

### 13. Informazioni sugli indirizzi multicast

```bash
ip maddr show

### 14. Mostrare la cache ARP

```bash
ip neigh show

### 15. Gestire la ARP cache

Aggiungere una voce statica ARP:

```bash
sudo ip neigh add 192.168.1.50 lladdr 00:11:22:33:44:55 dev eth0 nud permanent

Rimuoverla:

```bash
sudo ip neigh del 192.168.1.50 dev eth0

## Configurazione di base consigliata

Una configurazione di rete di base consigliata potrebbe prevedere:

- Un’interfaccia Ethernet principale con IP statico e una route di default verso il gateway della LAN.
- Un indirizzo IP assegnato con il comando `ip addr add ...`.
- Una route di default impostata con `ip route add default via ...`.
- Niente accessi diretti come root: utilizzare sempre `sudo`.
- Mantenere l’MTU standard (1500) a meno di necessità specifiche.
- Verificare che la cache ARP non contenga entry obsolete e mantenere aggiornato l’elenco delle rotte.

Per rendere persistenti queste configurazioni, l’amministratore può utilizzare file di configurazione specifici della distribuzione (ad esempio `/etc/network/interfaces` su Debian/Ubuntu, o i file in `/etc/sysconfig/network-scripts/` su Red Hat/CentOS), riportando le stesse informazioni che abbiamo testato con `ip`.

## Conclusioni

Il comando **ip** mette a disposizione un set completo di strumenti per configurare, diagnosticare e mantenere in efficienza la rete di un host Linux. Prendere confidenza con le sue opzioni più importanti è un passo fondamentale per qualsiasi amministratore di sistema moderno. Aumentare la sicurezza e la stabilità della rete non richiede l’uso di pratiche rischiose, ma una buona comprensione degli strumenti a disposizione.

Con l’approccio presentato in questo articolo, è possibile migliorare la propria padronanza di `ip`, organizzare il lavoro in modo sistematico e mantenere un livello di sicurezza medio-alto anche nella gestione quotidiana del networking Linux.
</code></pre>

      
    </div>
    <footer class="article-footer">
      <a data-url="https://geegeek.github.io/2024/12/08/Gestire-la-configurazione-di-rete-con-il-comando-ip-su-Linux/" data-id="cm5wmibd4000b35j9436q0s8y" data-title="Gestire la configurazione di rete con il comando ip su Linux" class="article-share-link"><span class="fa fa-share">Share</span></a>
      
      
      
  <ul class="article-tag-list" itemprop="keywords"><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/amministrazione-sistemi/" rel="tag">amministrazione-sistemi</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/linux/" rel="tag">linux</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/networking/" rel="tag">networking</a></li></ul>

    </footer>
  </div>
  
</article>



  
    <article id="post-Configurare-SSH-su-Ubuntu-Soluzioni-a-Errori-Comuni" class="h-entry article article-type-post" itemprop="blogPost" itemscope itemtype="https://schema.org/BlogPosting">
  <div class="article-meta">
    <a href="/2024/12/05/Configurare-SSH-su-Ubuntu-Soluzioni-a-Errori-Comuni/" class="article-date">
  <time class="dt-published" datetime="2024-12-05T18:31:19.000Z" itemprop="datePublished">2024-12-05</time>
</a>
    
  <div class="article-category">
    <a class="article-category-link" href="/categories/SSH/">SSH</a>►<a class="article-category-link" href="/categories/SSH/Ubuntu/">Ubuntu</a>
  </div>

  </div>
  <div class="article-inner">
    
    
      <header class="article-header">
        
  
    <h1 itemprop="name">
      <a class="p-name article-title" href="/2024/12/05/Configurare-SSH-su-Ubuntu-Soluzioni-a-Errori-Comuni/">Configurare SSH su Ubuntu: Soluzioni a Errori Comuni</a>
    </h1>
  

      </header>
    
    <div class="e-content article-entry" itemprop="articleBody">
      
        <p>SSH (Secure Shell) è uno strumento fondamentale per accedere in modo sicuro a un server remoto. In questa guida, condivido come ho configurato SSH su un server Ubuntu e come ho risolto alcuni errori che ho incontrato durante il processo.</p>
<hr>
<h3 id="Errori-Riscontrati-e-Soluzioni"><a href="#Errori-Riscontrati-e-Soluzioni" class="headerlink" title="Errori Riscontrati e Soluzioni"></a>Errori Riscontrati e Soluzioni</h3><p>Ecco alcuni dei messaggi di errore che ritengo utili condividere durante la configurazione di SSH, insieme alle soluzioni applicate.</p>
<h1 id="1-Autenticazione-tramite-chiave-pubblica-non-funzionante"><a href="#1-Autenticazione-tramite-chiave-pubblica-non-funzionante" class="headerlink" title="1. Autenticazione tramite chiave pubblica non funzionante"></a>1. Autenticazione tramite chiave pubblica non funzionante</h1><p><strong>Messaggio di errore</strong>  </p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">Permission denied (publickey)  </span><br></pre></td></tr></table></figure>

