abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 14:11 | Komunita

    Po Canonicalu a SUSE oznámil také Red Hat, že bude podporovat a distribuovat toolkit NVIDIA CUDA (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    dnes 13:55 | Nová verze

    TrueNAS (Wikipedie), tj. open source storage platforma postavená na Linuxu, byl vydán ve verzi 25.10 Goldeye. Přináší NVMe over Fabric (NVMe-oF) nebo OpenZFS 2.3.4.

    Ladislav Hagara | Komentářů: 0
    dnes 13:33 | Nová verze

    Byla vydána OpenIndiana 2025.10. Unixový operační systém OpenIndiana (Wikipedie) vychází z OpenSolarisu (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    dnes 13:22 | Zajímavý článek

    České základní a střední školy čelí alarmujícímu stavu kybernetické bezpečnosti. Až 89 % identifikovaných zranitelností v IT infrastruktuře vzdělávacích institucí dosahuje kritické úrovně, což znamená, že útočníci mohou vzdáleně převzít kontrolu nad klíčovými systémy. Školy navíc často provozují zastaralé technologie, i roky nechávají zařízení bez potřebných aktualizací softwaru a používají k nim pouze výchozí, všeobecně známá

    … více »
    Ladislav Hagara | Komentářů: 3
    dnes 05:11 | Komunita

    Během tradiční ceremonie k oslavě Dne vzniku samostatného československého státu (28. října) byl vyznamenán medailí Za zásluhy (o stát v oblasti hospodářské) vývojář 3D tiskáren Josef Průša. Letos byly uděleny pouze dvě medaile Za zásluhy o stát v oblasti hospodářské, druhou dostal informatik a manažer Ondřej Felix, který se zabývá digitalizací státní správy.

    🇹🇬 | Komentářů: 27
    dnes 04:44 | Nová verze

    Tor Browser, tj. fork webového prohlížeče Mozilla Firefox s integrovaným klientem sítě Tor přednastavený tak, aby přes tuto síť bezpečně komunikoval, byl vydán ve verzi 15.0. Postaven je na Firefoxu ESR 140.

    Ladislav Hagara | Komentářů: 2
    včera 16:44 | Nová verze

    Bylo oznámeno (cs) vydání Fedora Linuxu 43. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách Fedora Magazinu: Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Silverblue a Fedora Atomic Desktops.

    Ladislav Hagara | Komentářů: 0
    včera 15:22 | IT novinky

    Elon Musk oznámil (𝕏) spuštění internetové encyklopedie Grokipedia (Wikipedia). Zatím ve verzi 0.1. Verze 1.0 prý bude 10x lepší, ale i ve verzi 0.1 je podle Elona Muska již lepší než Wikipedia.

    Ladislav Hagara | Komentářů: 19
    včera 05:44 | Komunita

    PSF (Python Software Foundation) po mnoha měsících práce získala grant ve výši 1,5 milionu dolarů od americké vládní NSF (National Science Foundation) v rámci programu "Bezpečnost, ochrana a soukromí open source ekosystémů" na zvýšení bezpečnosti Pythonu a PyPI. PSF ale nesouhlasí s předloženou podmínkou grantu, že během trvání finanční podpory nebude žádným způsobem podporovat diverzitu, rovnost a inkluzi (DEI). PSF má diverzitu přímo ve svém poslání (Mission) a proto grant odmítla.

    Ladislav Hagara | Komentářů: 24
    včera 04:55 | Nová verze

    Balík nástrojů Rust Coreutils / uutils coreutils, tj. nástrojů z GNU Coreutils napsaných v programovacím jazyce Rust, byl vydán ve verzi 0.3.0. Z 634 testů kompatibility Rust Coreutils s GNU Coreutils bylo úspěšných 532, tj. 83,91 %. V Ubuntu 25.10 se již používá Rust Coreutils místo GNU Coreutils, což může přinášet problémy, viz například nefunkční automatická aktualizace.

    Ladislav Hagara | Komentářů: 0
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (20%)
     (19%)
     (23%)
     (17%)
     (21%)
     (17%)
     (17%)
    Celkem 281 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    Reverzní SSH tunel

    12.6.2015 19:34 | Přečteno: 2521× | Debian | Výběrový blog | poslední úprava: 13.6.2015 10:47

    Návod jak vytvořit reverzní SSH tunel, s tím, že se uživateli, který tento tunel vytváří, zakáže vše ostatní. Může se hodit např. při administraci notebooků kamarádů, kteří chtějí vyřešit nějaký problém, ale nemají zrovna veřejnou IP.

