abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 05:55 | Zajímavý projekt

Dle příspěvku na blogu zaměstnanců CZ.NIC byl spuštěn ostrý provoz služby Honeypot as a Service (HaaS). Zapojit se může kdokoli. Stačí se zaregistrovat a nainstalovat HaaS proxy, která začne příchozí komunikaci z portu 22 (běžně používaného pro SSH) přeposílat na server HaaS, kde honeypot Cowrie (GitHub) simuluje zařízení a zaznamenává provedené příkazy. Získat lze tak zajímavé informace o provedených útocích. K dispozici jsou globální statistiky.

Ladislav Hagara | Komentářů: 0
dnes 04:44 | Komunita

Před týdnem společnost Feral Interactive zabývající se vydáváním počítačových her pro operační systémy macOS a Linux oznámila, že pro macOS a Linux vydají hru Rise of the Tomb Raider. Včera společnost oznámila (YouTube), že pro macOS a Linux vydají také hru Total War Saga: Thrones of Britannia. Verze pro Windows by měla vyjít 19. dubna. Verze pro macOS a Linux krátce na to.

Ladislav Hagara | Komentářů: 0
včera 21:33 | Nová verze

Byla vydána nová major verze 7.10 svobodného systému pro řízení vztahů se zákazníky (CRM) s názvem SuiteCRM (Wikipedie). Jedná se o fork systému SugarCRM (Wikipedie). Zdrojové kódy SuiteCRM jsou k dispozici na GitHubu pod licencí AGPL.

Ladislav Hagara | Komentářů: 0
včera 16:44 | Nová verze

Byla vydána nová verze 0.30 display serveru Mir (Wikipedie) a nová verze 2.31 nástrojů snapd pro práci s balíčky ve formátu snap (Wikipedie). Z novinek Miru vývojáři zdůrazňují vylepšenou podporu Waylandu nebo možnost sestavení a spouštění Miru ve Fedoře. Nová verze snapd umí Mir spouštět jako snap.

Ladislav Hagara | Komentářů: 0
včera 14:00 | Komunita

Na Indiegogo běží kampaň na podporu Sway Hackathonu, tj. pracovního setkání klíčových vývojářů s i3 kompatibilního dlaždicového (tiling) správce oken pro Wayland Sway. Cílová částka 1 500 dolarů byla vybrána již za 9 hodin. Nový cíl 2 000 dolarů byl dosažen záhy. Vývojáři přemýšlejí nad dalšími cíli.

Ladislav Hagara | Komentářů: 1
včera 11:11 | Nasazení Linuxu

Před dvěma týdny se skupina fail0verflow (Blog, Twitter, GitHub) pochlubila, že se jim podařilo dostat Linux na herní konzoli Nintendo Switch. O víkendu bylo Twitteru zveřejněno další video. Povedlo se jim na Nintendo Switch rozchodit KDE Plasmu [reddit].

Ladislav Hagara | Komentářů: 3
včera 05:55 | Komunita

Byla vydána vývojová verze 3.2 softwaru Wine (Wikipedie), tj. softwaru, který vytváří aplikační rozhraní umožňující chod aplikací pro Microsoft Windows také pod GNU/Linuxem. Z novinek lze zdůraznit například podporu HID gamepadů. Aktuální stabilní verze Wine je 3.0, viz verzování. Nejistá je budoucnost testovací větve Wine Staging s řadou experimentálních vlastností. Současní vývojáři na ni již nemají čas. Alexandre Julliard, vedoucí projektu Wine, otevřel v diskusním listu wine-devel diskusi o její budoucnosti.

Ladislav Hagara | Komentářů: 2
18.2. 16:55 | Komunita

Do 22. března se lze přihlásit do dalšího kola programu Outreachy (Wikipedie), jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 14. května do 14. srpna 2018, v participujících organizacích lze vydělat 5 500 USD.