<p><strong>Causa</strong><br>Questo errore si verifica quando la chiave pubblica non è stata correttamente aggiunta al file <code>authorized_keys</code> sul server, oppure se i permessi dei file e delle directory coinvolte non sono conformi alle aspettative di <code>sshd</code>.</p>
<p><strong>Soluzione</strong>  </p>
<ol>
<li>Verificare che la chiave pubblica dell’utente si trovi in <code>~/.ssh/authorized_keys</code> sul server.  </li>
<li>Controllare i permessi:  <figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br><span class="line">19</span><br><span class="line">20</span><br><span class="line">21</span><br><span class="line">22</span><br><span class="line">23</span><br><span class="line">24</span><br><span class="line">25</span><br><span class="line">26</span><br><span class="line">27</span><br><span class="line">28</span><br></pre></td><td class="code"><pre><span class="line">   <span class="built_in">chmod</span> 700 ~/.ssh  </span><br><span class="line">   <span class="built_in">chmod</span> 600 ~/.ssh/authorized_keys  </span><br><span class="line">   ```  </span><br><span class="line">3. Assicurarsi che la proprietà di `~/.ssh` e `~/.ssh/authorized_keys` sia correttamente assegnata all’utente interessato.</span><br><span class="line"></span><br><span class="line">**Nota di approfondimento**  </span><br><span class="line">È buona norma non rendere il file `authorized_keys` scrivibile da altri utenti per motivi di sicurezza.</span><br><span class="line"></span><br><span class="line"></span><br><span class="line"><span class="comment"># 2. Servizio ssh non avviabile a causa di chiavi host mancanti</span></span><br><span class="line"></span><br><span class="line">**Messaggio di errore**  </span><br><span class="line">```plaintext  </span><br><span class="line">Could not load host key: /etc/ssh/ssh_host_rsa_key  </span><br><span class="line">```  </span><br><span class="line">(e messaggi simili per altre chiavi host)</span><br><span class="line"></span><br><span class="line">**Causa**  </span><br><span class="line">La mancanza delle chiavi host o la loro corruzione impediscono al demone `sshd` di avviarsi correttamente.</span><br><span class="line"></span><br><span class="line">**Soluzione**  </span><br><span class="line">1. Rigenerare le chiavi host:  </span><br><span class="line">   ```bash  </span><br><span class="line">   <span class="built_in">sudo</span> ssh-keygen -A  </span><br><span class="line">   ```  </span><br><span class="line">2. Riavviare il servizio:  </span><br><span class="line">   ```bash  </span><br><span class="line">   <span class="built_in">sudo</span> systemctl restart ssh  </span><br></pre></td></tr></table></figure></li>
</ol>
<p><strong>Nota di approfondimento</strong><br>Le chiavi host identificano il server. Rigenerarle comporta che i client dovranno confermare nuovamente l’impronta del server.</p>
<h1 id="3-Connessione-rifiutata-Connection-refused"><a href="#3-Connessione-rifiutata-Connection-refused" class="headerlink" title="3. Connessione rifiutata (Connection refused)"></a>3. Connessione rifiutata (Connection refused)</h1><p><strong>Messaggio di errore</strong>  </p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">ssh: connect to host 192.168.1.10 port 22: Connection refused  </span><br></pre></td></tr></table></figure>

<p><strong>Causa</strong><br>Il servizio <code>sshd</code> non è in esecuzione, la porta 22 è bloccata da un firewall, o l’indirizzo IP non è corretto.</p>
<p><strong>Soluzione</strong>  </p>
<ol>
<li>Assicurarsi che <code>sshd</code> sia attivo:  <figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br></pre></td><td class="code"><pre><span class="line">   <span class="built_in">sudo</span> systemctl status ssh  </span><br><span class="line">   ```  </span><br><span class="line">2. In caso di servizio non attivo, avviarlo:  </span><br><span class="line">   ```bash  </span><br><span class="line">   <span class="built_in">sudo</span> systemctl start ssh  </span><br><span class="line">   ```  </span><br><span class="line">3. Verificare firewall e regole ufw:  </span><br><span class="line">   ```bash  </span><br><span class="line">   <span class="built_in">sudo</span> ufw allow 22  </span><br></pre></td></tr></table></figure></li>
</ol>
<p><strong>Nota di approfondimento</strong><br>Verificare anche la correttezza dell’indirizzo IP del server e la configurazione di rete.</p>
<h1 id="4-Timeout-durante-l’autenticazione"><a href="#4-Timeout-durante-l’autenticazione" class="headerlink" title="4. Timeout durante l’autenticazione"></a>4. Timeout durante l’autenticazione</h1><p><strong>Messaggio di errore</strong>  </p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">ssh: connect to host esempio.com port 22: Operation timed out  </span><br></pre></td></tr></table></figure>

<p><strong>Causa</strong><br>Il server potrebbe essere raggiungibile ma lento a rispondere, oppure ci sono problemi di rete. Potrebbe anche essere presente un <code>MaxStartups</code> troppo basso in <code>/etc/ssh/sshd_config</code> che limita le connessioni contemporanee.</p>
<p><strong>Soluzione</strong>  </p>
<ol>
<li>Verificare la rete e la latenza con <code>ping</code> o <code>traceroute</code>.  <figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br></pre></td><td class="code"><pre><span class="line">   ping esempio.com  </span><br><span class="line">   ```  </span><br><span class="line">2. Aumentare `ClientAliveInterval` o `MaxStartups` <span class="keyword">in</span> `/etc/ssh/sshd_config` se il problema è legato alla configurazione del server:  </span><br><span class="line">   ```plaintext  </span><br><span class="line">   <span class="comment"># Esempio:  </span></span><br><span class="line">   MaxStartups 10:30:60  </span><br><span class="line">   ```  </span><br><span class="line">3. Riavviare `sshd`:  </span><br><span class="line">   ```bash  </span><br><span class="line">   <span class="built_in">sudo</span> systemctl restart ssh  </span><br></pre></td></tr></table></figure></li>
</ol>
<p><strong>Nota di approfondimento</strong><br>In caso di server con molte connessioni simultanee, considerare l’ottimizzazione dei parametri in <code>sshd_config</code>.</p>
<h1 id="5-Errore-“Bad-owner-or-permissions”"><a href="#5-Errore-“Bad-owner-or-permissions”" class="headerlink" title="5. Errore “Bad owner or permissions”"></a>5. Errore “Bad owner or permissions”</h1><p><strong>Messaggio di errore</strong>  </p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">Bad owner or permissions on /home/utente/.ssh/config  </span><br></pre></td></tr></table></figure>

