abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 17:00 | IT novinky

    Europarlament podpořil pozměněnou verzi výjimky známé jako „chat control 1.0“ umožňující firmám skenovat soukromou komunikaci na internetu kvůli ochraně dětí před zneužitím. Pozměňovací návrhy přijaté europoslanci však počítají s tím, že z výjimky bude vyřazena šifrovaná komunikace. Výjimka přestala platit začátkem dubna poté, co se Evropský parlament a Rada EU nedokázaly shodnout na jejím prodloužení. Rada následně přijala

    … více »
    Ladislav Hagara | Komentářů: 3
    dnes 04:44 | Bezpečnostní upozornění

    Nejnovější X.Org X server 21.1.24 a Xwayland 24.1.13 řeší 2 bezpečnostní chyby.

    Ladislav Hagara | Komentářů: 0
    dnes 04:22 | Komunita

    Clement "Clem" Lefebvre publikoval souhrn dění v Linux Mintu za červen 2026. Vypíchnuta je vylepšená podpora Waylandu. Už není považována za experimentální. V příští verzi Linux Mintu, plánována je na Vánoce, bude běh Cinnamonu plně podporován na X11 i Waylandu. V květnu na vývoj Linux Mintu přispělo 611 dárců celkovou částkou 19 612 dolarů. Dalších 2 326 patronů přispělo na Patreonu celkovou částkou 5 334 dolarů.

    Ladislav Hagara | Komentářů: 3
    dnes 04:00 | Bezpečnostní upozornění

    V Linuxu v KVM byla nalezena a v upstreamu již byla opravena kritická zranitelnost Januscape aneb CVE-2026-53359. Root na hostovaném počítači (virtuální stroj) může obejít izolaci a získat plnou kontrolu nad hostitelským systémem (DoS útok nebo vzdálené spuštění kódu s právy roota). Na obou hlavních architekturách – Intel i AMD. Zranitelnost v Linuxu existovala téměř 16 let (od srpna 2010 do června 2026).

    Ladislav Hagara | Komentářů: 0
    včera 19:44 | IT novinky

    Tribunál Soudního dvora Evropské unie dnes zamítl několik žalob, v nichž se americká společnost Apple ohrazovala proti pravidlům fungování velkých technologických společností na unijním trhu. Applu se nelíbilo, že jeho obchod s aplikacemi a operační systém iOS mají podléhat přísnějším povinnostem jen proto, že Brusel firmu považuje za takzvaného gatekeepera, tedy strážce přístupu.

    Ladislav Hagara | Komentářů: 1
    včera 13:11 | IT novinky

    Na WhatsAppu budou postupně v průběhu následujících měsíců zavedena uživatelská jména. Telefonní čísla tak mohou zůstat soukromá. Aktuálně si lze uživatelské jméno rezervovat.

    Ladislav Hagara | Komentářů: 3
    včera 11:11 | IT novinky

    Byl aktualizován TIOBE Index (Wikipedie). Programovací jazyk Rust se poprvé dostal do první desítky tohoto žebříčku popularity programovacích jazyků. Vede Python následovaný C, C++, Java, C#, …

    Ladislav Hagara | Komentářů: 0
    včera 01:55 | Nová verze

    Proton (Wikipedie), tj. fork Wine integrovaný ve Steamu umožňující na Linuxu hrát hry určené pouze pro Windows, byl vydán ve verzi 11.0-1. Přehled novinek se seznamem nově podporovaných her na GitHubu. Aktuální přehled všech podporovaných her na stránkách ProtonDB

    Ladislav Hagara | Komentářů: 0
    7.7. 20:44 | Zajímavý software

    Byly publikovány zdrojové kódy počítačové hry Unturned. Pro nekomerční účely. V plánu je přelicencování pod MIT. Hra Unturned je postavena nad multiplatformním herním enginem Unity.

    Ladislav Hagara | Komentářů: 1
    7.7. 15:55 | IT novinky

    První česká družice navržená a sestavená výhradně studenty se dostala na oběžnou dráhu Země. Družice KOSTKA, kterou vyvinul studentský tým YSpace z Vysokého učení technického v Brně (VUT), dnes odstartovala na palubě rakety Falcon 9 společnosti SpaceX v rámci mise Transporter-17 z kalifornské základny Vandenberg Space Force Base.

    Ladislav Hagara | Komentářů: 0
    Které desktopové prostředí na Linuxu používáte?
     (10%)
     (7%)
     (2%)
     (17%)
     (31%)
     (4%)
     (6%)
     (2%)
     (16%)
     (25%)
    Celkem 2081 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník

    Reverzní SSH tunel

    12.6.2015 19:34 | Přečteno: 2639× | Debian | Výběrový blog | poslední úprava: 13.6.2015 10:47

    Návod jak vytvořit reverzní SSH tunel, s tím, že se uživateli, který tento tunel vytváří, zakáže vše ostatní. Může se hodit např. při administraci notebooků kamarádů, kteří chtějí vyřešit nějaký problém, ale nemají zrovna veřejnou IP.

