abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 08:00 | Komunita

    Microsoft Fluent Emoji jsou nově k dispozici na GitHubu pod licencí MIT. Více v článku na Medium.

    Ladislav Hagara | Komentářů: 0
    dnes 00:22 | IT novinky

    O víkendu proběhla v Kolíně nad Rýnem demopárty Evoke 2022. Publikována byla prezentovaná dema. Upozornit lze na Area 5150 (YouTube) běžící na IBM PC s procesorem Intel 8088 běžícím na 4,77 MHz a CGA.

    Ladislav Hagara | Komentářů: 1
    včera 19:55 | Zajímavý software

    smenu, nástroj pro příkazový řádek pro generování možností a potvrzení výběru, dospěl do verze 1.0.0.

    Ladislav Hagara | Komentářů: 0
    včera 19:11 | Bezpečnostní upozornění

    Byla potvrzena zranitelnost CVE-2021-46778 aneb SQUIP (Scheduler Queue Usage via Interference Probing) v procesorech AMD s mikroarchitekturou Zen 1, Zen 2 a Zen 3. Detaily v publikovaném paperu.

    Ladislav Hagara | Komentářů: 0
    včera 13:33 | Nová verze

    Turris OS, operační systém pro síťová zařízení Turris postavený na OpenWrt, byl vydán v nové verzi 5.4. Přehled novinek a diskuse v diskusním fóru.

    Ladislav Hagara | Komentářů: 0
    včera 13:11 | Nová verze

    Byla vydána nová stabilní verze 5.4 (aktuálně 5.4.2753.28) webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 104.0.5112.83. Přehled novinek v příspěvku na blogu. Vivaldi Mail byl povýšen na verzi 1.1.

    Ladislav Hagara | Komentářů: 0
    9.8. 23:33 | Bezpečnostní upozornění

    Intel vydal 27 upozornění na bezpečnostní chyby ve svých produktech. Současně vydal verzi 20220809 mikrokódů pro své procesory. Ta řeší INTEL-SA-00657. Jedná se o bezpečnostní chybu ÆPIC Leak aneb CVE-2022-21233.

    Ladislav Hagara | Komentářů: 2
    9.8. 20:22 | Nová verze

    Byla vydána nová verze 2022.3 průběžně aktualizované linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem nových nástrojů v oficiálním oznámení.

    Ladislav Hagara | Komentářů: 0
    9.8. 18:11 | Nová verze

    Byla vydána nová major verze 4.0 programovacího jazyka a vývojového prostředí Processing. Ke stažení na GitHubu. Přehled novinek na wiki.

    Ladislav Hagara | Komentářů: 0
    9.8. 09:00 | Komunita

    Konference OpenAlt 2022 proběhne o víkendu 17. a 18. září na FIT VUT v Brně. Přednášky lze přihlásit do 15. srpna.

    Ladislav Hagara | Komentářů: 0
    Audioknihy ve srovnání s knihami tištěnými (papírovými nebo elektronickými) poslouchám
     (32%)
     (2%)
     (6%)
     (60%)
    Celkem 164 hlasů
     Komentářů: 1, poslední 8.8. 21:17
    Rozcestník

    SSH přes SSH „proxy“ server

    29.1.2011 21:59 | Přečteno: 4232× | GNU/Linux | Výběrový blog | poslední úprava: 5.2.2011 18:54

    Slyšel jsem, že máš rád SSH, tak jsme dali SSH do SSH, takže můžeš SSHčkovat, když SSHčkuješ. Asi znáte všichni – máte nějaký stroj v síti, která je za devatero firewally a z něj se teprve můžete připojit na jiný cílový stroj.
    [desktop] -- SSH -- > [přestupní stanice] -- SSH -- > [cílový stroj]
    Obyčejně se to řeší pomocí SSH agenta – klíč si přidáme v agentovi na desktopu a tohoto agenta protunelujeme i na přestupní stroj – tam spustíme znovu SSH (které má přístup k našemu desktopovému agentovi) a připojíme se konečně na cílový server.

    Jenže použití SSH agenta není úplně bezpečné – rozhodně ne v případě, kdy k přestupní stanici nemáme absolutní důvěru – např. ji spravuje nějaký zlovolný admin, nebo prostě nechceme nic riskovat.

    Manuál k SSH nám říká:
    -A Enables forwarding of the authentication agent connection. This can also be specified on a per-host basis in a configuration file.