Ladislav Hagara | Komentářů: 54
17.2. 15:44 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice dnes slaví 6 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně ale byla založena až 17. února 2012. Poslední lednový den byl vydán LibreOffice 6.0. Dle zveřejněných statistik byl za dva týdny stažen již cca milionkrát.

Ladislav Hagara | Komentářů: 1
17.2. 04:44 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že byla vydána nová verze 1.2.3 svobodného routovacího démona Quagga (Wikipedie) přinášející několik bezpečnostních záplat. Při nejhorší variantě může dojít až k ovládnutí běžícího procesu, mezi dalšími možnostmi je únik informací z běžícího procesu nebo odepření služby DoS. Konkrétní zranitelnosti mají následující ID CVE-2018-5378, CVE-2018-5379, CVE-2018-5380 a CVE-2018-5381.

Ladislav Hagara | Komentářů: 0
Který webový vyhledávač používáte nejčastěji?
 (2%)
 (28%)
 (62%)
 (2%)
 (3%)
 (1%)
 (1%)
 (1%)
Celkem 389 hlasů
 Komentářů: 34, poslední 14.2. 18:44
    Rozcestník

    Hratky s PHP + SSH

    23.1.2011 07:33 | Přečteno: 96364× | linux

    PHP jiz nejaky cas umi pracovat s SSH. Rozhodl jsem se podelit se o jeden skriptik, ktery mi setri trochu prace a casu.

    Nejdrive je treba nainstalovat podporu SSH do PHP. Na mem stroji (debian squeeze) to lze snadno udelat jednim prikazem:
    root@anicka# aptitude install libssh2-php
    Probirat zde praci s SSH v PHP asi nema smysl. Napsal jsem jednoduchy skriptik, ktery lze imho pouzit jako dobry zaklad pro dalsi vyvoj:
    <?php
            $host = "localhost";
            $user = "uzivatel";
            $password = "bezpecneHeslo";
            $cmd = "df -h";
    
            /* Vytvoreni ssh spojeni */
            $ssh = ssh2_connect($host);
            if (!$ssh) {
                    die ("Chyba - Nelze se spojit s ssh serverem.\n");
            }
    
            /* Prihlaseni na server */
            $sshLogin = ssh2_auth_password($ssh, $user, $password);
            if (!$sshLogin) {
                    die ("Chyba - Nelze se prihlasit na server.\n");
            }
    
            /* Spusteni prikazu */
            $sshExec = ssh2_exec($ssh, $cmd);
            if (!$sshExec) {
                    die ("Chyba - Nepodarilo se korektne spustit prikaz.\n");
            }
    
            /* Precteni odpovedi od ssh serveru */
            stream_set_blocking($sshExec, true);
            while ($line = fgets($sshExec)) {
                    echo $line;
            }
    
            /* Zavreni proudu */
            fclose($sshExec);
    ?>
    
    Podobny skriptik jsem pouzil pro monitorovani jednoho zarizeni, ktere umoznuje prihlaseni pres SSH, ale neumoznuje prihlaseni klicem. Dluzno podotknout, ze pro prihlasovani na klasicke PC v siti je dle diskuse u jednoho z mych minulych zapisku o neinteraktivni praci s SSH lepsi pouzit prihlasovani klicem, coz by v PHP snad nemel byt problem. Ja na sve trusted siti dam prednost pouziti hesla.

    Doufam, ze tento zapisek nekomu pomuze. :-)        

