[Tech] dialin server

Gianni Bianchini giannibi@firenze.linux.it
Dom 30 Mar 2003 10:15:50 CEST 

On Fri, Mar 28, 2003 at 04:25:59PM +0100, fabio nigi wrote:

> e poi di inserire all' inserire all' interno di /etc/ppp/options.server
> require-pap
> refuse-chap
> 
> ma questo file non esiste..
> dove viene messo nella debian?ho ha un nome corrispettivo oppure me lo
> devo fare?

In quel file ci devono stare le opzioni di pppd. Per default pppd
legge /etc/ppp/options, altrimenti gli passi l'opzione file <filename>
per fargliene leggere uno diverso. Siccome in questo caso pppd ti
viene lanciato da mgetty, devi dire a mgetty di dire pppd di andarsi
a leggere il file di opzioni da usare per le connessioni dialin, che
presumibilmente sara' diverso da quello usato per il dialout. Dunque
metti in /etc/mgetty/login.config

/AutoPPP/ -     a_ppp   /usr/sbin/pppd file /etc/ppp/options.server

> cioé devo creare gli utenti a mano all' interno di ppp/pap-secrets?

Si', tieni presente che quegli utenti non sono utenti di sistema ma
solo utenti "virtuali" autorizzati per usare il ppp sulla macchina,
ovvero sono riconosciuti solo da pppd per effettuare l'autenticazione
(pap, non sul sistema).

> a cosa serve l' utente che ho creato prima?

Serve quando non usi AutoPPP. Crei questo utente, chiunque "telefoni"
riceve un prompt di login, si autentica come questo utente e poi
lancia pppd a mano. Con pap non serve. L'utente puo' essere un
qualunque utente di sistema che sia autorizzato ad eseguire pppd (tipicamente
si rende pppd setuid root ed eseguibile solo da un gruppo "dialin" a
cui appartengono gli utenti che possono usare ppp. In questo caso devi
disabilitare qualunque altro meccanismo di autenticazione all'interno
di pppd.

> non mi posso appoggiare agli utenti del mio sistema?

Con il pap, usando l'opzione login, che fa si' che le informazioni di
autenticazione vengano prese da quelle degli utenti di sistema.
Senno' facendo loro fare login da terminale come sopra.

> cosa succede dopo che si sono loggati?

Boom! :)

> come posso passargli una shell?

Con una regolare connessione ssh se dai loro accesso ip su ppp.
Altrimenti, come sopra, terminale da cui lanciare eventualmente pppd a
mano (che e' molto retro ma fa fico assai :) ).

> ma a questo punto vedono tutti i computer della mia rete interna?

Questo dipende da come imposti eventuali filtri di iptables e dal
fatto che i client instradino o meno verso il peer ppp i pacchetti
destinati ad indirizzi della tua rete (il che tipicamente succede
perche' al ppp viene assegnata la rotta di default). Possono
sorgere problemi se le macchine client hanno gia' delle rotte verso altre
reti, nel qual caso bisogna stare attenti con l'autenticazione,
e' spiegato sul man di pppd.

> come posso dire a quali servizi e cartelle possono accedere perché se
> non sono gestiti come utenti normali i permessi vanno a farsi fottere e
> usano quelli di pppd?

Staremmo freschi, pppd gira da root! :)
Il fatto e' che stabilire una connessione ppp non significa avere
nessun tipo di accesso alla macchina server, anche nel caso in cui le
info di autenticazione vengano prese da /etc/passwd, l'accesso si
limita a poterci instradare dei pacchetti, eventualmente diretti allo
stesso server, sul quale per accedere c'e' bisogno di autenticarsi con
un protocollo di applicazione (es. ssh) successivamente allo
stabilirsi della connessione ppp.
Quando invece dai un accesso terminale via modem allora l'utente e' a
tutti gli effetti "dentro" il server perche' fa login come da console.

Ciao.
Gianni.

Maggiori informazioni sulla lista flug-tech