[SkyDiver]

Premesse:

- Una delle peculiarita' di Mac OS X e' la possibilita' di startare un daemon SSH. Come sappiamo una sessione SSH e' criptata, quindi, per quanto riguarda la sicurezza siamo gia' a buon punto.

- Molti di noi, che sono in possesso di un Mac, hanno il problema di poter controllare il loro Mac da un ambiente Windows e magari dall'ufficio, ove, la maggior parte delle volte le porte TCP superiori alla 1023 sono chiuse.

- Come sappiamo Mac OS X ha il suo server di connessione remota che puo' lavorare in 2 modi: tramite il programma Apple Remote Desktop (ma solo se anche in ufficio abbiamo un altro Mac) oppure flaggando il funzionamento per il protocollo VNC.
Purtroppo quest'ultima funzionalita' risulta molto lenta (ma solo in accoppiata con clients VNC sotto windows) e quindi non ci conviene utilizzarla.

- Il nostro router dovrebbe NON AVERE porte forwardate verso il nostro Mac, ossia, meno ne ha piu' la sicurezza e' alta. Ho optato in questa analisi di aprire SOLO la porta 22 TCP (SSH) forwardandola verso il mio Mac. Quindi sicurezza massima.
Questo significa che molti altri servizi che vorremmo esportare all'esterno del nostro Mac possono passare tunnellizzati all'interno della sola porta 22 (SSH)

Dopo la premessa veniamo alla lista della spesa, ossia ai software che ci servono per questa operazione, naturalmente tutti i software sono FreeWare:

- Server VNC sotto Mac OS X Tiger : http://sourceforge.net/projects/osxvnc/

- Server VNC sotto Mac OS X Leopard : http://www.redstonesoftware.com/Arch...ine3.0Beta.dmg

- Client VNC sotto Windows : http://www.tightvnc.com/

- Telnet SSH sotto Windows : http://www.putty.nl/download.html

[SkyDiver]

Preparazione Ambiente Mac:

Il primo passo da fare e' preparare il ns Mac.

Andiamo quindi nel Pannello di Controllo del Mac e selezioniamo Condivisione:



Abilitiamo la voce "Login Remoto", questa operazione rendera' disponibile nel Mac la funzionalita' SSH


Poi Selezioniamo Firewall:





Selezioniamo la voce Login Remoto SSH in modo tale che il firewall del Mac lasci passare connessioni esterne dirette verso la porta TCP 22.

A questo punto andate sul vostro router e abilitate, forwardando verso l'ip del vostro Mac, il servizio SSH. Se non avete il servizio precablato nel router comunque forwardare la porta 22 in TCP verso l'ip del vostro Mac.

A questo punto installate e lanciate Vine Server, avrete 4 schermate di setup su questo programma, analizziamo le ultime 3:



In alto i settings per la sezione Sistema



In alto i settings per la sezione Condivisione



In alto, infine, i setting per la sezione Avvio; in questa sezione noterete che io ho gia' configurato i servizi di avvio, tramite l'apposito tasto. Questo significa che il Vine Server partira' come servizio al boot del vs. Mac. Quindi non dovrete lanciare a mano il Vine Server dopo la partenza del vs. Mac.
Se lancierete comunque il Vine Server, sara' solo per modificare qualche opzione.

[SkyDiver]

Preparazione Ambiente Windows:

Passiamo ora all'ambiente Windows; useremo Putty come telnet client via SSH comprensivo di tunnelling.

Putty non va installato, in quanto e' un eseguibile secco, quindi doppio Click ed eseguitelo:




Dovrete crearvi innanzi tutto una sessione. Come potete vedere dall'immagine in alto io ho creato una sessione chiamata Macintosh ed ho settato i parametri per SSH, porta 22; potete salvare la sessione creata tramite il tasto Save, e successivamente ricaricarla con il tasto Load. Prima di salvare pero' andiamo a inserire i parametri per il tunnel in SSH.





Selezionando sulla sinistra la voce Tunnel vi ritroverete una schermata come quella visualizzata in alto, ovviamente non ci saranno i parametri inseriti.

Bene, inseriamo i parametri cercando anche di capire perche' :

- Inseriamo nel campo Source Port: 8080
- Inseriamo nel campo Destination: :80
- Inseriamo la regola con Add

Ripetiamo il procedimento per la 5900

- Inseriamo nel campo Source Port: 5900
- Inseriamo nel campo Destination: 127.0.0.1:80
- Inseriamo la regola con Add

Bene, abbiamo inserito 2 regole. In realta' per la funzionalita' di DeskTop Remoto serviva solo la regola con la 5900, ma l'esempio della 8080 vi dimostra come sia possibile esportare all'esterno, sempre e solamente usando la 22 in SSH, altre funzionalita'. Infatti la regola della 8080 permette di accedere alla pagina di setup del vostro router senza aprire la porta di accesso remoto del router nel router. Gestire un router tramite la sua porta remota e' infatti una operazione pericolosa, specialmente se lo fate attraverso una intranet aziendale, infatti, quando digitate la password di accesso al vostro user lo fate in chiaro.

