abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 13:11 | Komunita

Mozilla.cz informuje o 2 plánovaných novinkách ve Firefoxu. Nové webové funkce budou ve Firefoxu dostupné jen přes HTTPS (en) a nové verze Firefoxu přinesou rychlejší přepínání panelů (předehřívání nebo žhavení panelů, anglicky tab warming).

Ladislav Hagara | Komentářů: 4
včera 12:44 | IT novinky

Hodnota Bitcoinu, decentralizované kryptoměny, klesla na cca 12 000 dolarů. Před měsícem byla hodnota Bitcoinu téměř 20 000 dolarů [reddit].

Ladislav Hagara | Komentářů: 9
včera 05:55 | Bezpečnostní upozornění

Bezpečnostní tým Cisco Talos upozorňuje na celou řadu bezpečnostních chyb v Blenderu. Vývojáři Blenderu byli o chybách informování již v září. Dosud tyto chyby ale opraveny nebyly. Doporučeno je neotevírat v Blenderu soubory z nedůvěryhodných zdrojů.

Ladislav Hagara | Komentářů: 2
15.1. 17:22 | Bezpečnostní upozornění

Společnost F-Secure upozorňuje na bezpečnostní "problém" v Intel AMT (Active Management Technology). Útočník s fyzickým přístupem k počítači s povoleným AMT a nenastaveným heslem k MEBx (Management Engine BIOS Extension) může obejít heslo nastavené v BIOSu, pin v TPM, přihlašovací jméno a heslo do operačního systému nebo i šifrování disků restartováním tohoto počítače a při jeho startu zavedením MEBx (CTRL-P) a zadáním výchozího hesla "admin". Pak už útočníkovi stačí pouze změnit heslo a povolit vzdálený přístup k počítači na úrovni AMT.

Ladislav Hagara | Komentářů: 10
15.1. 15:11 | Zajímavý projekt

Na Indiegogo byla dnes spuštěna kampaň na podporu 6 palcového notebooku a kapesní herní konzole GPD WIN 2. Cena v rámci kampaně byla stanovena na 649 dolarů. Cílová částka 100 tisíc dolarů byla překonána již 8 krát. Ukázka s Linuxem na YouTube.

Ladislav Hagara | Komentářů: 4
15.1. 05:55 | Bezpečnostní upozornění

V GitLabu, v open source alternativě GitHubu, tj. v softwarovém nástroji s webovým rozhraním umožňujícím spolupráci na zdrojových kódech, byl nalezen vážný bezpečnostní problém. Bezpečnostní aktualizace bude vydána ve středu 17. ledna v 00:59.

Ladislav Hagara | Komentářů: 3
15.1. 04:44 | Komunita

Firefox končí s podporou GTK+ 2. Od verze 59 bude možné Firefox sestavit pouze s GTK+ 3 [reddit].

Ladislav Hagara | Komentářů: 30
15.1. 01:22 | Pozvánky

První letošní pražský sraz spolku OpenAlt se koná již tento čtvrtek 18. ledna od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Vítáni jsou všichni příznivci svobodného softwaru a hardwaru, ESP32, DIY, CNC, SDR nebo dobrého piva. Prvních deset účastníků srazu obdrží samolepku There Is No Cloud… just other people's computers. od Free Software Foundation.

xkucf03 | Komentářů: 0
15.1. 00:11 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 148. brněnský sraz, který proběhne v pátek 19. ledna od 18:00 hodin v MIKI pub & restaurant na Makovského náměstí 3166/2. Sraz je spojen s návštěvou (již v 16:30) Ústavu fyzikálního inženýrství Fakulty strojního inženýrství Vysokého učení technického v Brně.

Ladislav Hagara | Komentářů: 0
13.1. 23:22 | Nová verze

Po čtyřech měsících vývoje od vydání verze 5.7.0 byla vydána verze 5.8.0 správce digitálních fotografií digiKam (digiKam Software Collection). V Bugzille bylo uzavřeno 231 záznamů. Ke stažení je také balíček ve formátu AppImage (Wikipedie).

Ladislav Hagara | Komentářů: 0
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (7%)
 (1%)
 (1%)
 (1%)
 (77%)
 (13%)
Celkem 1306 hlasů
 Komentářů: 48, poslední 22.12. 22:05
    Rozcestník

    FUSE: SSHFS a EncFS

    12. 9. 2012 | Luboš Doležel | Systém | 4703×

    V tomto seriálu se podíváme na různé souborové systémy, které jsou k dispozici pod Linuxem díky FUSE (Filesystem in Userspace). V prvním díle najdete popis FUSE a ukázku SSHFS a EncFS.