    Agent forwarding should be enabled with caution. Users with the ability to bypass file permissions on the remote host (for the agent's UNIX-domain socket) can access the local agent through the forwarded connection. An attacker cannot obtain key material from the agent, however they can perform operations on the keys that enable them to authenticate using the identities loaded into the agent.
    To není nějaká vada nebo chyba, ale prostě vlastnost tohoto řešení – někdy ho použít můžeme, jindy ne. Když nemůžeme, tak je tu jeden trik. Budeme potřebovat program socat (mimochodem obecně dost užitečná věc). Ten si nainstalujeme na přestupní stanici. A do souboru ~/.ssh/config na desktopu napíšeme tohle:
    Host cilovy-stroj.example.com
        ProxyCommand ssh prestupni-stanice.example.com "socat STDIO TCP-CONNECT:cilovy-stroj.example.com:22"
    A teď, co to dělá:

    Volbou ProxyCommand řekneme SSHčku, že se nemá připojovat pomocí TCP protokolu, ale má místo něj použít standardní vstup/výstup nějakého programu.

    Jako program jsme zadali:
    ssh prestupni-stanice.example.com "socat STDIO TCP-CONNECT:cilovy-stroj.example.com:22"
    SSH se připojí na stroj prestupni-stanice.example.com a na něm spustí příkaz v uvozovkách. Ale to jistě znáte.
    socat STDIO TCP-CONNECT:cilovy-stroj.example.com:22
    Socat má dva parametry – definujeme jimi dva konce spojení (těch možností je spousta, přečtěte si manuál). Tady jsme jako jeden konec dali STDIO – standardní vstup/výstup (pomocí SSH se přesměrovává až na náš desktop) a jako druhý konec TCP-CONNECT, tedy TCP spojení na cílový stroj a SSH port.

    Teď už jednoduše na svém desktopu zadáme:
    ssh cilovy-stroj.example.com
    a jsme tam. Na jedno kliknutí, resp. zadáním jediného příkazu. Tedy za předpokladu, že na desktopu máte SSH agenta (jinak se vás to dvakrát zeptá na heslo).

    Je to bezpečnější než tunelování agenta a pohodlnější než tunelování cílových SSH portů na localhost pomocí ssh -L 2222:cilovy-stroj.example.com:22 (tam je potřeba ručně vytvářet tunel) Navíc s ProxyCommandem a socatem můžeme snadno použít takové věci jako SSHFS.

    A ještě jeden tip: v konfiguráku můžete použít hvězdičku a proměnné %h a %p:
    Host *.example.com
        ProxyCommand ssh prestupni-stanice.example.com "socat STDIO TCP-CONNECT:%h:%p
    Teď se můžete připojit k libovolnému stroji v doméně example.com :-)

    P.S. Místo socatu jde použít i samotné SSH: ProxyCommand ssh -W %h:%p prestupni-stanice.example.com. A taky dávejte pozor na zacyklení – pokud používáte hvězdičku a přestupní stanice je ve stejné doméně.

    P.P.S. Konfigurace je pak jednoduchá:

    Host *.example.com
        ProxyCommand ssh -W %h:%p prestupni-stanice.xxxx.com
           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    29.1.2011 22:25 marbu | skóre: 31 | blog: hromada | Brno
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    To je sikovne, diky. Zaujal mne hlavne ten posledni priklad pro vsechny stroje z domeny, protoze prestupni stroj do ni patri taky a tak by se to tak jak to tam mas zacyklilo. Spravit se to da ale treba tim, ze si pro prestupni stroj zavedes alias a pouzijes v proxy commandu ten:
    Host prestupni-stanice
    Hostname prestupni-stanice.example.com
    ...
    Host *.example.com
    ProxyCommand ssh prestupni-stanice "socat STDIO TCP-CONNECT:%h:22
    
    Nebo tobe se to nezacykli z jineho duvodu? :)
    There is no point in being so cool in a cold world. Source code of the BioNTech/Pfizer SARS-CoV-2 Vaccine
    xkucf03 avatar 29.1.2011 22:50 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    Můj přestupní stroj nemá DNS jméno, takže u něj mám v konfiguráku IP adresu. Díky za upozornění – bez toho by se to zacyklilo.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    30.1.2011 21:58 Jan Kundrát (jkt) | skóre: 27 | blog: jkt | Praha - Bohnice
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    ssh_config dava prednost drive uvedenym specifictejsim matchum, cili napr. pokud mate v ~/.ssh/config uvedene jako prvni Host a.example.org a jako dalsi Host *.example.org, pouziji se pri pripojovani na "a" pouze pravidla primo pro nej urcena.
    Sleep_Walker avatar 30.1.2011 00:21 Sleep_Walker
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    Velmi prakticke, dekuji.
    30.1.2011 14:36 Radek Hladik | skóre: 20
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    Hezké. Já jsem toto řešil trochu jinak. Na desktopu používám Windows a Putty+Pageant. A upravil jsem si ten pageant tak, aby při každém použití klíče chtěl jakýsi PIN. Takže ikdyž správce toho přestupního stroje bude padouch, tak pokud by chtěl mého agenta zneužít k autentizaci někam dál, tak mně by tu vyskočil dotaz na PIN bez nějakého mého pokusu se někam přihlásit.

