Portál AbcLinuxu, 30. dubna 2025 14:28
Honza měl víc štěstí než rozumu, protože potkal hodnou kouzelnou babičku, která mu za pár buchet dovolila přístup do své chaloupky, která nejenže měla veřejnou IP adresu, běžela na linuxu, ale také měla povolený sshd port forwarding. Babička mu ochotně zřídila účet i pro princeznu. Honza chvíli hledal na googlu a pak se v převleku dostal na hrad, kde bydlela princezna a napsal:
ssh-keygen princenzna
scp princezna.pub princezna@chaloupka:princezna.pub
cat princezna.pub>>~/.ssh/authorized_keyspřidala klíč. Honza pak princezně na hradu vytvořil soubor /home/princezna/.ssh/config, do kterého napsal:
Host chaloupka
User princezna
IdentityFile ~/.ssh/princezna
Jak šel čas, začal být ale Honza princezně čím dál tím bližší a chtěla ho pozvat k sobě na hrad. Jak ale na to ? Princezna šla trochu googlit a objevila reverzní tunel. Stačilo na hradě napsat ssh -R 7777:hrad:22 a Honza se mohl ze svého účtu honza@chaloupka pomocí příkazu ssh -p 7777 localhost přihlásit přímo na hrad.
Jako v každé pohádce ale přišel problém. I když pan král o ničem nevěděl, objevil se drak Paketožrout, který seděl pod hradem a žral pakety. Ke vší smůle taky princezna zapoměla svou passphrase, protože ji už rok nepotřebovala. Princ byl na pokraji zoufalství a začal vymýšlet, jak to udělat aby se přerušené spojení dalo navzovat automaticky, když jeho krásná, ale úplně blbá princezna nesedí furt u klávesnice.V diskuzi mu poradili openVPN, s tím ale neměl žádné zkušenosti a protože chtěl tunelovat jen ssh, zrodil se v jeho hlavě ďábelský plán. Udělá TunelDémona, který bude hlídat spojení a když ho Paketožrout přeruší, tak ho znovu nahodí. Aby to chodilo automaticky, i když princezna není nalogovaná, bude se muset vytvořit klíč bez passphrase, který bude v rootově vlastictví. Protože princezně počítač hlídala celá setnina královského vojska (a princezna byla jediný člověk, který měl roota), tak si mohli dovolit nezadat passphrase a pricezna se mohla jednoduše logovat pomocí ssh chaloupka. A aby si byl jistý, vytvořil následující skript, který nechal volat cronem každou hodinu:
#!/bin/sh
whereToLog="chaloupka"
remoteport="777"
localport="222"
sshcmd="ssh -R $remoteport:`uname -n`:$localport $whereToLog -n -N"
export PATH="${PATH:+$PATH:}/usr/sbin:/sbin"
pid=`ps aux|grep "$sshcmd"|grep -v "grep"|sed -e s/"^\([a-z]*\)\([ ]*\)\([0-9]*\)\(.*\)"/"\3"/g`
case "$1" in
stop)
echo "Stopping TunnelD"
kill $pid
;;
start|check)
echo -n "TunnelD ... "
if test -n "$pid"; then
echo "running"
else
echo "starting"
`$sshcmd`&
logger "sshd to $whereToLog (re)started"
fi
;;
*)
echo "Usage: tunneld {start|stop|check}"
exit 1
esac
exit 0
Tiskni
Sdílej:
... ale také měla povolený sshd port forwarding.Hmmmm, tak tohle je to mocne kouzlo, ktere otevira dvirka k princeznam a ze zajimave pohadky dela tuctovou historku
23.11.2007 22:36
Josef Kufner | skóre: 70
23.11.2007 22:37
Josef Kufner | skóre: 70
24.11.2007 09:18
Josef Kufner | skóre: 70
24.11.2007 10:46
Josef Kufner | skóre: 70
. Ach jo, ty rejpavý lidi, ty mě snad donutíš to vymyslet ... Nebo víš řešení zpaměti ?
((
24.11.2007 11:45
Josef Kufner | skóre: 70
#!/bin/bash if ping chaloupka -c 1 then exec ssh chaloupka ... else exec sleep 60 fiJakmile tohle skonci, init to respawne. Jakmile chcipne ssh, okamzite se zkusi pingem, zda je sit ok a pokud ano, okamzite se to znovu pripoji. Pokud ping neprojde, pocka se minutu a zkusi se to znovu.
if ping $whereToLog -c 1 then logger "sshd to $whereToLog (re)starting" ssh -R $remoteport:`uname -n`:$localport $remoteuser@$whereToLog -n -N -o ConnectTimeout=30 ConnectionAttempts=1 else logger "Link to $whereToLog too bad, respawn within 1 minute" exec sleep 60 fi
25.11.2007 00:32
Josef Kufner | skóre: 70
). Když budu náhodou potřebovat procpat něco dalšího (VNC,samba,http), tak to pustím tímtéž/sousedním tunelem ... Tím že je to takhle, tak mi to přijde o něco bezpečnější a navíc se můžu do chaloupky přihlásit odkudkoliv, takže je to univerzálnější. Co se týče ytalku, tak je to (při komunikaci dvou lidí, co mají účet na stejném stroji) nejbezpečnější řešení co znám, v podstatě ekvivalentní puštění místního jabber serveru. ICQ,Skype či Jabber.cz Honza nepoužije, protože není hloupý a nebude chtít, aby někdo zvenku (ať už v USA nebo v ČR) mohl číst co si s princeznou píše
Ale to jen pro uplnost, abys vedel, ze s Jabberem se da komunikovat 100% bezpecne. A tim nemyslim zrizovani vlastniho jabber serveru.
Jinak ytalk jsem taky videl, ale do hloubky jsem ho nezkoumal, takze nemuzu uplne jiste prohlasit, jestli by se treba nedal ytalk nejak podfouknout a nezobrazoval komunikaci nejake treti osobe
Jinak souhlasim, ze tunel pres SSH je ten nejjednodussi, co se nahozeni tyka, proste parametr -L (LocalForward) nebo -R (RemoteForward). Nevyhoda je bohuzel nutnost uctu v systemu. Pro obecnejsi reseni je lepsi VPN.
Co se vzdaleneho prihlasovani tyka, osobne bych se pres ssh neprihlasoval z cizich kompu (cili ne "odkudkoliv"), jeste tak v pripade pouziti jednorazovych hesel. Ale to plati i v pripade pouziti Jabber klienta i kdyz treba se zaheslovanym GnuPG klicem na USB flash disku.
Vyhodu v jabberu vidim v tom, ze tak muzu pomoci stejneho protokolu a programu komunikovat i s dalsimi lidmi.
24.11.2007 21:26
frEon | skóre: 40
| Praha
. skoda ze kdyz jsem byl malej, tak mi nikdo takovyhle pohadky nevypravel 
....
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.