    Obsah

    Co je to FUSE

    link

    Nejprve si vysvětlíme, co to FUSE vlastně je. Implementace souborových systémů (jako ext4 nebo NFS) se obvykle nacházejí v jádře. Právě tam je možné zajistit co nejvyšší dostupnost a výkon, který je pro takto kritickou komponentu nutný. Vývoj modulu souborového systému tedy znamená vývoj pro jádro, což je ale v různých ohledech náročnější než vývoj běžných programů. Pro uživatele pak instalace externího modulu souborového systému může často znamenat nutnost kompilace – což vzhledem k častým změnám v jaderném API nemusí vždy skončit úspěchem – dále nutnost práv uživatele root k zavedení jaderného modulu a připojení a nesmíme zapomenout na riziko pádu jádra, pokud se v modulu vyskytnou chyby.

    FUSE je v tomto ohledu revoluční. Tedy ne úplně. To, že uživatelé mohou vyvíjet vlastní souborové systémy a ty pak na systému provozovat bez ohrožení stability jádra, je dosti stará myšlenka vlastní zejména mikrokernelům. Navíc je tu ještě předchůdce zvaný LUFS (linux Userland Filesystem). FUSE tuto funkci ale dostává ke skutečným uživatelům řím, že se dobře uchytilo.

    Oproti vývoji pro jádro OS má FUSE další výhodu navíc: jeho API bylo portováno na další operační systémy (FreeBSD, NetBSD, OS X, OpenSolaris a další) a jedním kódem tak je možné pokrýt potřeby široké základny uživatelů. Poslední vlastností je pak možnost používat FUSE v uzavřených aplikacích, a to díky licenci GNU LGPL – otevírá se tak možnost dodávat proprietární „ovladač“ souborového systému.

    Systém fungování dobře znázorňuje následující obrázek ze stránek projektu.

    FUSE

    Připojený souborový systém je pak vidět nejen v /proc/mounts nebo /etc/mtab, ale i jako proces běžící pod uživatelem, který souborový systém připojil. Jedno omezení pro uživatele tu ale stále je: uživatel musí mít přístup k /dev/fuse, což je typicky řešeno přidáním do skupiny fuse.

    Místo příkazu mount pak obyčejný uživatel zpravidla spouští přímo program, který souborový systém implementuje, nebo utilitu fusermount. V tomto dílu seriálu se podíváme na pár základních (a dost možná i nejčastěji používaných) souborových systémů přes FUSE.

    SSHFS

    link

    SFTP, dá se říci, představuje nejsnazší cestu, jak přistupovat k souborovému systému na jiném unixovém stroji kdesi v Internetu. Nevyžaduje zpravidla žádnou složitou konfiguraci, postačují stejné přihlašovací údaje jako bychom u počítače byli fyzicky a protokol je podporován „všude možně“.

    Jeden nedostatek to ale má. Pokud bychom chtěli soubory ze vzdáleného systému otevírat, musíme buď soubor nejprve okopírovat na náš systém, nebo se spolehnout na podporu ze strany dotyčné aplikace. V KDE je toto usnadněno pomocí tzv. KIO – snadno tedy v Okularu otevřeme cestu „sftp://server/soubor.pdf“, horší to ale bude kupříkladu s GIMPem. Pokročilejším uživatelům zase může scházet možnost pracovat se soubory z konzole, jako by byly lokální.

    Pro řešení tohoto problému je FUSE ideální. Díky rozšířenosti SSH snad ani nepřekvapí, že SSHFS najdeme přímo na domovské stránce FUSE.

    Základní připojení souborového systému je prosté:

    sshfs lubos@server:/adresar ~/muj-server
    

    Nyní bude v adresáři muj-server v mém domovském adresáři vidět obsah cesty /adresar na serveru server, kam se přihlašuji jako lubos. Určení vzdáleného uživatele a cesty je volitelné. Tím možnosti SSHFS ani zdaleka nekončí – sshfs -h napoví, že program už za sebou má nějakou cestu a počítá s všemožnými nepříjemnostmi.