Vedremo dopo, come effettuare la chiamata dal vostro Browser per accedere al vostro router tramite tunnel su SSH.

A questo punto installate sul vostro PC Windows il client VLC viewer, ossia il programma TightVNC, installato il programma fatelo partire con il link "TightVNC Best Compression"

Premete il tasto Option e dovreste avere queste carateristiche:



Date Ok e chiudete il client.


Operatività:

Ora che avete installato e configurato tutti gli strumenti, ovvero sia il Lato Mac che il Lato Windows, vediamo come effettuare il tunnel e poi usare i servizi associati:




Colleghiamoci al Mac tramite Putty, utilizzando ovviamente la sessione precedentemente salvata con i parametri di tunnel
Effettuare il login:

login as: qui ci dovrete scrivere il nome del vostro account sul Mac
password: qui ci dovrete scrivere la password del vostro utente sul Mac

Se tutto e' ok, avrete il prompt dela vostra shell tunnellizzata via SHH del vostro Mac.

E' evidente che avete aperto una shell verso il vs. Mac, ma, a meno che non dovrete fare operazioni via shell, questa shell non vi servira'. Ossia, dovrete lasciarla aperta cosi come e' in modo che il tunnel funzioni.

Ora aprite il vostro browser internet, e digitate:

http://127.0.0.1:8080

A questo punto vedrete la pagina della login del vostro router, cosi come se il vostro router fosse nella stessa rete del vostro PC. In realta' la chiamata locale alla 8080 viene tunnellizzata dentro la shell ssh verso il Mac che la ridirige verso la 192.168.x.x del vostro router passando nella rete interna di casa vostra. Questo e' un esempio di tunnel.

Passiamo a come si controlla, finalmente, il Mac da remoto.
Lanciate il Client VLC sul Pc e indirizzate la chiamata come dalla figura successiva:




Il fatto che la porta sia la 5900 e' per default; come ricorderete avevamo inserito nella configurazione del Server VLC nel Mac che poteva accettare connessioni solo via SSH. Ed infatti se darete ok..... vi apparira', se tutto e' stato configurato a dovere... il desktop del vostro Mac, grafica di sfondo compresa, con una velocita' operativa accettabile, e comunque dipendente dalla banda libera di up che avrete lasciato per questa funzione, 5KB/s sono piu' che sufficienti.

Buon divertimento

[DDAAXX]

Quote:

ogin as: qui ci dovrete scrivere il nome della vostra macchina Mac

Ho appena provato... a me risulta che qui ci devo mettere il nome dello USER del mac, è corretto?

[Jaco]

Quote:

Originariamente inviato da DDAAXX

Ho appena provato... a me risulta che qui ci devo mettere il nome dello USER del mac, è corretto?

Confermo,
ci va la username (o nome breve di Account).

SkyDiver mi perdonerà se ho editato il suo post per correggere quella riga

[SkyDiver]

Mi ha fregato perche' nella mia macchina il nome breve dell'account e' lo stesso del nome della macchina.... cccccisua

Dario, dicci se ti ha funzionato

[DDAAXX]

Si si, funziona... un po lento ma funziona... tutto ok da ufficio dietro a 1000 blocchi

[SkyDiver]

La lentezza dipende probabilmente dalla tua banda di up disponibile. Anche se ho visto che anche a banda piena comunque per disegnare il desktop (soprattutto se e' complesso) ci mette quella manciata di secondi.

Tieni conto che ho fatto una marea di prove anche con altre soluzioni e questa e' quella che operativamente va meglio (sensibilmente meglio). Senza parlare che non ha problemi di "filtri" e di "sicurezza"

[Lio73]

ciao , anche io vorrei ottenere l'accesso tramite vnc a pc di casa dall'a mbiente di lavoro, ma purtroppo ho un proxy che lavora solo sulla porta 8080 ed un filtro software "WEBSENSE". A casa ho un mini Mac al quale non riesco a far cambiare la porta di ascolto dell' ssh dalla 22 alla 8080. Mi potete aiutare a configurarlo in modo ta fare il tunnel sull' 8080 invece che sulla porta 22? saluti

[Jaco]

Non è sufficiente modificare la riga con l'impostazione della porta in /etc/sshd_config (come avviene su tutte le macchine *X) e la cosa è legata al meccanismo di start dei servizi che si basa su launchd (da Mac OS X 10.4) e non più su xinetd.

Ci sono due soluzioni che puoi adottare: usare una porta diversa dalla standard (8080 invece che 22) oppure duplicare il servizio per avere così due sshd, uno standard (22) ed uno personalizzato (sulla 8080).

Entrambe le soluzioni prevedono la modifica di file di configurazioni (testo normale o xml in chiaro) di proprietà di root e pertanto devono essere editati col prefisso sudo che chiede la password di amministrazione per la scrittura del file.