<p><strong>Causa</strong><br>Il file di configurazione SSH o le directory che lo contengono non hanno i permessi richiesti. SSH è molto rigido riguardo ai permessi di <code>~/.ssh</code> e dei file in esso contenuti.</p>
<p><strong>Soluzione</strong>  </p>
<ol>
<li>Impostare i permessi corretti:  <figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br></pre></td><td class="code"><pre><span class="line">   <span class="built_in">chmod</span> 700 ~/.ssh  </span><br><span class="line">   <span class="built_in">chmod</span> 600 ~/.ssh/config  </span><br><span class="line">   ```  </span><br><span class="line">2. Assicurarsi che la directory `~/.ssh` e i file all’interno siano di proprietà dell’utente stesso:  </span><br><span class="line">   ```bash  </span><br><span class="line">   <span class="built_in">chown</span> utente:utente ~/.ssh ~/.ssh/config  </span><br></pre></td></tr></table></figure></li>
</ol>
<p><strong>Nota di approfondimento</strong><br>È fondamentale garantire che nessun altro utente possa scrivere in questi file per motivi di sicurezza.</p>
<h1 id="6-Chiavi-non-leggibili-da-ssh-agent"><a href="#6-Chiavi-non-leggibili-da-ssh-agent" class="headerlink" title="6. Chiavi non leggibili da ssh-agent"></a>6. Chiavi non leggibili da ssh-agent</h1><p><strong>Messaggio di errore</strong>  </p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">Error loading key &quot;id_rsa&quot;: invalid format  </span><br></pre></td></tr></table></figure>

<p><strong>Causa</strong><br>La chiave privata potrebbe essere corrotta, nel formato sbagliato o non essere stata convertita correttamente (ad esempio da <code>PuTTY .ppk</code> a <code>OpenSSH</code>).</p>
<p><strong>Soluzione</strong>  </p>
<ol>
<li>Se si possiede una chiave nel formato <code>.ppk</code>, convertirla con <code>puttygen</code>:  <figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br></pre></td><td class="code"><pre><span class="line">   puttygen key.ppk -O private-openssh -o id_rsa  </span><br><span class="line">   ```  </span><br><span class="line">2. Assicurarsi che la chiave sia <span class="keyword">in</span> formato OpenSSH.  </span><br><span class="line">3. Impostare i permessi adeguati:  </span><br><span class="line">   ```bash  </span><br><span class="line">   <span class="built_in">chmod</span> 600 id_rsa  </span><br></pre></td></tr></table></figure></li>
</ol>
<p><strong>Nota di approfondimento</strong><br>L’uso di chiavi corrette e ben formattate è essenziale per garantire un accesso sicuro.</p>
<h1 id="7-Password-non-accettata-nonostante-sia-corretta"><a href="#7-Password-non-accettata-nonostante-sia-corretta" class="headerlink" title="7. Password non accettata nonostante sia corretta"></a>7. Password non accettata nonostante sia corretta</h1><p><strong>Messaggio di errore</strong>  </p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">Permission denied, please try again.  </span><br></pre></td></tr></table></figure>

<p><strong>Causa</strong><br>Potrebbe essere disabilitato l’accesso via password in <code>/etc/ssh/sshd_config</code> con <code>PasswordAuthentication no</code>.</p>
<p><strong>Soluzione</strong>  </p>
<ol>
<li>Modificare <code>/etc/ssh/sshd_config</code>:  <figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><span class="line">   PasswordAuthentication yes  </span><br><span class="line">   ```  </span><br><span class="line">2. Riavviare il servizio:  </span><br><span class="line">   ```bash  </span><br><span class="line">   sudo systemctl restart ssh  </span><br></pre></td></tr></table></figure></li>
</ol>
<p><strong>Nota di approfondimento</strong><br>L’accesso via password non è il più sicuro. Si consiglia di utilizzare chiavi pubbliche e private quando possibile.</p>
<h1 id="8-“Host-key-verification-failed”"><a href="#8-“Host-key-verification-failed”" class="headerlink" title="8. “Host key verification failed”"></a>8. “Host key verification failed”</h1><p><strong>Messaggio di errore</strong>  </p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">Host key verification failed.  </span><br></pre></td></tr></table></figure>