    Nejprve se podíváme na obecnou věc, dostupnou ve všech souborových systémech přes FUSE. Jde o volby allow_other a allow_root, které umožňují přístup k připojenému souborovému systému i jiným uživatelům. Ne, změna práv k adresáři, kam jsme souborový systém připojili, nestačí. Toto je určitá vrstva zabezpečení navíc, i když root může nakonec obejít všechno. Připojovací volby předáváme pomocí -o:

    sshfs lubos@server:/adresar ~/muj-server -o allow_other
    

    K základním volbám SSHFS patří reconnect (automatické opětovné navázání spojení) a intr (možnost přerušit probíhající požadavek). Za pozornost stojí i možnost přemapovat UID/GID (čísla uživatelů a skupin) na něco, co bude v kontextu lokálního systému dávat větší smysl. Přímo sshfs na to má volbu idmap, která může mít hodnotu none (výchozí stav, tedy žádné mapování – můžete vidět nesprávná jména uživatelů nebo jen čísla), user (soubory patřící uživateli, pod kterým jsme se přihlásili, budou vypadat jako vlastněné lokálním uživatelem) nebo file (pomocí uidfile a gidfile lze určit mapování detailně). Příklad:

    sshfs lubos@server:/adresar ~/muj-server -o idmap=user
    

    FUSE opět nabízí obecné volby (dostupné u všech souborových systémů přes FUSE) uid a gid, se kterými jde vlastníka přemapovat natvrdo. Pro ladění výkonu lze použít různé triky jako cachování v jádře (kernel_cache) nebo povolení velkých bloků při čtení (large_read), opět jde o volby použitelné i pro další souborové systémy.

    Na závěr zmiňme ještě volby from_code a to_code. Dnes je sice obvyklé mít všude kódování UTF-8, kdybychom se ale připojovali k systému, kde jsou soubory kódovány v latin2, tak použijeme:

    sshfs lubos@server:/adresar ~/muj-server -o from_code=latin2
    

    EncFS

    link

    EncFS je taková „entry level“ možnost, jak transparentně šifrovat soubory na počítači. Jádro jako takové nabízí řadu vhodnějších řešení, EncFS nám ale může dát pocit bezpečí i na systémech, kde nejsme rootem. Root se sice bude moci dostat do už připojeného („dešifrovaného“) adresáře, v případě vyhazovu v práci se ale nemusíme strachovat, že by se někdo dodatečně „hrabal“ v našich souborech. (Jak morální je používat techniku zaměstnavatele k ukrývání dat nechme stranou.)

    Nejprve je nutné zdůraznit, že EncFS šifruje pouze data v souborech a k tomu pak šifruje názvy souborů. Jiným tak mohou být na odiv některé ostatní údaje jako čas změny nebo velikost souboru. Adresářová struktura tedy zůstává zachována. Ukázka:

    $ ls -1 .crypt/WckvGh1c5jwM61u-DTDPWw0Q/
    2Q74CtjAF-WXcfNJC7GtkhBn67n5iBH6FimF3k0rUasN1CBhEQz4MSD7odSbFQ3xW8B
    4GAC1pvJVJGqAK4p9Bjhq4GG
    6UHBALQHZBxTK6JAwIb8mm,q
    7TMYTIyLmtu5DwcY,cpDKk4U
    apV83SKJc6EbusAooZUsPwOd
    h3rhvGUfKVr4-GnYAGt-,,Uu
    P5L749LaiTDoIc8iDck3EEXj
    q7ZRSGl1lN8mVqUnKeVSTE3a
    shHzP0A1C-85uCjuCXvR7FzF
    vi9kgALn4q2F3wLLiAIfGJgC
    

    EncFS se používá tak, že máme dva adresáře: první, kde jsou fyzicky uložena zašifrovaná data, a druhý, kde nám EncFS zobrazuje jejich dešifrovanou podobu.

    cd
    
    mkdir sifrovane
    mkdir desifrovane
    
    encfs sifrovane desifrovane
    

    Při prvním připojení si zvolíme způsob šifrování (buď ručně, nebo se spokojíme s bezpečným výchozím nastavením) a zadáme heslo. Při příštím připojení už budeme dotázáni jen na heslo.