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    23.1.2011 11:14 Laco
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Get a life!
    23.1.2011 11:21 maertien | skóre: 29 | blog: martinek
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    ? :)
    23.1.2011 13:01 ROFL
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Life is overrated. Get a job!
    23.1.2011 12:03 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    $password = "bezpecneHeslo";
    Au.
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    23.1.2011 12:15 maertien | skóre: 29 | blog: martinek
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    ;-)
    FrostyX avatar 23.1.2011 12:52 FrostyX | skóre: 27 | blog: Frostyho_blog | Olomouc / Jeseník
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Píšu to úplně stejně. Jak to lze udělat bezpečněji ?
    FrostyX.cz | 1984 was not supposed to be an instruction manual.
    23.1.2011 13:20 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Nepoužívat SSH?
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    23.1.2011 13:22 maertien | skóre: 29 | blog: martinek
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Prave proto je pouzito ssh, aby byla komunikace bezpecna. :-) Jinak, jak v zaveru pisu, je lepsi pouzit prihlasovani klicem.
    Josef Kufner avatar 23.1.2011 13:52 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Ono je ve skutečnosti úplně jedno jestli to je klíčem nebo heslem, protože ti tak jako tak stačí k úspěšnému přihlášení ukrást soubor. Akorát že dát heslo přímo do kódu povětšinou znamená jeho zveřejnění v repositáři (svn/git/...). Dej to do konfiguráku a správně nastav oprávnění (parse_ini_file() se na to hodí). Ale i tak to pořád znamená, že jakmile to nahraješ na server, tak admin na tom serveru a pravděpodobně i spousta dalších lidí dostala přístup na to zařízení, kam se to připojuje.
    Hello world ! Segmentation fault (core dumped)
    Josef Kufner avatar 23.1.2011 13:56 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Jinak k tomu ini doporučuju přidat příponu php a na začátek připsat toto:
    ; <?php exit(); ?>
    Aby se to nenechalo zobrazit při zadání správné adresy a to bez ohledu na konfiguraci serveru a další zákazy jinde. Volitelně můžeš před tenhle řádek přidat nějaké informace (verze) či posměšný vzkaz útočníkovi ;-)
    Hello world ! Segmentation fault (core dumped)
    23.1.2011 14:39 CET
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Tak rozdil mezi klicem a heslem je OBROVSKY.

    1) klic muzes zasifrovat heslem, pri startu aplikace pak jednou nahrajes klic a rozheslujes-predpoklada to, ze dokazes nejak bezpecne ulozit plain-text klic v pameti/disku

    2) v .ssh/authorized_keys muzes definovat, jaky program se ma pri spusteni timhle klicem provest, takze ikdyz nekdo ukradne klic, dokaze spustit jenom zadanou akci.

    Mozna by se nasly jeste dalsi vyhody klice.
    Josef Kufner avatar 23.1.2011 15:29 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Není v tom rozdíl vůbec žádný. Tak jako tak je to jen o přístupu k souboru, kde je klíč nebo heslo uloženo a na tom se vůbec nic nemění.

    Zašifrovat ho nemůžeš, protože ten program ho potřebuje používat a ne čekat až se uživatel uráí zadat heslo.

    Zabezpečení na serveru můžeš udělat i na úrovni uživatelského účtu, takže tam to z pohledu bezpečnosti vyjde taktéž nastejno, jen ta konfigurace bude vypadat trošku jinak, někdy hůř, někdy líp.

    Výsledek: Je to kyblík.
    Hello world ! Segmentation fault (core dumped)
    23.1.2011 15:47 maertien | skóre: 29 | blog: martinek
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Osobne davam prednost ulozeni hesla ve zdrojaku + nastaveni prav na ten soubor. Prozrazeni hesla pri nahrani do svn mi nehrozi.
    Josef Kufner avatar 23.1.2011 16:29 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Jen počkej až se ti to povede ;-)
    Hello world ! Segmentation fault (core dumped)
    23.1.2011 16:35 maertien | skóre: 29 | blog: martinek
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Tohle se mi jeste nepovedlo. Ale jednou se mi postestilo vystavit dump databaze, coz take nebylo zrovna bezpecne. :-)
    24.1.2011 14:08 CET
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Jak jsem psal, kdyz umoznis pristup klicem, muzes v authorized_keys definovat, co ten klic ma spustit. Tohle proste s heslem neudelas. Muzes leda pro uzivatele nastavit nejakej jinej shell, pak musis pro kazdou cinnost udelat specialni ucet (a oteviras tak dvere pres jiny sluzby), nebo musis nechat shell a doufam, ze ten prihlasenej uzivatel spusti jenom to, co ty chces.