    Inspiroval jsem se řešením, kdy klíč máte na smartkartě, která ho nedovolí použít, dokud jí nepodstrčíte PIN. I tohle řešení už pro Putty existuje, ale mně připadal obezpečnější a opruznější než potřebuju.
    30.1.2011 15:15 Bystroushaak
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    Teda, ne že bych to přečetl úplně pozorně, ale neslouží k tomu samému parametry -L, -R a -D?

    Něco podobného používám už nějaký pátek; http://kitakitsune.org/textydw/howto/zretezeni_ssh_proxy
    xkucf03 avatar 30.1.2011 16:03 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    Řeší to stejný problém, ale elegantnějším způsobem – ty tunely musíš ručně vytvářet, tzn, jedním spojením vytvořit tunel a druhým se připojit na protunelovaný port. Tady se ten tunel vytvoří sám, navíc to ani nejde přes TCP port na localhostu, ale přes standardní vstup/výstup. Při připojování nemusíš řešit, přes jakou proxy to pojede, nemusíš zadávat dodatečně host/port při každém připojování… všechno potřebné je v konfiguráku – tudíž bude fungovat i s sshfs nebo jinými programy, které na ssh staví.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    30.1.2011 16:17 Bystroushaak
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    Ok.
    pavlix avatar 30.1.2011 21:26 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    Aha, no to přesně z blogpostu hned nevyplynulo. Prvně jsme tě chtěl zprdnout, že to, co píšeš je k ničemu a dávno vyřešeno :), ale přesvědčil jsi mě.

    Takže díky.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    xkucf03 avatar 30.1.2011 21:51 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    Vždyť to tam je :-)
    Je to bezpečnější než tunelování agenta a pohodlnější než tunelování cílových SSH portů na localhost pomocí ssh -L 2222:cilovy-stroj.example.com:22 (tam je potřeba ručně vytvářet tunel) Navíc s ProxyCommandem a socatem můžeme snadno použít takové věci jako SSHFS.
    Ale asi jsem měl nejdřív srovnat ty tři možnosti a pak teprve psát řešení, takhle to možná zapadlo.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    pavlix avatar 31.1.2011 18:27 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    Asi jen zapadlo... mimochodem s alternativním portem SSHFS taky funguje, ale co se mi na tvém řešení líbí je, že se vyhneš problémům s known_hosts.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    Sleep_Walker avatar 30.1.2011 22:15 Sleep_Walker
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    ten hlavni rozdil vidim prave v tom, ze se neposloucha na portech; tedy, jiny uzivatel nemuze pouzit protunelovane porty stejnym zpusobem jako zamyslim ja.
    31.1.2011 14:55 Martin Beránek | skóre: 33 | blog: mousehouse | Brno
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    Tohle reseni pouzivam uz nekolik let. Misto socat lze pouzit normalni netcat ktery je skoro vsude (protoze prestupni stanice je v cizich rukou, neni potreba tam nic doinstalovavat).

    V direktive ProxyCommand nedavam primo prikaz, ale ~/.ssh/proxy-command.sh %h %p. Má to velkou výhodu - lze pohodlně naskriptovat jak se na daný stroj připojím např podle aktuálního umístění. Například z práce se můžu rovnou připojit na stroj u zákazníka, kdežto z internetu musím nejdřív skočit na stroj do práce a pak až dál (zákazník má omezený přístup jen z některých adres).

    Dále se často připojuji na zhruba 200 počítačů které jsou připojeny ve VPN. Informace o vsech strojich jsou v centralne spravovanem v XML souboru kde je uvedeno: jmeno_serveru, ip_adresa. Tento seznam je docela dynamicky a porad se meni. Udrzovat tedy vlastni .ssh/config je komplikovane. Proto jsem si pro bash_completion napsal skript ktery pro ssh napovida jmena stroju ve formatu vpn-jmeno_serveru. Do .ssh/config jsem dal pouze direktivu
    Host vpn-*
    ProxyCommand ~/.ssh/ssh-proxy-vpn %h
    
    V odkazovanem skriptu si dle jmena stroje zjistim jeho adresu a provedu pripojeni.
    never use rm after eight
    pavlix avatar 31.1.2011 18:29 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: SSH přes SSH „proxy“ server
    Pěkné triky, díky.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.