abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 19:44 | Nová verze

Po čtyřech měsících vývoje od vydání verze 4.10 byla vydána nová verze 4.11 svobodné náhrady proprietárních BIOSů a UEFI coreboot (Wikipedie). Na vývoji se podílelo 130 vývojářů. Provedli 1630 změn. Přidána byla podpora pro 25 mainboardů.

Ladislav Hagara | Komentářů: 0
dnes 16:22 | Nová verze

Byla vydána verze 1.6.0 emulátoru terminálu Terminology (GitHub) postaveného nad EFL (Enlightenment Foundation Libraries). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
dnes 14:22 | Komunita

Vydání verze 1.0 svobodného multiplatformního vektorového grafického editoru Inkscape se blíží. Registrovaní uživatelé mají možnost hlasovat o obrázku, který bude zobrazován v okně O Inkscapu. Vybírá se ze 124 návrhů.

Ladislav Hagara | Komentářů: 3
dnes 10:55 | Nová verze

Byl aktualizován seznam 500 nejvýkonnějších superpočítačů na světě TOP500. V první desítce se nic nezměnilo. Nejvýkonnějším superpočítačem zůstává superpočítač Summit. Nejvíce superpočítačů v TOP500 má Čína (228). Český superpočítač Salomon klesl na 375. místo. Další přehledy a statistiky na stránkách projektu. V aktuálním žebříčku GREEN500 (GFlops/watts) superpočítač Summit klesl na 5. místo.

Ladislav Hagara | Komentářů: 3
dnes 02:00 | Zajímavý článek

V novém příspěvku na blogu Purismu se můžete dočíst, jak pokračoval vývoj softwaru Librem 5 v říjnu. Vývojáři optimalizovali linuxové jádro a ovladače pro snížení spotřeby telefonu. Mezi další změny patří lepší integrace mezi aplikacemi pomocí knihovny libfolks, byly přidány nové funkce klávesnice, nastavení, shellu, kompozitoru a opraveno plno chyb.

okias | Komentářů: 3
dnes 01:55 | Nová verze

Na Humble Bundle byla spuštěna akce Humble Book Bundle: Cybersecurity 2019 by Packt. Všech 22 videokurzů a elektronických knih věnovaných kybernetické bezpečnosti od nakladatelství Packt lze koupit za 15 dolarů. Peníze lze libovolně rozdělit mezi nakladatelství Packt, neziskovou organizaci Arthritis Foundation a Humble Bundle.

Ladislav Hagara | Komentářů: 0
včera 23:22 | Zajímavý článek

Ben Cox v článku Jak psát ovladače nepodporovaných USB zařízení pro uživatelský prostor ukazuje, jak reverzním inženýrstvím dospěl k vlastnímu ovladači userspace-vga2usb pro převodník a frame grabber Epiphan VGA2USB LR s již nepodporovaným linuxovým ovladačem od výrobce.

Fluttershy, yay! | Komentářů: 0
včera 22:44 | Zajímavý software

Multiplatformní nástroj Sourcetrail pro analýzu zdrojových kódů a jejich vizualizaci byl uvolněn jako open source. Představení nástroje na YouTube. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GNU GPL 3.0. Další vývoj lze podpořit na Patreonu.

Ladislav Hagara | Komentářů: 0
včera 15:55 | Zajímavý článek

Nadace Raspberry Pi vydala knihu (YouTube) s názvem Retro Gaming with Raspberry Pi. Elektronická kniha je ke stažení zdarma (pdf). Tištěnou verzi lze koupit za 10 liber.

Ladislav Hagara | Komentářů: 0
17.11. 14:00 | Zajímavý projekt

Vítězným projektem letošního ročníku soutěže určené vývojářům open source hardwaru Hackaday Prize se stal modulární senzorový systém FieldKit.

Ladislav Hagara | Komentářů: 4
Jaké hodinky nosíte (nejčastěji)?
 (24%)
 (5%)
 (16%)
 (55%)
Celkem 257 hlasů
 Komentářů: 24, poslední dnes 20:25
Rozcestník

Reverzní SSH tunel

12.6.2015 19:34 | Přečteno: 1810× | Debian | Výběrový blog | poslední úprava: 13.6.2015 10:47

Návod jak vytvořit reverzní SSH tunel, s tím, že se uživateli, který tento tunel vytváří, zakáže vše ostatní. Může se hodit např. při administraci notebooků kamarádů, kteří chtějí vyřešit nějaký problém, ale nemají zrovna veřejnou IP.

