[Soci SLIP] vnc per amministrazione remota?

Antonio Alessio "dikdust" Di Pinto dikdust a adfacom.it
Gio 17 Mar 2011 01:36:08 CET


Il 15/03/2011 10:10, Lucio Crusca ha scritto:
> In data lunedì 14 marzo 2011 23:57:28, Antonio Alessio "dikdust" Di Pinto ha
> scritto:
>> Carina come soluzione ma troppo invasiva per alcuni clienti oltretutto
>> così non dai alla possibilità la possibilità di "aprire" e "chiudere" le
>> danze.
>>
>> Io avevo fatto uno scriptino ad hoc per ogni cliente che apriva più
>> reverse ssh/tunnel
> Alla fine se un cliente ti dà la sua password significa che si fida di te, quindi
> non è che tutto sto ambaradan per aprire in modo selettivo i servizi serva
> veramente a qualcosa. Voglio dire, se tu lo volessi fregare potresti farlo
> comunque nel momento in cui hai il servizio windows terminal o vnc ufficialmente
> aperto dal cliente, installando qualcosa che gli avvii putty in background (o
> addirittura un intero cygwin) e ti permetta di entrargli sul pc senza il suo
> permesso e senza che lui se ne accorga in futuro... o almeno questo è il
> discorso che faccio ai miei clienti: se mi danno la password devono fidarsi, se
> non si fidano preferisco che non me la diano (e tutto sommato che non siano
> miei clienti, ne ho già abbandonati un paio per questo motivo).
No il discorso nasceva dal fatto che facevo una specie di assistenza 
docenza a tempo in quel caso. Un po' complicata da gestire anche dal 
punto di vista contabile, era pagata a tempo ed essendo gli inizi (si 
parla del 2003 per me in questo caso) dovevo fargli percepire che 
effettivamente facevo qualcosa. E' stato uno dei primi proxy di posta 
con redhat ....

> Se poi il problema è loggare chi ha avuto accesso in quale momento, questo lo
> puoi tranquillamente fare anche con openvpn, cioè uno scriptino che avvia e
> ferma openvpn è possibile allo stesso modo del tunnel ssh con putty.
>
Uhm.. Come servizio devo essere sincero non lo conosco e non l' ho 
ancora tanto testato per due motivi: mi a le sembrava complicato (mi 
fermo a parecchi anni fa comunque con openvpn) e dovevo darlo in mano ad 
un cliente i cui pc erano poi casalinghi (probabili virus a manetta 
....). Non so mai da dove entro e le vpn con il meccanismo road warrior 
non mi piacciono per niente (mi ripeto sono molto indietro).
>> a seconda del servizio da controllare poi mi
>> connettevo con il client che mi pareva (basta putty dal cliente).
>> Presuppone ovviamente di avere  una macchina linux con ip pubblico.
> Dettagli tecnici (che poi si traducono in costi): non serve una macchina linux
> con ip pubblico (immagino tu intenda "pubblico e statico"). Basta un nome di
> dominio, anche se di terzo livello va bene, che è legato ad un ip dinamico ed
> aggiornato automaticamente ogni cambio ip, ed un firewall o router configurato
> per girare la porta 22/tcp sulla macchina linux.
Beh in effetti ho dato per scontato il mio caso, ho un ufficio con un 
più server sempre accesi ed una connessione adsl 24h*7 ed un ip pubblico 
(che sia statico/dinamico cambia poco, le soluzioni tipo dydns ci sono 
ed i router supportano oramai tutti il pat).
>> Molti meno problemi rispetto ad un openvpn.
> Io uso entrambe le soluzioni e trovo molto meno problematico openvpn. È una
> soluzione stabile, consolidata, la installi, funziona e te la dimentichi.
Uhm metto nei todo e amen.
>   Di
> contro richiede veramente una macchina linux con ip pubblico e statico (ma per
> fortuna ce l'ho). Invece lo scriptino ssh è artigianale (almeno il mio, non
> credo esista qualcosa di supportato dalla community), ho sempre avuto qualche
> problema di affidabilità con connessioni lente e devi saltare da un hop
> all'altro a mano (non configura il routing).
>
? A parte il keep alive (obbligatorio in tutti i casi) una soluzione del 
genere ha senso solo se fai un salto solo e sei tu a dover avere un ip 
pubblico (vedi sopra).
> Inoltre gestire gli utenti, password e certificati con ssh è una tragedia da
> smazzarsi di nuovo a mano.
Lo fai una volta per cliente e col fatto che sono loro ad aprire il 
meccanismo è anche semplice, "lati negativi" chiave dsa/rsa senza 
password ed ssh aperto al mondo (su altra porta per evitare gli script 
kiddies).
>   Con openvpn esistono tanti possibili manager di CA,
> non li ho ancora provati, ma almeno esistono...
+1 per openvpn ;)
> _______________________________________________
> Soci mailing list
> Soci a mail.pinerolo.linux.it
> http://mailman.pinerolo.linux.it/mailman/listinfo/soci




Maggiori informazioni sulla lista Soci