<p><strong>Causa</strong><br>La chiave host del server è cambiata rispetto a quella conosciuta nel file <code>~/.ssh/known_hosts</code>. Questo accade quando il server viene riconfigurato o rigenerato, oppure in caso di attacco di tipo “man-in-the-middle” (se la modifica non era attesa).</p>
<p><strong>Soluzione</strong>  </p>
<ol>
<li>Rimuovere la vecchia chiave dal file <code>known_hosts</code>:  <figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br></pre></td><td class="code"><pre><span class="line">   ssh-keygen -R hostname_del_server  </span><br><span class="line">   ```  </span><br><span class="line">2. Connettersi nuovamente al server per accettare la nuova chiave.</span><br><span class="line"></span><br><span class="line">**Nota di approfondimento**  </span><br><span class="line">Se la modifica della chiave host non era prevista, indagare sulle cause per escludere intrusioni o alterazioni non autorizzate.</span><br><span class="line"></span><br><span class="line"></span><br><span class="line"><span class="comment"># 9. Errore &quot;Could not resolve hostname&quot;</span></span><br><span class="line"></span><br><span class="line">**Messaggio di errore**  </span><br><span class="line">```plaintext  </span><br><span class="line">ssh: Could not resolve hostname esempio.com: Name or service not known  </span><br></pre></td></tr></table></figure></li>
</ol>
<p><strong>Causa</strong><br>Il nome host non è risolvibile. Potrebbe essere un problema con i DNS o con la configurazione di <code>/etc/hosts</code>.</p>
<p><strong>Soluzione</strong>  </p>
<ol>
<li>Controllare la connettività DNS:  <figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><span class="line">   nslookup esempio.com  </span><br><span class="line">   ```  </span><br><span class="line">2. Se non risolvibile tramite DNS, aggiungere l’IP al file `/etc/hosts`:  </span><br><span class="line">   ```plaintext  </span><br><span class="line">   192.168.1.10 esempio.com  </span><br></pre></td></tr></table></figure></li>
</ol>
<p><strong>Nota di approfondimento</strong><br>In ambienti interni o test, l’aggiunta al file <code>hosts</code> è rapida ma non scalabile. L’uso di DNS interni o server DNS dedicati è preferibile.</p>
<h1 id="10-Errore-“Too-many-authentication-failures”"><a href="#10-Errore-“Too-many-authentication-failures”" class="headerlink" title="10. Errore “Too many authentication failures”"></a>10. Errore “Too many authentication failures”</h1><p><strong>Messaggio di errore</strong>  </p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">Received disconnect from X.X.X.X: 2: Too many authentication failures for utente  </span><br></pre></td></tr></table></figure>

<p><strong>Causa</strong><br>Il client sta presentando troppe chiavi o tentativi di autenticazione falliti in rapida successione. Ciò può accadere se l’agente SSH ha molte chiavi caricate o se la configurazione non è ottimale.</p>
<p><strong>Soluzione</strong>  </p>
<ol>
<li>Limitare le chiavi caricate nell’agente SSH:  <figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br></pre></td><td class="code"><pre><span class="line">   ssh-add -D  </span><br><span class="line">   ```  </span><br><span class="line">   per scaricare tutte le chiavi e poi aggiungere solo quella necessaria:  </span><br><span class="line">   ```bash  </span><br><span class="line">   ssh-add ~/.ssh/id_rsa  </span><br><span class="line">   ```  </span><br><span class="line">2. Aumentare `MaxAuthTries` <span class="keyword">in</span> `/etc/ssh/sshd_config` se strettamente necessario:  </span><br><span class="line">   ```plaintext  </span><br><span class="line">   MaxAuthTries 6  </span><br><span class="line">   ```  </span><br><span class="line">3. Riavviare il servizio:  </span><br><span class="line">   ```bash  </span><br><span class="line">   <span class="built_in">sudo</span> systemctl restart ssh  </span><br></pre></td></tr></table></figure></li>
</ol>
<p><strong>Nota di approfondimento</strong><br>Mantenere un numero limitato di tentativi riduce il rischio di attacchi brute-force. Meglio ottimizzare la configurazione e l’agente SSH piuttosto che aumentare drasticamente il limite.</p>
<hr>
<h3 id="Conclusione"><a href="#Conclusione" class="headerlink" title="Conclusione"></a>Conclusione</h3><p>Configurare SSH su Ubuntu può presentare alcune sfide, ma spero che condividere la mia esperienza possa aiutare a risolvere problemi simili. Assicurarsi sempre di controllare i log di SSH in caso di problemi e di verificare eventuali file di configurazione aggiuntivi che potrebbero sovrascrivere le impostazioni principali.</p>

      
    </div>
    <footer class="article-footer">
      <a data-url="https://geegeek.github.io/2024/12/05/Configurare-SSH-su-Ubuntu-Soluzioni-a-Errori-Comuni/" data-id="cm5wmibcs000435j9g4ea2l6b" data-title="Configurare SSH su Ubuntu: Soluzioni a Errori Comuni" class="article-share-link"><span class="fa fa-share">Share</span></a>
      
      
      
  <ul class="article-tag-list" itemprop="keywords"><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/Configurazione/" rel="tag">Configurazione</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/SSH/" rel="tag">SSH</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/Sicurezza/" rel="tag">Sicurezza</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/Sysadmin/" rel="tag">Sysadmin</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/Ubuntu-22-04/" rel="tag">Ubuntu 22.04</a></li></ul>

    </footer>
  </div>
  
</article>



  
    <article id="post-Configurazione-di-un-server-ssh-su-subuntu-220.04" class="h-entry article article-type-post" itemprop="blogPost" itemscope itemtype="https://schema.org/BlogPosting">
  <div class="article-meta">
    <a href="/2024/12/04/Configurazione-di-un-server-ssh-su-subuntu-220.04/" class="article-date">
  <time class="dt-published" datetime="2024-12-04T15:12:53.000Z" itemprop="datePublished">2024-12-04</time>
</a>
    
  <div class="article-category">
    <a class="article-category-link" href="/categories/Linux/">Linux</a>►<a class="article-category-link" href="/categories/Linux/SSH/">SSH</a>►<a class="article-category-link" href="/categories/Linux/SSH/Ubuntu/">Ubuntu</a>
  </div>

