abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 16:44 | Nová verze

    Bylo oznámeno vydání Fedora Linuxu 43. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách Fedora Magazinu: Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Silverblue a Fedora Atomic Desktops.

    Ladislav Hagara | Komentářů: 0
    dnes 15:22 | IT novinky

    Elon Musk oznámil (𝕏) spuštění internetové encyklopedie Grokipedia (Wikipedia). Zatím ve verzi 0.1. Verze 1.0 prý bude 10x lepší, ale i ve verzi 0.1 je podle Elona Muska již lepší než Wikipedia.

    Ladislav Hagara | Komentářů: 5
    dnes 05:44 | Komunita

    PSF (Python Software Foundation) po mnoha měsících práce získala grant ve výši 1,5 milionu dolarů od americké vládní NSF (National Science Foundation) v rámci programu "Bezpečnost, ochrana a soukromí open source ekosystémů" na zvýšení bezpečnosti Pythonu a PyPI. PSF ale nesouhlasí s předloženou podmínkou grantu, že během trvání finanční podpory nebude žádným způsobem podporovat diverzitu, rovnost a inkluzi (DEI). PSF má diverzitu přímo ve svém poslání (Mission) a proto grant odmítla.

    Ladislav Hagara | Komentářů: 17
    dnes 04:55 | Nová verze

    Balík nástrojů Rust Coreutils / uutils coreutils, tj. nástrojů z GNU Coreutils napsaných v programovacím jazyce Rust, byl vydán ve verzi 0.3.0. Z 634 testů kompatibility Rust Coreutils s GNU Coreutils bylo úspěšných 532, tj. 83,91 %. V Ubuntu 25.10 se již používá Rust Coreutils místo GNU Coreutils, což může přinášet problémy, viz například nefunkční automatická aktualizace.

    Ladislav Hagara | Komentářů: 0
    včera 21:00 | IT novinky

    Od 3. listopadu 2025 budou muset nová rozšíření Firefoxu specifikovat, zda shromažďují nebo sdílejí osobní údaje. Po všech rozšířeních to bude vyžadováno někdy v první polovině roku 2026. Tyto informace se zobrazí uživateli, když začne instalovat rozšíření, spolu s veškerými oprávněními, která rozšíření požaduje.

    Ladislav Hagara | Komentářů: 0
    včera 17:11 | Humor

    Jste nuceni pracovat s Linuxem? Chybí vám pohodlí, které vám poskytoval Microsoft, když vás špehoval a sledoval všechno, co děláte? Nebojte se. Recall for Linux vám vrátí všechny skvělé funkce Windows Recall, které vám chyběly.

    Ladislav Hagara | Komentářů: 1
    včera 16:11 | Komunita

    Společnost Fre(i)e Software oznámila, že má budget na práci na Debianu pro tablety s cílem jeho vyžívání pro vzdělávací účely. Jako uživatelské prostředí bude použito Lomiri.

    Ladislav Hagara | Komentářů: 1
    26.10. 17:11 | IT novinky

    Proběhla hackerská soutěž Pwn2Own Ireland 2025. Celkově bylo vyplaceno 1 024 750 dolarů za 73 unikátních zranitelností nultého dne (0-day). Vítězný Summoning Team si odnesl 187 500 dolarů. Shrnutí po jednotlivých dnech na blogu Zero Day Initiative (1. den, 2. den a 3. den) a na YouTube.

    Ladislav Hagara | Komentářů: 4
    26.10. 13:33 | Komunita

    Byl publikován říjnový přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Pracuje se na podpoře M3. Zanedlouho vyjde Fedora Asahi Remix 43. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.

    Ladislav Hagara | Komentářů: 0
    25.10. 15:44 | Zajímavý software

    Iniciativa Open Device Partnership (ODP) nedávno představila projekt Patina. Jedná se o implementaci UEFI firmwaru v Rustu. Vývoj probíhá na GitHubu. Zdrojové kódy jsou k dispozici pod licencí Apache 2.0. Nejnovější verze Patiny je 13.0.0.

    Ladislav Hagara | Komentářů: 0
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (47%)
     (20%)
     (19%)
     (23%)
     (17%)
     (21%)
     (17%)
     (18%)
    Celkem 279 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    Reverzní SSH tunel

    12.6.2015 19:34 | Přečteno: 2521× | Debian | Výběrový blog | poslední úprava: 13.6.2015 10:47

    Návod jak vytvořit reverzní SSH tunel, s tím, že se uživateli, který tento tunel vytváří, zakáže vše ostatní. Může se hodit např. při administraci notebooků kamarádů, kteří chtějí vyřešit nějaký problém, ale nemají zrovna veřejnou IP.