    Creating new encrypted volume.
    Please choose from one of the following options:
     enter "x" for expert configuration mode,
     enter "p" for pre-configured paranoia mode,
     anything else, or an empty line will select standard mode.
    ?>
    .
    .
    .
    .
    New Encfs Password:
    

    S EncFS je přibalen nástroj encfsctl. Ten se dá použít ke změně hesla:

    encfsctl passwd sifrovane
    

    Mimo to nám poskytne přehled o atributech aktuálního šifrování:

    $ encfsctl info sifrovane
    Version 6 configuration; created by EncFS 1.7.4 (revision 20100713)
    Filesystem cipher: "ssl/aes", version 3:0:0 (using 3:0:2)
    Filename encoding: "nameio/block", version 3:0:0 (using 3:0:1)
    Key Size: 256 bits
    Using PBKDF2, with 1165023 iterations
    Salt Size: 160 bits
    Block Size: 1024 bytes, including 8 byte MAC header
    Each file contains 8 byte header with unique IV data.
    Filenames encoded using IV chaining mode.
    File data IV is chained to filename IV.
    File holes passed through to ciphertext.
    

    Zbylé volby encfsctl už nejsou tak zajímavé, odkáži vás tedy na man encfsctl.

    Závěr

    link

    Na závěr několik obecně užitečných věcí. Odpojování souborového systému:

    fusermount -u adresar
    

    Připojování při startu systému (pro uživatele root) – podoba záznamu v /etc/fstab v případě SSHFS:

    sshfs#lubos@server:/adresar /nekam/muj-server fuse user,noauto 0 0
    

    Případně, vytvoříme-li si symbolický odkaz z /usr/bin/sshfs na /usr/sbin/mount.sshfs:

    lubos@server:/adresar /nekam/muj-server sshfs user,noauto 0 0
    
           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    12.9.2012 08:46 tom
    Rozbalit Rozbalit vše Proprietarni FS
    Proprietarni FS se daly psat uz pred FUSE, prislusne API je exportovane pres EXPORT_SYMBOL a ne pres EXPORT_SYMBOL_GPL. Prikladem je treba komerecni Veritas FS.
    12.9.2012 09:31 Xóža Hňabaj | skóre: 15 | blog: popcorp | Brno
    Rozbalit Rozbalit vše Re: FUSE: SSHFS a EncFS
    Jak se sshfs chová v případě ztráty spojení? Nebude blokovat případné operace nad adresářem, mount, df a spol.?
    Jednaokový biu
    rADOn avatar 12.9.2012 11:15 rADOn | skóre: 44 | blog: bloK | Praha
    Rozbalit Rozbalit vše Re: FUSE: SSHFS a EncFS
    Bude a taky to dělá.
    "2^24 comments ought to be enough for anyone" -- CmdrTaco
    Luboš Doležel (Doli) avatar 12.9.2012 11:30 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: FUSE: SSHFS a EncFS
    Nastavil bych krátký timeout v SSH a pak už jen -o reconnect.
    12.9.2012 11:44 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
    Rozbalit Rozbalit vše Re: FUSE: SSHFS a EncFS
    Pripadne to jde jenom pro danou session -> -o reconnect,ConnectTimeout=2 (napriklad)
    --- vpsFree.cz --- Virtuální servery svobodně
    12.9.2012 11:26 kolcon | skóre: 15 | blog: kolcon
    Rozbalit Rozbalit vše Re: FUSE: SSHFS a EncFS
    jo, to je docela otravne... videl jsem kdesi reseni pres autofs
    Tomáš Bžatek avatar 12.9.2012 14:58 Tomáš Bžatek | skóre: 29 | Brno
    Rozbalit Rozbalit vše GIMP
    Tak zrovna GIMP nebyl vhodny priklad, neb je to GTK aplikace, pracujici nad GLib a do nej je externe integrovan GVfs. Takze zrovna otevrit sftp://xxx/ neni v gimpu zadny problem :-)
    Koupim litajiciho tucnaka
    Luboš Doležel (Doli) avatar 12.9.2012 21:02 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: GIMP
    Oj. Lepší příklad? Abych to tam nahradil...
    Tomáš Bžatek avatar 13.9.2012 16:40 Tomáš Bžatek | skóre: 29 | Brno
    Rozbalit Rozbalit vše Re: GIMP
    Huh, no neco ne-KDEckoveho a ne-GTKckoveho :-) Treba... paskvil Chromium (nepouzivam, prosim otestovat).
    Koupim litajiciho tucnaka
    Tomáš Bžatek avatar 13.9.2012 16:41 Tomáš Bžatek | skóre: 29 | Brno
    Rozbalit Rozbalit vše Re: FUSE: SSHFS a EncFS
    Klobouk dolu, maintainer reaguje svizne: https://bugzilla.gnome.org/show_bug.cgi?id=679187
    Koupim litajiciho tucnaka

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.