Open source software pro úpravu digitálních fotografií LightZone (Wikipedie) byl vydán v nové verzi 5.0.0. LightZone je dnes k dispozici pod licencí BSD. Původně se jednalo o proprietární software vyvíjený společností Light Crafts. Ta v prosinci 2012 souhlasila s uvolněním zdrojových kódů jako open source [Wayback Machine].
Byla vydána verze 0.84 telnet a ssh klienta PuTTY (Wikipedie). Podrobnosti v přehledu nových vlastností a oprav chyb a Change Logu.
Microsoft představil Azure Linux 4.0 a Azure Container Linux. Na konferenci Open Source Summit North America 2026 organizované konsorciem Linux Foundation a sponzorované také Microsoftem. Azure Linux 4.0 vychází z Fedora Linuxu. Azure Container Linux je založen na projektu Flatcar. Azure Linux (GitHub, Wikipedie) byl původně znám jako CBL-Mariner.
Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 165 (pdf).
Byla vydána verze 9.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a informačním videu.
Firefox 151 podporuje Web Serial API. Pro komunikaci s různými mikrokontroléry připojenými přes USB nebo sériové porty už není nutné spouštět Chrome nebo na Chromiu postavené webové prohlížeče.
Byla vydána nová stabilní verze 8.0 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 148. Přehled novinek i s náhledy v příspěvku na blogu.
Ve FreeBSD byla nalezena a opravena zranitelnost FatGid aneb CVE-2026-45250. Jedná se o lokální eskalaci práv. Neprivilegovaný uživatel se může stát rootem.
Společnost Flipper Devices oznámila Flipper One. Zcela nový Flipper postavený od nuly. Jedná se o open-source linuxovou platformu založenou na čipu Rockchip RK3576. Hledají se dobrovolníci pro pomoc s dokončením vývoje (ovladače, testování, tvorba modulů).
Vývojáři Wine oznámili vydání verze 2.0 knihovny vkd3d pro překlad volání Direct3D na Vulkan. Přehled novinek na GitLabu.
12.6.2015 19:34
| Přečteno: 2608×
| Debian
| 
| poslední úprava: 13.6.2015 10:47
Návod jak vytvořit reverzní SSH tunel, s tím, že se uživateli, který tento tunel vytváří, zakáže vše ostatní. Může se hodit např. při administraci notebooků kamarádů, kteří chtějí vyřešit nějaký problém, ale nemají zrovna veřejnou IP.
Vytvoříme nového uživatele sshforward, kterému nedovolíme logování pomocí hesla a login shell nastavíme na nologin. Poté nastavíme jako vlastníka, jeho domovského adresáře, uživatele root.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.czserver# adduser --shell /usr/sbin/nologin --disabled-password sshforward
server# chown root.root /home/sshforward
Promažeme domovský adresář.
server# cd /home/sshforward
server# find -mindepth 1 -delete
Vytvoříme adresář pro uložení veřejných klíčů a nakopírujeme do něj veřejný klíč pro uživatele sshforward. Do cílového souboru můžeme přidat větší množství veřejných klíčů, pokud chceme, aby reverzní tunel mohlo vytvářet více různých uživatelů.
server# mkdir /etc/ssh/authorized_keys
server# cp id_ed25519.pub /etc/ssh/authorized_keys/sshforward
Povolíme pouze přihlašování pomocí klíčů. Dále omezíme možnosti uživatele sshforward, který bude moci pouze vytvořit reverzní tunel na libovolném portu (když nepočítám ty privilegované <=1023), přesměrovat se na localhost:22 serveru (toto pravidlo omezuje i dynamické přesměrování portů). A zavřeme ho do chrootu.
server# vim /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
Match Group sshforward
AuthorizedKeysFile /etc/ssh/authorized_keys/%u
ChrootDirectory %h
ForceCommand /usr/sbin/nologin
AllowTcpForwarding yes
AllowAgentForwarding no
PermitTunnel no
PermitTTY no
GatewayPorts no
X11Forwarding no
PermitOpen localhost:22
Restartujeme SSH server.
server# service ssh restart
Vytvoříme reverzní tunel na portu 5022.
notebook$ autossh -M 0 -o "ServerAliveInterval 10" -o "ServerAliveCountMax 3" -N -R 5022:localhost:22 sshforward@server
Zkusíme se připojit ze serveru na notebook.
server$ ssh -p 5022 username@localhost
Na serveru můžeme zahazovat všechny odchozí pakety uživatele sshforward, na reverzní tunel to nemá vliv a zařídíme tím ještě větší omezení možností uživatele sshforward.
server# iptables -I OUTPUT -m owner --uid-owner sshforward -j DROP
Otestujeme zda-li fungují naše omezení.
notebook$ ssh sshforward@server
PTY allocation request failed on channel 0
Could not chdir to home directory /home/sshforward: No such file or directory
/usr/sbin/nologin: No such file or directory
Connection to server closed.
notebook$ sftp sshforward@server
Couldn't read packet: Connection reset by peer
notebook$ ssh sshforward@server date
Could not chdir to home directory /home/sshforward: No such file or directory
/usr/sbin/nologin: No such file or directory
notebook$ ssh -N -D 8080 sshforward@server
channel 1: open failed: administratively prohibited: open failed
notebook$ curl -I --socks5 localhost:8080 http://mojeip.cz
curl: (7) Failed to receive SOCKS5 connect request ack.
notebook$ ssh -N -L 8080:mojeip.cz:80 sshforward@server
channel 1: open failed: administratively prohibited: open failed
notebook$ curl -I localhost:8080
curl: (52) Empty reply from server
notebook$ ssh -N -L 2222:localhost:22 sshforward@server
channel 1: open failed: administratively prohibited: open failed
notebook$ ssh -p 2222 localhost
ssh_exchange_identification: Connection closed by remote host
Budu rád za případné podnětné připomínky v diskuzi na toto téma.
Zdroje:
Tiskni
Sdílej:
Cíl byl, omezit uživatele sshforward, pokud možno co nejvíce, včetně uzavření do chrootu.
13.6.2015 13:30
Jendа | skóre: 78
| blog: Jenda
| JO70FB
command="read a; exit"SHELLSHOCK (takhle mi vyownovali server chvilku po publikaci, ještě než byl v repozitáři opravený bash)
13.6.2015 10:58