Byly zveřejněny videozáznamy přednášek z konference LinuxDays 2019, která proběhla 5. a 6. října v Praze. Odkazy na videa společně s prezentacemi naleznete v programu, případně můžete jít rovnou na stránku video. Záznamy pořizovalo Audiovizuální centrum SiliconHill.
Bylo vydáno OpenBSD 6.6. Opět bez oficiální písně. Z novinek lze zmínit například sysupgrade(8).
Vyšla nová verze monitorovacího řešení Centreon 19.10.0. Novinek je spousta (realtime API, podpora JIRA, vylepšený systém notifikací...), ale těmi nejdůležitějšími je pro mnohé uživatele podpora nové verze rrdtool 1.7.x a php 7.2. Systém tak půjde bez problémů provozovat na jiných distribucích než CentOS 7. Kompletní přehled novinek v seznamu změn. Předpřipravená appliance i samotné části jsou k dispozici na oficiálních stránkách.
Dnes vyjde Ubuntu 19.10 s kódovým názvem Eoan Ermine. Přehled novinek v poznámkách k vydání. Ubuntu 20.04 LTS bude Focal Fossa.
Padesátiny Unixu lze oslavit také hrou The Unix Game aneb na unixové roury pomocí Scratche.
Vývojáři svobodného 3D softwaru Blender oznámili, že nejnovějším firemním sponzorem Blenderu je společnost Adidas. Jedná se o úroveň Corporate Silver, tj. 12 tisíc eur ročně.
V září proběhla každoroční konference Akademy komunity KDE. Nyní jsou záznamy přednášek dostupné online. Témata se dotýkají aplikací a knihoven KDE, jejich adaptaci pro různá speciální použití (vestavěná zařízení či rozšířená realita) i obecně vývoje a distribuce softwaru.
Mozilla.cz informuje o vylepšování vlastních about: stránek Firefoxu, konkrétně o odstraňování volání funkce eval() z těchto stránek. Tyto stránky mají přístup k interním součástem Firefoxu, ale protože jsou napsané v HTML a JavaScriptu, mohou být cílem podobných útoků jako webové stránky zobrazované v prohlížeči (např. vložení cizího kódu nebo obsahu), jen s potenciálně závažnějším dopadem. Pokud by se někomu skutečně povedlo kód do
… více »Uživatel GitHubu joeycastillo představil The Open Book Project, jehož cílem je vytvořit open-source čtečku elektronických knih. Projekt se zatím nachází v rané fázi vývoje, už nyní ale obsahuje použitelný návrh hardware prototypu „Feather Wing“, jehož cílem má být ověření konceptu na 4,2palcovém displeji. Tento koncept je postaven na kitu Adafruit Feather M4 Express, který ovládá hlavní desku s displeji a tlačítky. Po úspěšném ověření
… více »OpenSSH je od začátku vyvíjeno v rámci projektu OpenBSD a jeho zdrojové kódy jsou zveřejněny pod BSD licencí. Distribuce obsahuje SSH server, SSH klienta a přidružené programy.
Jako u většiny bezpečnostního softwaru, závisí bezpečnost především na způsobu používání. Je proto třeba pečlivě vyvažovat bezpečnost a pohodlí nebo najít způsob, jak skloubit obojí.
Dříve, než začnete pracovat na vzdáleném počítači nebo mu pošlete heslo, byste měli vědět, jestli se opravdu připojujete na správný server a ne na nějaký cizí stroj. K tomu slouží klíč SSH serveru (SSH host key).
Klient si udržuje seznam serverů a jejich veřejných klíčů. Pokud se spojíte s jiným serverem, klient to ohlásí a odmítne se připojit. Jediným slabým bodem je v tomto případě první přihlášení, kdy ještě server v seznamu není. V takovém případě OpenSSH zobrazí otisk (fingerprint) klíče uživateli, aby ho mohl zkontrolovat. Na serveru zjistíte otisky klíčů serveru příkazem ssh-keygen.
(server)$ ssh-keygen -l -f /etc/ssh/ssh_host_dsa_key (server)$ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
Pokud spravujete server, který z nějakého důvodu nemá SSH klíč, musíte ho nechat vygenerovat (mně se vygenerovaly při prvním spuštění serveru). Můžete vygenerovat DSA klíč i RSA klíč.
(server)$ ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N '' (server)$ ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N ''
Nabízí se otázka, co dělat, když administrátor z nějakého důvodu klíč serveru změní. Stačí nechat vymazat záznam o serveru, znovu se přihlásit, zkontrolovat otisk a nechat klienta, ať si přidá nový veřejný klíč.
(klient)$ ssh-keygen -R example.net (klient)$ ssh uzivatel@example.net
Nejzákladnější metodou autentizace uživatele je zadání hesla (to se posílá až po ověření totožnosti serveru). Pokud máte pro každou službu nebo server vymyšlené bezpečné heslo, může se vám stát, že těch hesel bude příliš mnoho a nebudete si je všechny pamatovat. V horším případě začnete používat jedno heslo pro větší množství služeb, což může ohrozit bezpečné ověření vás jako uživatele.
Zajímavější alternativou je autentizace veřejným klíčem (public key authentication). V takovém případě stačí, aby server znal veřejný klíč uživatele. Veřejný klíč se vytváří příkazem ssh-keygen. Pro jednoduchost můžete vybrat DSA klíč. Pro bezpečnější práci je vhodné chránit (šifrovat) klíč nějakou bezpečnou passphrase (program se na ni zeptá).
(klient)$ ssh-keygen -t dsa
Kdybyste chtěli někdy změnit passphrase, opět pomůže příkaz ssh-keygen.