    Vytvoříme nového uživatele sshforward, kterému nedovolíme logování pomocí hesla a login shell nastavíme na nologin. Poté nastavíme jako vlastníka, jeho domovského adresáře, uživatele root.

    server# adduser --shell /usr/sbin/nologin --disabled-password sshforward
    server# chown root.root /home/sshforward
    

    Promažeme domovský adresář.

    server# cd /home/sshforward
    server# find -mindepth 1 -delete
    

    Vytvoříme adresář pro uložení veřejných klíčů a nakopírujeme do něj veřejný klíč pro uživatele sshforward. Do cílového souboru můžeme přidat větší množství veřejných klíčů, pokud chceme, aby reverzní tunel mohlo vytvářet více různých uživatelů.

    server# mkdir /etc/ssh/authorized_keys
    server# cp id_ed25519.pub /etc/ssh/authorized_keys/sshforward
    

    Povolíme pouze přihlašování pomocí klíčů. Dále omezíme možnosti uživatele sshforward, který bude moci pouze vytvořit reverzní tunel na libovolném portu (když nepočítám ty privilegované <=1023), přesměrovat se na localhost:22 serveru (toto pravidlo omezuje i dynamické přesměrování portů). A zavřeme ho do chrootu.

    server# vim /etc/ssh/sshd_config
    RSAAuthentication yes
    PubkeyAuthentication yes
    ChallengeResponseAuthentication no
    PasswordAuthentication no
    UsePAM no
    
    Match Group sshforward
       AuthorizedKeysFile /etc/ssh/authorized_keys/%u
       ChrootDirectory %h
       ForceCommand /usr/sbin/nologin
       AllowTcpForwarding yes
       AllowAgentForwarding no
       PermitTunnel no
       PermitTTY no
       GatewayPorts no
       X11Forwarding no
       PermitOpen localhost:22
    

    Restartujeme SSH server.

    server# service ssh restart
    

    Vytvoříme reverzní tunel na portu 5022.

    notebook$ autossh -M 0 -o "ServerAliveInterval 10" -o "ServerAliveCountMax 3" -N -R 5022:localhost:22 sshforward@server
    

    Zkusíme se připojit ze serveru na notebook.

    server$ ssh -p 5022 username@localhost
    

    Na serveru můžeme zahazovat všechny odchozí pakety uživatele sshforward, na reverzní tunel to nemá vliv a zařídíme tím ještě větší omezení možností uživatele sshforward.

    server# iptables -I OUTPUT -m owner --uid-owner sshforward -j DROP
    

    Otestujeme zda-li fungují naše omezení.

    notebook$ ssh sshforward@server
    PTY allocation request failed on channel 0
    Could not chdir to home directory /home/sshforward: No such file or directory
    /usr/sbin/nologin: No such file or directory
    Connection to server closed.
    
    notebook$ sftp sshforward@server
    Couldn't read packet: Connection reset by peer
    
    notebook$ ssh sshforward@server date
    Could not chdir to home directory /home/sshforward: No such file or directory
    /usr/sbin/nologin: No such file or directory
    
    notebook$ ssh -N -D 8080 sshforward@server
    channel 1: open failed: administratively prohibited: open failed
    notebook$ curl -I --socks5 localhost:8080 http://mojeip.cz
    curl: (7) Failed to receive SOCKS5 connect request ack.
    
    notebook$ ssh -N -L 8080:mojeip.cz:80 sshforward@server
    channel 1: open failed: administratively prohibited: open failed
    notebook$ curl -I localhost:8080
    curl: (52) Empty reply from server
    
    notebook$ ssh -N -L 2222:localhost:22 sshforward@server
    channel 1: open failed: administratively prohibited: open failed
    notebook$ ssh -p 2222 localhost
    ssh_exchange_identification: Connection closed by remote host
    

    Budu rád za případné podnětné připomínky v diskuzi na toto téma.

    Zdroje:

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    13.6.2015 09:17 pavele
    Rozbalit Rozbalit vše Re: Reverzní SSH tunel
    A nestačilo by na straně serveru neupravovat ssh-server a přidat do uživatele sshforward klíč:

    no-agent-forwarding,no-X11-forwarding,no-user-rc,no-pty,command="read a; exit" ssh-rsa AAAB3N.....
    Fuky avatar 13.6.2015 10:58 Fuky | skóre: 52 | blog: 4u
    Rozbalit Rozbalit vše Re: Reverzní SSH tunel

    Cíl byl, omezit uživatele sshforward, pokud možno co nejvíce, včetně uzavření do chrootu.

    Jendа avatar 13.6.2015 13:30 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Reverzní SSH tunel
    command="read a; exit"
    SHELLSHOCK (takhle mi vyownovali server chvilku po publikaci, ještě než byl v repozitáři opravený bash)
    17.4.2019 13:00 conor mcgregor
    Rozbalit Rozbalit vše Re: Reverzní SSH tunel
    i am already play this game,such a great and amazing simple puzzle game,now don't waste time,just click here Mahjong connect online no installing and charges required here,easily played on this visit.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.