L'editor da utilizzare è una questione di gusto...vi oppure emacs.

Soluzione 1: Modifica delle impostazioni di sshd attuale

• Posizionarsi in /System/Library/LaunchDaemons/
  (cd /System/Library/LaunchDaemons/)

• editare il file ssh.plist
  (sudo vi ssh.plist oppure sudo emacs ssh.plist)

• sostituire:
  SockServiceName
  ssh
  
  con:
  SockServiceName
  ssh2

• Posizionarsi in /etc
  (cd /etc)

• editare il file services
  (sudo vi services oppure sudo emacs services)

• sostituire:
  http-alt 8080/udp # HTTP Alternate (see port 80)
  http-alt 8080/tcp # HTTP Alternate (see port 80)
  
  con:
  ssh2 8080/udp # SSH Alternate (see port 22)
  ssh2 8080/tcp # SSH Alternate (see port 22)
  
  
• Abilitare il firewall per la nuova porta:
  Preferenze di Sistema/Condivisione/Firewall
  click su Nuovo..
  Nome Porta: Altra (in fondo al menu)
  Numero/i porta/e TCP: 8080
  Numero/i porta/e UDP: 8080
  Descrizione: SSH2

Soluzione 2: Duplicare sshd e configurare quello personalizzato

• Posizionarsi in /System/Library/LaunchDaemons/
  (cd /System/Library/LaunchDaemons/)

• Effettuare una copia di ssh.plist
  (sudo cp ssh.plist ssh2.plist)

• editare il file ssh2.plist
  (sudo vi ssh2.plist oppure sudo emacs ssh2.plist)

• sostituire:
  SockServiceName
  ssh
  
  con:
  SockServiceName
  ssh2

• sostituire:
  SockServiceName
  ssh
  
  con:
  Label
  com.openssh.sshd2

Effetture quindi gli stessi cambiamenti come per la soluzione 1. per /etc/services e per il firewall.
Reboot per far partire la nuova configurazione (o in alternativa con launchctl start com.openssh.sshd2).

[Lio73]

wawooooooooooooo intanto grazie ... adesso non posso provare ma domani proverò a mettere in atto quello che mi hai detto.. spero di riuscire perchè non è che sia un "profondo" conoscitore di questi ambienti..un po come si dice "spippolo" ma solo avanza tempo!!! thanks

[Lio73]

Bene ho fatto la copia di ssh.plist e ho optato per la seconda strada sono anche riuscito ad editarlo con emacs.. ma non riesco a posizionarmi in etc ? come devo fare?

[Lio73]

Dopo "accurate indagini" ho scoperto che sono file nascosti.. in un altro Thread ho scoperto come fare tramite finder a vedere il file nascosti.. solo che ora dovo averlo trovato sto benedetto file 'services' non me lo fa salvare ..Ho provato a metterlo in lettura scrittura per il mio utente ma niente... tra l'altro l'ho dovuto editare con textedit perchè la modifica dei file nascosti tramite finder non influenzava la finestra di ricerca di emecs...ce la posso fare.. ce la posso fare!!

[Jaco]

Quote:

Originariamente inviato da Lio73

Bene ho fatto la copia di ssh.plist e ho optato per la seconda strada sono anche riuscito ad editarlo con emacs.. ma non riesco a posizionarmi in etc ? come devo fare?

La maniera più semplice è di lanciare il Terminale e di fare:

cd /etc

scusa, ho riletto il mio post e pensavo di averlo scritto.

[Jaco]

Quote:

Originariamente inviato da Lio73

Dopo "accurate indagini" ho scoperto che sono file nascosti.. in un altro Thread ho scoperto come fare tramite finder a vedere il file nascosti.. solo che ora dovo averlo trovato sto benedetto file 'services' non me lo fa salvare ..Ho provato a metterlo in lettura scrittura per il mio utente ma niente... tra l'altro l'ho dovuto editare con textedit perchè la modifica dei file nascosti tramite finder non influenzava la finestra di ricerca di emecs...ce la posso fare.. ce la posso fare!!

/etc/services non te lo fa salvare perchè è un file che appartiene a root.

Senza addentrarmi nei dettagli sui permessi e sull'utente proprietario del file, il modo più veloce che c'è per editare services è di passare per il Terminale e di aprirlo con un editor facendo precedere il comando da sudo (che esegue quel comando con l'utenza privilegiata).

in dettaglio:

lanciare il Terminale

cd /etc

sudo emacs services

Ti chiede la password e la inserisci.

Adesso hai la finestra di emacs aperta nel Terminale.

Se è più semplice usa i tasti freccia per spostarti, altrimenti puoi usare la ricerca con , che ti fa comparire nella riga in basso

I-search:

e a questo punto scrivi le cose che vuoi cercare (per esempio 8080)

Quando sei sulla riga giusta cancelli con backspace (http-alt 8080) e scrivi al suo posto ssh2 8080

Per salvare:

Per uscire da emacs

A questo punto dovresti aver cambiato il file.