    Naopak, muzes si vytvorit X klicu, kazdemu dovolis jenom specifickou cinnost (to navic muzes jeste nakombinovat pres sudo, abys nemusel klic ukladat rootovi). Kdyz nekdo ukradne klic, bude moct udelat pouze tu jedinou cinnost, nic jineho. Kdyz ti nekdo ukradne heslo, bude si delat, co bude chtit.

    Kdyz zjistis ukradeny klic, proste ho vymazec a nahradis u te jedne sluzby. Kdyz sjistis ukrada heslo, musis zmenit heslo, pripadne preinstalovat cely system (pokud ti ho hacker uz poupravil) a u vsech sluzeb zmenit to heslo v konfiguraku.

    A jak jsem psal. Heslo napises do zdrojaku, kazdy ho muze precist. Pokud SSH klic zasifrujes a apache spustis v ssh-agentovi, tak pak nactes ssh klic do agenta jednou a apache si ho bere z agenta (nezkousel jsem, ale pouzivam to normalne v Xkach, tak by to mohlo jit i v apachovi). Samozrejme pri rebootu je nutne zadat heslo, stejne jako heslo zadavas pri startu u SSL certifikatu pro apache nebo u openvpn. Zalezi ale na tom, jak moc bezpecne to chces mit. Moje razeni by bylo (1)SSLcert/SSHkey+password, (2) SSLcert/SSHkey-plain, (3) SSH heslo ve zdrojaku.

    Opravdu to vyjde na stejno?

    P.S.: Jo, taky obcas pouzivam heslo ve zdrojaku (resp. v CFG includu) v shellu nebo perlu (pro mysql nebo LDAP), ale ten uzivatel ma samozrejme omezeny prava. Jenze u mysql a LDAP se jinak neprihlasim, resp. at se prihlasim treba i certifikatem, nemuzu omezit mysql nebo ldap pripojeni jen na urcity prikaz - to nastesti u ssh jde.
    Josef Kufner avatar 24.1.2011 18:40 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Samozrejme pri rebootu je nutne zadat heslo
    Což je nepřípustné, pokud ten server má být spolehlivý a schopný se sám zotavit z poruch (např. když vypadne proud).

    Jinak z toho ssh agenta lze klíč vytáhnout stejně jako ze souboru. Je to jen o málo složitější (nestačí cat). Najdeš socket, připojíš se, požádáš, dostaneš. Výhodou agenta je, že klíč není rozšifrovaný na disku, ale jen v paměti. Zbytek je o unixových oprávněních souborů, resp. unix socketu.

    Takže to opravdu nastejno vyjde. Z poledu bezpečnosti. Ten zbytek je o pohodlí a konfiguračních možnostech, kde jednou se může hodit to a jindy ono.
    Hello world ! Segmentation fault (core dumped)
    23.1.2011 13:53 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Prave proto je pouzito ssh, aby byla komunikace bezpecna.
    Myslím třeba na zjišťování místa na disku by stačilo SNMP.
    Jinak, jak v zaveru pisu, je lepsi pouzit prihlasovani klicem.
    No, ono je jedno, jestli má webserver přístup k heslu nebo k soukromému klíči. Obojí může být docela problém.
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    Josef Kufner avatar 23.1.2011 13:59 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    SNMP nebo správně nastavené ssh na serveru vyjde nastejno. Tady spíš už jde o to, co je jednodužší na instalaci a nastavení. Pokud bych tam neměl nainstalované SNMP, tak bych vyrobil uživatele na ssh a jako loginshell mu nastavil script na zjištění informací. Pokud by nebylo SSH, tak bych vzal inetd a do scriptu přidal pár HTTP hlaviček.
    Hello world ! Segmentation fault (core dumped)
    23.1.2011 18:07 maertien | skóre: 29 | blog: martinek
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Obcas potrebuji monitorovat zarizeni, ktere snmp prakticky nema. Takze se potom ssh docela hodi. :)
    FrostyX avatar 23.1.2011 13:49 FrostyX | skóre: 27 | blog: Frostyho_blog | Olomouc / Jeseník
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Mno já to nepoužívám na ssh. Takto mám uložené třeba heslo v php skriptu, který se připojuje k MySQL
    FrostyX.cz | 1984 was not supposed to be an instruction manual.
    Petr Tomášek avatar 23.1.2011 16:21 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Třeba takto? Pochopitelně proti adminovi (a hekrovi s rútem) to neochrání...
    23.1.2011 16:27 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Na co rúta? Stačí uživatel který má do toho adresáře s webem právo zápisu :) Nebo nějaká remote code execution chybka.
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    Petr Tomášek avatar 24.1.2011 09:35 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Slušně nastavený systém má práva tak, aby PHP nemohlo číst konfigurák apache...
    24.1.2011 12:16 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Však to taky není potřeba číst.
    <?php
    echo $_SERVER['tajneheslo'];
    ?>
    