    Vytvoříme nového uživatele sshforward, kterému nedovolíme logování pomocí hesla a login shell nastavíme na nologin. Poté nastavíme jako vlastníka, jeho domovského adresáře, uživatele root.

    server# adduser --shell /usr/sbin/nologin --disabled-password sshforward
    server# chown root.root /home/sshforward
    

    Promažeme domovský adresář.

    server# cd /home/sshforward
    server# find -mindepth 1 -delete
    

    Vytvoříme adresář pro uložení veřejných klíčů a nakopírujeme do něj veřejný klíč pro uživatele sshforward. Do cílového souboru můžeme přidat větší množství veřejných klíčů, pokud chceme, aby reverzní tunel mohlo vytvářet více různých uživatelů.

    server# mkdir /etc/ssh/authorized_keys
    server# cp id_ed25519.pub /etc/ssh/authorized_keys/sshforward
    

    Povolíme pouze přihlašování pomocí klíčů. Dále omezíme možnosti uživatele sshforward, který bude moci pouze vytvořit reverzní tunel na libovolném portu (když nepočítám ty privilegované <=1023), přesměrovat se na localhost:22 serveru (toto pravidlo omezuje i dynamické přesměrování portů). A zavřeme ho do chrootu.

    server# vim /etc/ssh/sshd_config
    RSAAuthentication yes
    PubkeyAuthentication yes
    ChallengeResponseAuthentication no
    PasswordAuthentication no
    UsePAM no
    
    Match Group sshforward
       AuthorizedKeysFile /etc/ssh/authorized_keys/%u
       ChrootDirectory %h
       ForceCommand /usr/sbin/nologin
       AllowTcpForwarding yes
       AllowAgentForwarding no
       PermitTunnel no
       PermitTTY no
       GatewayPorts no
       X11Forwarding no
       PermitOpen localhost:22
    

    Restartujeme SSH server.

    server# service ssh restart
    

    Vytvoříme reverzní tunel na portu 5022.

    notebook$ autossh -M 0 -o "ServerAliveInterval 10" -o "ServerAliveCountMax 3" -N -R 5022:localhost:22 sshforward@server
    

    Zkusíme se připojit ze serveru na notebook.

    server$ ssh -p 5022 username@localhost
    

    Na serveru můžeme zahazovat všechny odchozí pakety uživatele sshforward, na reverzní tunel to nemá vliv a zařídíme tím ještě větší omezení možností uživatele sshforward.

    server# iptables -I OUTPUT -m owner --uid-owner sshforward -j DROP
    

    Otestujeme zda-li fungují naše omezení.

    notebook$ ssh sshforward@server
    PTY allocation request failed on channel 0
    Could not chdir to home directory /home/sshforward: No such file or directory
    /usr/sbin/nologin: No such file or directory
    Connection to server closed.
    
    notebook$ sftp sshforward@server
    Couldn't read packet: Connection reset by peer
    
    notebook$ ssh sshforward@server date
    Could not chdir to home directory /home/sshforward: No such file or directory
    /usr/sbin/nologin: No such file or directory
    
    notebook$ ssh -N -D 8080 sshforward@server
    channel 1: open failed: administratively prohibited: open failed
    notebook$ curl -I --socks5 localhost:8080 http://mojeip.cz
    curl: (7) Failed to receive SOCKS5 connect request ack.
    
    notebook$ ssh -N -L 8080:mojeip.cz:80 sshforward@server
    channel 1: open failed: administratively prohibited: open failed
    notebook$ curl -I localhost:8080
    curl: (52) Empty reply from server
    
    notebook$ ssh -N -L 2222:localhost:22 sshforward@server
    channel 1: open failed: administratively prohibited: open failed
    notebook$ ssh -p 2222 localhost
    ssh_exchange_identification: Connection closed by remote host
    

    Budu rád za případné podnětné připomínky v diskuzi na toto téma.

    Zdroje:

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    13.6.2015 09:17 pavele
    Rozbalit Rozbalit vše Re: Reverzní SSH tunel
    A nestačilo by na straně serveru neupravovat ssh-server a přidat do uživatele sshforward klíč:

    no-agent-forwarding,no-X11-forwarding,no-user-rc,no-pty,command="read a; exit" ssh-rsa AAAB3N.....
    Fuky avatar 13.6.2015 10:58 Fuky | skóre: 52 | blog: 4u
    Rozbalit Rozbalit vše Re: Reverzní SSH tunel

    Cíl byl, omezit uživatele sshforward, pokud možno co nejvíce, včetně uzavření do chrootu.

    Jendа avatar 13.6.2015 13:30 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Reverzní SSH tunel
    command="read a; exit"
    SHELLSHOCK (takhle mi vyownovali server chvilku po publikaci, ještě než byl v repozitáři opravený bash)
    17.4.2019 13:00 conor mcgregor
    Rozbalit Rozbalit vše Re: Reverzní SSH tunel
    i am already play this game,such a great and amazing simple puzzle game,now don't waste time,just click here Mahjong connect online no installing and charges required here,easily played on this visit.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.