  </div>
  <div class="article-inner">
    
    
      <header class="article-header">
        
  
    <h1 itemprop="name">
      <a class="p-name article-title" href="/2024/12/04/Configurazione-di-un-server-ssh-su-subuntu-220.04/">Configurazione di un server ssh su su ubuntu-220.04</a>
    </h1>
  

      </header>
    
    <div class="e-content article-entry" itemprop="articleBody">
      
        <p>Quando si installa un server SSH su Ubuntu 22.04, è fondamentale comprendere le differenze tra i vari file di configurazione e come essi interagiscono tra loro. Questa guida ti aiuterà a navigare attraverso questi file, spiegando le loro funzioni e come applicare le impostazioni desiderate.</p>
<h2 id="Introduzione-ai-File-di-Configurazione-SSH"><a href="#Introduzione-ai-File-di-Configurazione-SSH" class="headerlink" title="Introduzione ai File di Configurazione SSH"></a>Introduzione ai File di Configurazione SSH</h2><p>Dopo aver installato <code>openssh-server</code>, troverai diversi file e directory all’interno di <code>/etc/ssh/</code>:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br></pre></td><td class="code"><pre><span class="line">/etc/ssh/</span><br><span class="line">├── moduli</span><br><span class="line">├── ssh_config</span><br><span class="line">├── ssh_config.d</span><br><span class="line">├── sshd_config</span><br><span class="line">├── sshd_config.d</span><br><span class="line">│   └── 50-cloud-init.conf</span><br><span class="line">├── ssh_host_ecdsa_key</span><br><span class="line">├── ssh_host_ecdsa_key.pub</span><br><span class="line">├── ssh_host_ed25519_key</span><br><span class="line">├── ssh_host_ed25519_key.pub</span><br><span class="line">├── ssh_host_rsa_key</span><br><span class="line">├── ssh_host_rsa_key.pub</span><br><span class="line">└── ssh_import_id</span><br></pre></td></tr></table></figure>

<h3 id="Differenza-tra-ssh-config-e-sshd-config"><a href="#Differenza-tra-ssh-config-e-sshd-config" class="headerlink" title="Differenza tra ssh_config e sshd_config"></a>Differenza tra <code>ssh_config</code> e <code>sshd_config</code></h3><ul>
<li><p><strong><code>ssh_config</code></strong>: Questo file contiene la configurazione <strong>del client SSH</strong>. Ogni volta che si utilizza un client SSH per connettersi a un server, le impostazioni vengono lette da questo file.</p>
</li>
<li><p><strong><code>sshd_config</code></strong>: Questo file contiene la configurazione <strong>del server SSH</strong>. Definisce come il server SSH accetta e gestisce le connessioni in entrata.</p>
</li>
</ul>
<p>È importante non confondere i due: modificare <code>ssh_config</code> influenzerà solo le connessioni in uscita dal tuo server, mentre modificare <code>sshd_config</code> cambierà il comportamento del server SSH stesso.</p>
<h2 id="Il-Ruolo-della-Directory-sshd-config-d"><a href="#Il-Ruolo-della-Directory-sshd-config-d" class="headerlink" title="Il Ruolo della Directory sshd_config.d"></a>Il Ruolo della Directory <code>sshd_config.d</code></h2><p>All’interno di <code>/etc/ssh/</code>, noterai la presenza della directory <code>sshd_config.d</code>. Questa directory è stata introdotta per consentire una gestione modulare e più flessibile delle configurazioni.</p>
<ul>
<li><p><strong>File di override</strong>: I file all’interno di <code>sshd_config.d</code> possono sovrascrivere le impostazioni definite in <code>sshd_config</code>. Ad esempio, il file <code>50-cloud-init.conf</code> potrebbe contenere configurazioni specifiche generate durante l’installazione del server.</p>
</li>
<li><p><strong>Ordine di applicazione</strong>: Le configurazioni vengono lette in ordine alfabetico. Se hai più file, le impostazioni nei file successivi possono sovrascrivere quelle precedenti.</p>
</li>
</ul>
<p>Questo meccanismo è utile per gestire configurazioni complesse o per applicare impostazioni specifiche senza modificare il file principale <code>sshd_config</code>, facilitando aggiornamenti e manutenzione.</p>
<h2 id="Applicazione-delle-Impostazioni-al-Server-SSH"><a href="#Applicazione-delle-Impostazioni-al-Server-SSH" class="headerlink" title="Applicazione delle Impostazioni al Server SSH"></a>Applicazione delle Impostazioni al Server SSH</h2><p>Per configurare il tuo server SSH con le impostazioni desiderate, puoi seguire questi passi:</p>
<h3 id="1-Modifica-delle-Impostazioni"><a href="#1-Modifica-delle-Impostazioni" class="headerlink" title="1. Modifica delle Impostazioni"></a>1. Modifica delle Impostazioni</h3><p>Apri il file <code>/etc/ssh/sshd_config</code> con un editor di testo, ad esempio <code>nano</code>:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">sudo nano /etc/ssh/sshd_config</span><br></pre></td></tr></table></figure>

<p>Aggiungi o modifica le seguenti linee per applicare le tue configurazioni:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><span class="line">PermitRootLogin yes</span><br><span class="line">PasswordAuthentication yes</span><br><span class="line">PubkeyAuthentication yes</span><br><span class="line">ChallengeResponseAuthentication no</span><br><span class="line">UsePAM yes</span><br></pre></td></tr></table></figure>

