Connessione sicura SSH/SCP da Raspberry Pi a server cloud per backup e aggiornamenti: 3 passaggi

2024 Autore: John Day | [email protected]. Ultima modifica: 2024-01-30 10:02

Lo scopo di questa istruzione è mostrarti come connetterti automaticamente e in modo sicuro dal tuo Raspberry Pi a un server cloud remoto (e viceversa) per eseguire backup e aggiornamenti, ecc. Per fare ciò, usi coppie di chiavi SSH che evita la necessità di ricordare le password e ti offre una connessione più sicura.

(AVVISO - Non tentare questo se non sei competente nella configurazione delle autorizzazioni Linux altrimenti renderai i tuoi sistemi più vulnerabili agli attacchi degli hacker.)

Requisiti

1. Raspberry Pi con un'interfaccia a riga di comando (CLI) come vedresti su Putty.

2. Accesso a un server cloud remoto ospitato da, ad esempio, OVH o DigitalOcean, con una CLI.

3. Un laptop o PC Windows con Putty e PuttyGen installati.

Ipotesi

1. Hai una certa conoscenza dei comandi di Linux

2. Puoi accedere al tuo server remoto utilizzando processi manuali convenzionali, ad es. FTP.

3. Avrai preinstallato PuttyGen sul tuo PC Windows

Passi

In sintesi, - Vedi Figura 1

a) Sul tuo PC Windows, crea un file PPK privato usando PuttyGen

b) Sul tuo PC Windows, crea un file PPK pubblico usando PuttyGen (questo viene fatto automaticamente nel passaggio a)

b) Sul tuo PC Windows, copia la chiave pubblica dal tuo PC Windows al server cloud remoto

d) Sul tuo PC Windows, converti il file PPK privato in una chiave OpenSSH usando PuttyGen

e) Copia la chiave OpenSSH dal tuo PC Windows al Raspberry Pi

f) Prova l'accesso e il trasferimento di file dal Raspberry Pi al tuo server remoto

Passaggio 1: A) Crea un file PPK privato, B) Crea una chiave pubblica e C) Copialo sul server remoto

Per creare un file PPK privato, apri PuttyGen sul tuo PC Windows. Puoi accedere a PuttyGen facendo clic con il pulsante destro del mouse sull'icona del mastice nella barra delle applicazioni di Windows. Dal menu PuttyGen, selezionare key quindi generare una coppia di chiavi, selezionare l'opzione SSH2 -RSA key. Ti verrà chiesto di impostare una passphrase quando crei la chiave privata e, se imposti una passphrase, ti verrà richiesta durante le operazioni future. Salva la chiave privata da qualche parte in modo sicuro sul tuo PC Windows. Vedrai quindi la chiave pubblica nel riquadro della finestra come mostrato nella Figura 2.

Quindi, trasferiamo la chiave pubblica al server cloud remoto. Apri una sessione Putty sul server cloud remoto utilizzando Putty. Supponiamo che tu abbia effettuato l'accesso come remoteuser1, quindi procedi come segue sul server cloud remoto CLI

cd /home/remoteuser1 (se non è già presente) mkdir.ssh

nano.ssh/authorized_keys (vedrai una schermata vuota - incolla la chiave pubblica mostrata in figura 2, quindi salva e chiudi questo file)

chmod 0700.ssh

chmod 0600 /home/remoteuser1/.ssh/authorized_keys

Passaggio 2: D) Converti il file PPK privato in chiave OpenSSH ed E) Copialo sul Raspberry Pi

Per convertire la chiave privata in OpenSSH, apri PuttyGen e quindi apri la chiave privata che hai creato in precedenza - vai all'opzione Conversioni nel menu, quindi scegli Esporta chiave OpenSSH - assicurati che il file che crei abbia il tipo di file.key. Salvalo da qualche parte in modo sicuro, quindi apri una sessione di stucco per accedere al tuo Raspberry Pi. Copia il file della chiave nella directory home sul Raspberry Pi dell'account utente che hai utilizzato per accedere al Raspberry Pi. Supponiamo che la chiave si chiami pitobot.key, quindi segui questi passaggi:

cd /home/pi

sudo mv pitobot.key /home/pi/

sudo chmod 600 pitobot.key

Ora sei pronto per testare se la tua installazione ha successo - Anche in questo caso, questo viene fatto dal Pi. Ricorda, remoteuser1 è l'account sul server cloud remoto nella cui home directory è stata salvata la chiave pubblica e indirizzoip è l'indirizzo IP del server cloud remoto.

Innanzitutto dal Raspberry Pi, accediamo al server cloud remoto utilizzando Putty. Digitare i seguenti comandi sulla CLI Raspberry PI. (Se hai impostato una passphrase quando hai creato una chiave privata, ti verrà richiesta ora.)

sudo ssh -i /home/pi/pitobot.key remoteuser1@ipaddress

Questo ti consentirà di accedere alla CLI del server cloud remoto nella home directory di remoteuser1. Digitando 'exit; tornerai alla CLI del tuo Raspberry Pi.

Quindi, prova a trasferire i file dal server cloud remoto al Raspberry Pi. Usa i seguenti comandi: (Ancora una volta, se hai impostato una passphrase quando hai creato una chiave privata, ti verrà richiesta ora.)

sudo scp -i /home/pi/pitobot.key remoteuser1@ipaddress://var/www/html/*.* /home/pi/

Questo trasferirà tutti i file dalla cartella /var/www/html/ sul server remoto alla cartella /home/pi/ sul tuo Raspberry Pi. (I due punti sono molto importanti) Ovviamente puoi cambiare l'ordine dei comandi e trasferire file dal Pi al server remoto.

Passaggio 3: considerazioni sulla sicurezza

Sebbene l'approccio con coppia di chiavi SSH migliori la sicurezza, considera quanto segue:

1. Con le coppie di chiavi SSH abilitate, dovresti considerare di rimuovere la possibilità per gli utenti di accedere direttamente al server remoto (puoi anche accedere ai tuoi server usando le coppie di chiavi Putty su Windows usando la stessa coppia di chiavi e potresti anche considerare di disabilitare accedi anche al tuo Pi). Fai attenzione se scegli di farlo e non adottare un approccio big bang. Per fare ciò, devi disabilitare alcune configurazioni nel file di configurazione ssh. Stai molto attento a farlo. I comandi sono

nano /etc/ssh/sshd_config

E all'interno del file apporta le seguenti modifiche

PasswordAuthentication no

Usa il numero PAM

Salva, esci, quindi riavvia SSH con systemctl restart ssh (questo è per Debian. Potrebbe essere diverso su diverse distribuzioni Linux)

2) Mantieni tutte le tue chiavi al sicuro altrimenti rischi una violazione dei dati o non avere accesso ai tuoi server. Consiglio di conservarli in un deposito sicuro come bitwarden.com e di limitarne l'accesso tramite la politica di controllo degli accessi.

3) L'uso di una passphrase migliora la sicurezza ma può rendere più difficile l'automazione dei lavori cron ecc. La decisione di utilizzare questa e altre funzionalità dovrebbe essere determinata dalla valutazione del rischio, ad esempio, se si trattano dati personali sono necessari controlli maggiori/proporzionati.