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    Jendа avatar 23.1.2011 17:21 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Jak se to liší od
    exec('ssh člověk@stroj příkaz');
    ?

    Jinak - řeší nějak ta knihovna ověřování protistrany? Obávám se, že ne…
    23.1.2011 18:05 maertien | skóre: 29 | blog: martinek
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Jestli se overuje identita, to netusim, nepidil jsem se po tom. Jinak samozrejme tebou navrhovane reseni by taky asi fungovalo, ale stejne tak se te mohu zeptat, proc ma php podporu pro mysql? Proc nepoustet mysql klienta execem? :-)
    25.1.2011 06:30 zulu
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    A když to nebude exec z PHP, ale příkaz "přímo" ? Prostě je to zbytečnost (napadají mě i trefnější slova)
    MaFy avatar 24.1.2011 06:55 MaFy | skóre: 24 | blog: kecy | Praha
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    BTW: Mas vsechny stroje pojmenovane dle holek? To jsou bejvalky, nebo smyslena jmena? ;-)
    Lidé se dělí do 10 skupin. Na ty, co rozumí binárnímu kódu a na ty ostatní...
    Petr Tomášek avatar 24.1.2011 09:36 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Třeba jsou to smyšlená jména bejvalek :-D
    24.1.2011 12:06 maertien | skóre: 29 | blog: martinek
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    ;-)
    25.1.2011 06:31 zulu
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Jména smyšlených bejvalek.
    24.1.2011 12:06 maertien | skóre: 29 | blog: martinek
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Tohle je pojmenovane podle jedne velmi dobre dlouholete kamaradky. Ostatni stroje pojmenovavam podle reckych bohu, sopek nebo co mne zrovna napadne. Podle holek je to trochu neprakticke, kdo by menil hostname tak casto jako holku? ;-)
    Josef Kufner avatar 24.1.2011 12:42 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    A proč myslíš, že má Google tolik strojů?
    Hello world ! Segmentation fault (core dumped)
    24.1.2011 16:19 maertien | skóre: 29 | blog: martinek
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Asi mel Sergej Brin hodne holek najednou. ;-)
    MaFy avatar 24.1.2011 22:48 MaFy | skóre: 24 | blog: kecy | Praha
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    No to potez... Me jednou prisel request z client168.google.com :-D
    Lidé se dělí do 10 skupin. Na ty, co rozumí binárnímu kódu a na ty ostatní...
    limit_false avatar 28.1.2011 14:23 limit_false | skóre: 23 | blog: limit_false
    Rozbalit Rozbalit vše Re: Hratky s PHP + SSH
    Nevim presne jak to chcete pouzivat, ale proc treba nepouzit ssh-agent s ssh-add (s klicem a heslem, treba na omezenou dobu)?
    When people want prime order group, give them prime order group.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.