<h3 id="2-Verifica-dei-File-in-sshd-config-d"><a href="#2-Verifica-dei-File-in-sshd-config-d" class="headerlink" title="2. Verifica dei File in sshd_config.d"></a>2. Verifica dei File in <code>sshd_config.d</code></h3><p>Controlla se nella directory <code>sshd_config.d</code> esistono file che potrebbero sovrascrivere queste impostazioni. In particolare, verifica <code>50-cloud-init.conf</code> o altri file presenti.</p>
<p>Apri il file per esaminarne il contenuto:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">sudo nano /etc/ssh/sshd_config.d/50-cloud-init.conf</span><br></pre></td></tr></table></figure>

<p>Se trovi impostazioni che contrastano con quelle che hai appena impostato in <code>sshd_config</code>, puoi:</p>
<ul>
<li><p><strong>Modificare il file in <code>sshd_config.d</code></strong>: Cambiare le impostazioni direttamente nel file di override.</p>
</li>
<li><p><strong>Commentare le linee</strong>: Aggiungi un <code>#</code> all’inizio delle linee per disabilitarle.</p>
</li>
</ul>
<h3 id="3-Riavvio-del-Servizio-SSH"><a href="#3-Riavvio-del-Servizio-SSH" class="headerlink" title="3. Riavvio del Servizio SSH"></a>3. Riavvio del Servizio SSH</h3><p>Dopo aver apportato le modifiche, è necessario riavviare il servizio SSH per applicarle:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">sudo systemctl restart sshd</span><br></pre></td></tr></table></figure>

<h3 id="4-Verifica-delle-Modifiche"><a href="#4-Verifica-delle-Modifiche" class="headerlink" title="4. Verifica delle Modifiche"></a>4. Verifica delle Modifiche</h3><p>Per assicurarti che le impostazioni siano state applicate correttamente, puoi utilizzare il seguente comando:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">sshd -T | grep -E &#x27;permitrootlogin|passwordauthentication|pubkeyauthentication|challengeresponseauthentication|usepam&#x27;</span><br></pre></td></tr></table></figure>

<p>Questo mostrerà le impostazioni attualmente in uso per i parametri specificati.</p>
<h2 id="Comprendere-l’Evoluzione-dei-Permessi"><a href="#Comprendere-l’Evoluzione-dei-Permessi" class="headerlink" title="Comprendere l’Evoluzione dei Permessi"></a>Comprendere l’Evoluzione dei Permessi</h2><p>L’introduzione della directory <code>sshd_config.d</code> rappresenta un’evoluzione nella gestione dei permessi e delle configurazioni. Permette agli amministratori di:</p>
<ul>
<li><p><strong>Modularizzare le configurazioni</strong>: Separare le impostazioni in file diversi per una migliore organizzazione.</p>
</li>
<li><p><strong>Facilitare gli aggiornamenti</strong>: Evitare conflitti durante gli aggiornamenti del sistema che potrebbero sovrascrivere <code>sshd_config</code>.</p>
</li>
<li><p><strong>Gestire le configurazioni in modo più sicuro</strong>: Ridurre il rischio di errori modificando solo i file necessari.</p>
</li>
</ul>
<p>È essenziale comprendere come queste directory e file interagiscono per gestire efficacemente il tuo server SSH.</p>
<h2 id="Conclusione"><a href="#Conclusione" class="headerlink" title="Conclusione"></a>Conclusione</h2><p>Configurare correttamente il server SSH è cruciale per la sicurezza e l’efficienza del tuo sistema. Comprendere le differenze tra <code>ssh_config</code> e <code>sshd_config</code>, così come il ruolo della directory <code>sshd_config.d</code>, ti permetterà di gestire le impostazioni in modo consapevole e sicuro.</p>
<p>Assicurati sempre di verificare le modifiche e di comprend</p>

      
    </div>
    <footer class="article-footer">
      <a data-url="https://geegeek.github.io/2024/12/04/Configurazione-di-un-server-ssh-su-subuntu-220.04/" data-id="cm5wmibd0000635j9anl75wmc" data-title="Configurazione di un server ssh su su ubuntu-220.04" class="article-share-link"><span class="fa fa-share">Share</span></a>
      
      
      
  <ul class="article-tag-list" itemprop="keywords"><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/Configurazione/" rel="tag">Configurazione</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/SSH/" rel="tag">SSH</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/Sicurezza/" rel="tag">Sicurezza</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/Sysadmin/" rel="tag">Sysadmin</a></li><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/Ubuntu-22-04/" rel="tag">Ubuntu 22.04</a></li></ul>

    </footer>
  </div>
  
</article>



  
    <article id="post-L-importanza-della-condivisione-un-viaggio-da-sistemista" class="h-entry article article-type-post" itemprop="blogPost" itemscope itemtype="https://schema.org/BlogPosting">
  <div class="article-meta">
    <a href="/2024/10/31/L-importanza-della-condivisione-un-viaggio-da-sistemista/" class="article-date">
  <time class="dt-published" datetime="2024-10-31T15:12:53.000Z" itemprop="datePublished">2024-10-31</time>
</a>
    
  </div>
  <div class="article-inner">
    
    
      <header class="article-header">
        
  
    <h1 itemprop="name">
      <a class="p-name article-title" href="/2024/10/31/L-importanza-della-condivisione-un-viaggio-da-sistemista/">L&#39;importanza della condivisione: un viaggio da sistemista</a>
    </h1>
  