Vytvoříme nového uživatele sshforward, kterému nedovolíme logování pomocí hesla a login shell nastavíme na nologin. Poté nastavíme jako vlastníka, jeho domovského adresáře, uživatele root.

server# adduser --shell /usr/sbin/nologin --disabled-password sshforward
server# chown root.root /home/sshforward

Promažeme domovský adresář.

server# cd /home/sshforward
server# find -mindepth 1 -delete

Vytvoříme adresář pro uložení veřejných klíčů a nakopírujeme do něj veřejný klíč pro uživatele sshforward. Do cílového souboru můžeme přidat větší množství veřejných klíčů, pokud chceme, aby reverzní tunel mohlo vytvářet více různých uživatelů.

server# mkdir /etc/ssh/authorized_keys
server# cp id_ed25519.pub /etc/ssh/authorized_keys/sshforward

Povolíme pouze přihlašování pomocí klíčů. Dále omezíme možnosti uživatele sshforward, který bude moci pouze vytvořit reverzní tunel na libovolném portu (když nepočítám ty privilegované <=1023), přesměrovat se na localhost:22 serveru (toto pravidlo omezuje i dynamické přesměrování portů). A zavřeme ho do chrootu.

server# vim /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no

Match Group sshforward
   AuthorizedKeysFile /etc/ssh/authorized_keys/%u
   ChrootDirectory %h
   ForceCommand /usr/sbin/nologin
   AllowTcpForwarding yes
   AllowAgentForwarding no
   PermitTunnel no
   PermitTTY no
   GatewayPorts no
   X11Forwarding no
   PermitOpen localhost:22

Restartujeme SSH server.

server# service ssh restart

Vytvoříme reverzní tunel na portu 5022.

notebook$ autossh -M 0 -o "ServerAliveInterval 10" -o "ServerAliveCountMax 3" -N -R 5022:localhost:22 sshforward@server

Zkusíme se připojit ze serveru na notebook.

server$ ssh -p 5022 username@localhost

Na serveru můžeme zahazovat všechny odchozí pakety uživatele sshforward, na reverzní tunel to nemá vliv a zařídíme tím ještě větší omezení možností uživatele sshforward.

server# iptables -I OUTPUT -m owner --uid-owner sshforward -j DROP

Otestujeme zda-li fungují naše omezení.

notebook$ ssh sshforward@server
PTY allocation request failed on channel 0
Could not chdir to home directory /home/sshforward: No such file or directory
/usr/sbin/nologin: No such file or directory
Connection to server closed.
notebook$ sftp sshforward@server
Couldn't read packet: Connection reset by peer
notebook$ ssh sshforward@server date
Could not chdir to home directory /home/sshforward: No such file or directory
/usr/sbin/nologin: No such file or directory
notebook$ ssh -N -D 8080 sshforward@server
channel 1: open failed: administratively prohibited: open failed
notebook$ curl -I --socks5 localhost:8080 http://mojeip.cz
curl: (7) Failed to receive SOCKS5 connect request ack.
notebook$ ssh -N -L 8080:mojeip.cz:80 sshforward@server
channel 1: open failed: administratively prohibited: open failed
notebook$ curl -I localhost:8080
curl: (52) Empty reply from server
notebook$ ssh -N -L 2222:localhost:22 sshforward@server
channel 1: open failed: administratively prohibited: open failed
notebook$ ssh -p 2222 localhost
ssh_exchange_identification: Connection closed by remote host

Budu rád za případné podnětné připomínky v diskuzi na toto téma.

Zdroje:

       

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

13.6.2015 09:17 pavele
Rozbalit Rozbalit vše Re: Reverzní SSH tunel
A nestačilo by na straně serveru neupravovat ssh-server a přidat do uživatele sshforward klíč:

no-agent-forwarding,no-X11-forwarding,no-user-rc,no-pty,command="read a; exit" ssh-rsa AAAB3N.....
Fuky avatar 13.6.2015 10:58 Fuky | skóre: 52 | blog: 4u
Rozbalit Rozbalit vše Re: Reverzní SSH tunel

Cíl byl, omezit uživatele sshforward, pokud možno co nejvíce, včetně uzavření do chrootu.

Jendа avatar 13.6.2015 13:30 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Reverzní SSH tunel
command="read a; exit"
SHELLSHOCK (takhle mi vyownovali server chvilku po publikaci, ještě než byl v repozitáři opravený bash)
Bojíte se 5G sítí? Pořiďte si domů radar, který veškeré 5G sítě spolehlivě zaruší!
17.4. 13:00 conor mcgregor
Rozbalit Rozbalit vše Re: Reverzní SSH tunel
i am already play this game,such a great and amazing simple puzzle game,now don't waste time,just click here Mahjong connect online no installing and charges required here,easily played on this visit.
29.8. 14:48 bnfgnghm
Rozbalit Rozbalit vše Re: Reverzní SSH tunel
Je voudrais lire à ce sujet plus. Prompt, ce que la littérature pour étudier? delaware ez pass

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.