    Vytvoříme nového uživatele sshforward, kterému nedovolíme logování pomocí hesla a login shell nastavíme na nologin. Poté nastavíme jako vlastníka, jeho domovského adresáře, uživatele root.

    server# adduser --shell /usr/sbin/nologin --disabled-password sshforward
    server# chown root.root /home/sshforward
    

    Promažeme domovský adresář.

    server# cd /home/sshforward
    server# find -mindepth 1 -delete
    

    Vytvoříme adresář pro uložení veřejných klíčů a nakopírujeme do něj veřejný klíč pro uživatele sshforward. Do cílového souboru můžeme přidat větší množství veřejných klíčů, pokud chceme, aby reverzní tunel mohlo vytvářet více různých uživatelů.

    server# mkdir /etc/ssh/authorized_keys
    server# cp id_ed25519.pub /etc/ssh/authorized_keys/sshforward
    

    Povolíme pouze přihlašování pomocí klíčů. Dále omezíme možnosti uživatele sshforward, který bude moci pouze vytvořit reverzní tunel na libovolném portu (když nepočítám ty privilegované <=1023), přesměrovat se na localhost:22 serveru (toto pravidlo omezuje i dynamické přesměrování portů). A zavřeme ho do chrootu.

    server# vim /etc/ssh/sshd_config
    RSAAuthentication yes
    PubkeyAuthentication yes
    ChallengeResponseAuthentication no
    PasswordAuthentication no
    UsePAM no
    
    Match Group sshforward
       AuthorizedKeysFile /etc/ssh/authorized_keys/%u
       ChrootDirectory %h
       ForceCommand /usr/sbin/nologin
       AllowTcpForwarding yes
       AllowAgentForwarding no
       PermitTunnel no
       PermitTTY no
       GatewayPorts no
       X11Forwarding no
       PermitOpen localhost:22
    

    Restartujeme SSH server.

    server# service ssh restart
    

    Vytvoříme reverzní tunel na portu 5022.

    notebook$ autossh -M 0 -o "ServerAliveInterval 10" -o "ServerAliveCountMax 3" -N -R 5022:localhost:22 sshforward@server
    

    Zkusíme se připojit ze serveru na notebook.

    server$ ssh -p 5022 username@localhost
    

    Na serveru můžeme zahazovat všechny odchozí pakety uživatele sshforward, na reverzní tunel to nemá vliv a zařídíme tím ještě větší omezení možností uživatele sshforward.

    server# iptables -I OUTPUT -m owner --uid-owner sshforward -j DROP
    

    Otestujeme zda-li fungují naše omezení.

    notebook$ ssh sshforward@server
    PTY allocation request failed on channel 0
    Could not chdir to home directory /home/sshforward: No such file or directory
    /usr/sbin/nologin: No such file or directory
    Connection to server closed.
    
    notebook$ sftp sshforward@server
    Couldn't read packet: Connection reset by peer
    
    notebook$ ssh sshforward@server date
    Could not chdir to home directory /home/sshforward: No such file or directory
    /usr/sbin/nologin: No such file or directory
    
    notebook$ ssh -N -D 8080 sshforward@server
    channel 1: open failed: administratively prohibited: open failed
    notebook$ curl -I --socks5 localhost:8080 http://mojeip.cz
    curl: (7) Failed to receive SOCKS5 connect request ack.
    
    notebook$ ssh -N -L 8080:mojeip.cz:80 sshforward@server
    channel 1: open failed: administratively prohibited: open failed
    notebook$ curl -I localhost:8080
    curl: (52) Empty reply from server
    
    notebook$ ssh -N -L 2222:localhost:22 sshforward@server
    channel 1: open failed: administratively prohibited: open failed
    notebook$ ssh -p 2222 localhost
    ssh_exchange_identification: Connection closed by remote host
    

    Budu rád za případné podnětné připomínky v diskuzi na toto téma.

    Zdroje:

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    13.6.2015 09:17 pavele
    Rozbalit Rozbalit vše Re: Reverzní SSH tunel
    A nestačilo by na straně serveru neupravovat ssh-server a přidat do uživatele sshforward klíč:

    no-agent-forwarding,no-X11-forwarding,no-user-rc,no-pty,command="read a; exit" ssh-rsa AAAB3N.....
    Fuky avatar 13.6.2015 10:58 Fuky | skóre: 52 | blog: 4u
    Rozbalit Rozbalit vše Re: Reverzní SSH tunel

    Cíl byl, omezit uživatele sshforward, pokud možno co nejvíce, včetně uzavření do chrootu.

    Jendа avatar 13.6.2015 13:30 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Reverzní SSH tunel
    command="read a; exit"
    SHELLSHOCK (takhle mi vyownovali server chvilku po publikaci, ještě než byl v repozitáři opravený bash)
    17.4.2019 13:00 conor mcgregor
    Rozbalit Rozbalit vše Re: Reverzní SSH tunel
    i am already play this game,such a great and amazing simple puzzle game,now don't waste time,just click here Mahjong connect online no installing and charges required here,easily played on this visit.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.