      </header>
    
    <div class="e-content article-entry" itemprop="articleBody">
      
        <p>Da sistemista, ho sempre creduto che la base del progresso nel nostro campo risieda nella condivisione. Ogni giorno, ci troviamo di fronte a nuove sfide e a tecnologie in continua evoluzione. Ma come possiamo affrontarle efficacemente? La risposta è semplice: attingendo dalle esperienze e dalle conoscenze degli altri.</p>
<h2 id="Il-seme-della-curiosita"><a href="#Il-seme-della-curiosita" class="headerlink" title="Il seme della curiosità"></a>Il seme della curiosità</h2><p>Quando entriamo in contatto con nuove idee o strumenti, spesso sperimentiamo un momento di rivelazione. È quel “clic” che ci spinge a voler sapere di più, a voler padroneggiare quella nuova conoscenza. Questo è ciò che chiamo il seme della curiosità.</p>
<p>Quando condividiamo il nostro sapere, piantiamo questi semi nella mente di altri, stimolando la loro curiosità. E, allo stesso tempo, possiamo raccogliere i frutti delle esperienze altrui, amplificando così le nostre competenze.</p>
<h2 id="Condividere-per-crescere"><a href="#Condividere-per-crescere" class="headerlink" title="Condividere per crescere"></a>Condividere per crescere</h2><p>Io credo fermamente che ogni linea di codice, ogni configurazione che realizzo, debba essere disponibile per altri. Non perché io sia sicuro che il mio lavoro sia perfetto, ma perché è un modo per archiviare le mie esperienze e facilitare l’apprendimento altrui.</p>
<p>La condivisione non è solo un atto altruistico; è un’opportunità per ricevere feedback e migliorare. Ogni volta che qualcuno utilizza ciò che ho condiviso, ho la possibilità di apprendere e crescere.</p>
<h2 id="Dovrei-condividere-anche-le-mie-soluzioni-imperfette"><a href="#Dovrei-condividere-anche-le-mie-soluzioni-imperfette" class="headerlink" title="Dovrei condividere anche le mie soluzioni imperfette?"></a>Dovrei condividere anche le mie soluzioni imperfette?</h2><p>Assolutamente sì! È importante ricordare che nessuno di noi è perfetto. Ogni volta che scegliamo di non condividere le nostre soluzioni, perdiamo un’occasione preziosa di imparare e di contribuire a una comunità più ampia.</p>
<p>La verità è che le nostre esperienze, anche quelle imperfette, possono ispirare e aiutare gli altri a superare le loro sfide. Quindi, iniziamo a condividere! Ogni volta che lo facciamo, piantiamo nuovi semi di curiosità e alimentiamo il ciclo dell’apprendimento.</p>
<p>In conclusione, nel mondo IT, il progresso non è mai un viaggio solitario. È una rete di scambio continuo di idee e conoscenze. Abbracciamo la condivisione e vediamo dove ci porterà.</p>

      
    </div>
    <footer class="article-footer">
      <a data-url="https://geegeek.github.io/2024/10/31/L-importanza-della-condivisione-un-viaggio-da-sistemista/" data-id="cm5wmibda000f35j9e8ux788k" data-title="L&#39;importanza della condivisione: un viaggio da sistemista" class="article-share-link"><span class="fa fa-share">Share</span></a>
      
      
      
  <ul class="article-tag-list" itemprop="keywords"><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/practice/" rel="tag">practice</a></li></ul>

    </footer>
  </div>
  
</article>



  


  <nav id="page-nav">
    
    <span class="page-number current">1</span><a class="page-number" href="/page/2/">2</a><a class="extend next" rel="next" href="/page/2/">Next &raquo;</a>
  </nav>

</section>
        
          <aside id="sidebar">
  
    
  <div class="widget-wrap">
    <h3 class="widget-title">Categories</h3>
    <div class="widget">
      <ul class="category-list"><li class="category-list-item"><a class="category-list-link" href="/categories/Amministrazione-di-Sistema/">Amministrazione di Sistema</a><ul class="category-list-child"><li class="category-list-item"><a class="category-list-link" href="/categories/Amministrazione-di-Sistema/Linux/">Linux</a></li></ul></li><li class="category-list-item"><a class="category-list-link" href="/categories/Linux/">Linux</a><ul class="category-list-child"><li class="category-list-item"><a class="category-list-link" href="/categories/Linux/SSH/">SSH</a><ul class="category-list-child"><li class="category-list-item"><a class="category-list-link" href="/categories/Linux/SSH/Ubuntu/">Ubuntu</a></li></ul></li></ul></li><li class="category-list-item"><a class="category-list-link" href="/categories/SSH/">SSH</a><ul class="category-list-child"><li class="category-list-item"><a class="category-list-link" href="/categories/SSH/Ubuntu/">Ubuntu</a></li></ul></li><li class="category-list-item"><a class="category-list-link" href="/categories/Sicurezza-Informatica/">Sicurezza Informatica</a><ul class="category-list-child"><li class="category-list-item"><a class="category-list-link" href="/categories/Sicurezza-Informatica/Strumenti-Online/">Strumenti Online</a></li></ul></li><li class="category-list-item"><a class="category-list-link" href="/categories/SysAdmin/">SysAdmin</a></li></ul>
    </div>
  </div>


  
    
  <div class="widget-wrap">
    <h3 class="widget-title">Tags</h3>
    <div class="widget">
      <ul class="tag-list" itemprop="keywords"><li class="tag-list-item"><a class="tag-list-link" href="/tags/var-www-html/" rel="tag">&#x2F;var&#x2F;www&#x2F;html</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/Configurazione/" rel="tag">Configurazione</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/HomeLab/" rel="tag">HomeLab</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/Linux/" rel="tag">Linux</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/Nagios/" rel="tag">Nagios</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/Permessi/" rel="tag">Permessi</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/SSH/" rel="tag">SSH</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/Sicurezza/" rel="tag">Sicurezza</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/Sysadmin/" rel="tag">Sysadmin</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/Ubuntu-22-04/" rel="tag">Ubuntu 22.04</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/amministrazione-sistemi/" rel="tag">amministrazione-sistemi</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/ansible/" rel="tag">ansible</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/automazione/" rel="tag">automazione</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/bit-SGID/" rel="tag">bit SGID</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/linux/" rel="tag">linux</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/manutenzione/" rel="tag">manutenzione</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/networking/" rel="tag">networking</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/one-time-password/" rel="tag">one-time password</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/password-generator/" rel="tag">password generator</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/practice/" rel="tag">practice</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/sicurezza/" rel="tag">sicurezza</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/spazio-disco/" rel="tag">spazio disco</a></li><li class="tag-list-item"><a class="tag-list-link" href="/tags/ssh/" rel="tag">ssh</a></li></ul>
    </div>
  </div>


  
    
  <div class="widget-wrap">
    <h3 class="widget-title">Tag Cloud</h3>
    <div class="widget tagcloud">
      <a href="/tags/var-www-html/" style="font-size: 10px;">/var/www/html</a> <a href="/tags/Configurazione/" style="font-size: 13.33px;">Configurazione</a> <a href="/tags/HomeLab/" style="font-size: 10px;">HomeLab</a> <a href="/tags/Linux/" style="font-size: 13.33px;">Linux</a> <a href="/tags/Nagios/" style="font-size: 10px;">Nagios</a> <a href="/tags/Permessi/" style="font-size: 10px;">Permessi</a> <a href="/tags/SSH/" style="font-size: 13.33px;">SSH</a> <a href="/tags/Sicurezza/" style="font-size: 13.33px;">Sicurezza</a> <a href="/tags/Sysadmin/" style="font-size: 13.33px;">Sysadmin</a> <a href="/tags/Ubuntu-22-04/" style="font-size: 13.33px;">Ubuntu 22.04</a> <a href="/tags/amministrazione-sistemi/" style="font-size: 10px;">amministrazione-sistemi</a> <a href="/tags/ansible/" style="font-size: 10px;">ansible</a> <a href="/tags/automazione/" style="font-size: 16.67px;">automazione</a> <a href="/tags/bit-SGID/" style="font-size: 10px;">bit SGID</a> <a href="/tags/linux/" style="font-size: 20px;">linux</a> <a href="/tags/manutenzione/" style="font-size: 10px;">manutenzione</a> <a href="/tags/networking/" style="font-size: 20px;">networking</a> <a href="/tags/one-time-password/" style="font-size: 10px;">one-time password</a> <a href="/tags/password-generator/" style="font-size: 10px;">password generator</a> <a href="/tags/practice/" style="font-size: 10px;">practice</a> <a href="/tags/sicurezza/" style="font-size: 16.67px;">sicurezza</a> <a href="/tags/spazio-disco/" style="font-size: 10px;">spazio disco</a> <a href="/tags/ssh/" style="font-size: 13.33px;">ssh</a>
    </div>
  </div>

  
    
  <div class="widget-wrap">
    <h3 class="widget-title">Archives</h3>
    <div class="widget">
      <ul class="archive-list"><li class="archive-list-item"><a class="archive-list-link" href="/archives/2025/01/">January 2025</a></li><li class="archive-list-item"><a class="archive-list-link" href="/archives/2024/12/">December 2024</a></li><li class="archive-list-item"><a class="archive-list-link" href="/archives/2024/10/">October 2024</a></li></ul>
    </div>
  </div>


  
    
  <div class="widget-wrap">
    <h3 class="widget-title">Recent Posts</h3>
    <div class="widget">
      <ul>
        
          <li>
            <a href="/2025/01/28/Impostazione-dei-permessi-in-var-www-html-con-il-bit-SGID/">Impostazione dei permessi in /var/www/html con il bit SGID</a>
          </li>
        
          <li>
            <a href="/2024/12/16/Generazione-e-condivisione-di-password-online-tramite-github-Pages/">Generazione e condivisione di password online tramite github Pages</a>
          </li>
        
          <li>
            <a href="/2024/12/12/Come-identificare-e-gestire-i-file-che-occupano-troppo-spazio-su-disco-da-linea-di-comando/">Come identificare e gestire i file che occupano troppo spazio su disco da linea di comando</a>
          </li>
        
          <li>
            <a href="/2024/12/10/Esempi-Pratici-di-Expect-sulla-CLI-Linux-Accesso-Remoto-e-Gestione-Password/">Esempi Pratici di Expect sulla CLI Linux: Accesso Remoto e Gestione Password</a>
          </li>
        
          <li>
            <a href="/2024/12/09/Automatizzare-la-configurazione-differenziata-dell-accesso-SSH-con-Ansible/">Automatizzare la configurazione differenziata dell&#39;accesso SSH con Ansible</a>
          </li>
        
      </ul>
    </div>
  </div>

  
</aside>
        
      </div>
      <footer id="footer">
  
  <div class="outer">
    <div id="footer-info" class="inner">
      
      &copy; 2025 geegeek<br>
      Powered by <a href="https://hexo.io/" target="_blank">Hexo</a>
    </div>
  </div>
</footer>

    </div>
    <nav id="mobile-nav">
  
    <a href="/" class="mobile-nav-link">Home</a>
  
    <a href="/archives" class="mobile-nav-link">Archives</a>
  
</nav>
    


<script src="/js/jquery-3.6.4.min.js"></script>



  
<script src="/fancybox/jquery.fancybox.min.js"></script>




<script src="/js/script.js"></script>





  </div>
</body>
</html>