(klient)$ ssh-keygen -p -t dsa
Na každý server, kam se chcete touto metodou přihlašovat, zkopírujte svůj veřejný klíč. Přidejte ho do souboru .ssh/authorized_keys ve svém domácím adresáři na serveru. V sekci o SSH agentovi se dozvíte o elegantnějším způsobu přidávání veřejných klíču na server.
(server)$ cat id_dsa.pub >> ~/.ssh/authorized_keys
V tuhle chvíli se můžete přihlašovat bez zadávání hesla. Místo hesla ke vzdálenému počítači teď zadáváte passphrase vašeho klíče.
Na první pohled se toho moc nezměnilo, ale od této chvíle už neposíláte žádné heslo po síti. Pomocí passphrase se pouze rozšifruje klíč před použitím. To znamená, že můžete jeden klíč (s jednou passphrase) bezpečně používat pro přihlašování na mnoho serverů.
Bezpečnost autentizace veřejným klíčem spočívá v tom, že na straně serveru je uložený pouze veřejný klíč. Ten se dá použít pouze k ověření vaší totožnosti, pokud vy máte k dispozici svůj soukromý klíč (ověření serveru funguje podobně). To je velká výhoda oproti heslu, které musí být (v nějaké formě) uložené na serveru. Pokud chcete vědět více, přečtěte si něco o asymetrickém šifrování (viz odkazy a zdroje).
Používání klíčů usnadňuje i komunikaci s administrátorem, který vám zakládá účet pro vzdálený přístup. Nemusí vymýšlet žádné dočasné heslo, které byste si stejně změnili. Stačí, když mu dáte svůj veřejný klíč (nebo má možnost si ho najít).
Abyste nemuseli zadávat passphrase při každém použití SSH, je tu pro vás program ssh-agent. Nejdřív je potřeba zařídit, aby se agent spouštěl a ukončoval, když se přihlásíte nebo odhlásíte.
(klient)$ echo eval \`ssh-agent\` >> .bash_login (klient)$ echo eval \`ssh-agent -k\` >> .bash_logout
Po odhlášení a opětovném přihlášení by měl agent běžet. Můžete mu přidat svůj klíč pomocí ssh-add (bude po vás chtít zadat passphrase).
(klient)$ ssh-add
Rozšifrovaný klíč je teď uložený v paměti a připravený k použití. Do odhlášení nebudete muset passphrase zadávat. Navíc teď už můžete provést slibované elegantnější přidání veřejného klíče na server. Místo ssh spusťte ssh-copy-id. Příští přihlášení pomocí ssh už by mělo proběhnout bez zadávání hesla.
(klient)$ ssh-copy-id uzivatel@example.net (klient)$ ssh uzivatel@example.net
Pokud se vám nelíbí, že musíte po každém přihlášení ještě spouštět ssh-add a zadávat passphrase, potěším vás. Existuje modul pam_ssh pro PAM (Pluggable Authentication Modules, systém pro autentizaci uživatele), který umožňuje rozšířit přihlašování do systému o zavedení SSH agenta a přidání SSH klíče. K tomu, abyste tuto službu nastavili, samozřejmě potřebujete administrátorský účet.
Předpokládám, že balíček pam_ssh už jste si nainstalovali. V /etc/pam.d najdete konfigurační soubor služby (například xdm), u které chcete k přihlašování přidat podporu SSH agenta, a upravíte ho.
Nejdříve je potřeba přidat autentizaci pomocí pam_ssh a nastavit klasickou (pam_unix), aby v případě potřeby použila již zadané heslo (parametr try_first_pass). Pokud tento parametr vynecháte, bude se vás v případě neúspěchu systém ptát na vaše unixové heslo zvlášť.
auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_ssh.so auth sufficient /lib/security/pam_unix.so try_first_pass likeauth nullok auth required /lib/security/pam_deny.so
Pak se ještě hodí zavést pam_ssh session, která zajistí spuštění a ukončení SSH agenta. Pokud vám SSH agenta do teď spouštěl a ukončoval nějaký skript (například .bash_login a .bash_logout), nezapomeňte příslušné řádky zrušit.
session required /lib/security/pam_limits.so session sufficient /lib/security/pam_ssh.so session required /lib/security/pam_unix.so
Po dokončení této konfigurace se můžete začít přihlašovat do systému svou ssh passphrase. Po přihlášení máte automaticky spuštěného agenta a zavedený klíč. Pořád vám samozřejmě zůstává možnost přihlásit se starým heslem (bez načtení SSH klíče).
Příště se odpoutáme od bezpečnosti a podíváme se, co nám může SSH nabídnout kromě očekávaného bezpečného připojení ke vzdálenému shellu. Dotazy a připomínky jsou vítány.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
22.8.2007 22:03
pavlix | skóre: 54
| blog: pavlix
)
22.8.2007 22:08
pavlix | skóre: 54
| blog: pavlix
22.8.2007 22:58
pavlix | skóre: 54
| blog: pavlix
pokial by pouzival heslo, tak nemoze!Nahraď slovo "heslo" slovem "passphrase" a máš vyřešeno. Navíc můžeš bezpečně používat stejnou passphrase pro klíč, kterým se přihlašuješ k mnoha počítačům.
- ssh -w - .ssh/config - HashKnownHosts - .ssh/config - LocalCommand, SendEnv - /etc/ssh/sshd_config - ForceCommand, Match # s tim se daji delat kouzla ;)ad
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
.bash_login & ssh-agent, no... neni to kvapek mateni ctenare? uz vidim jak si kazdy pepa dela .bash_login, kdyz treba ma .profile :) jednodussi by bylo napsat do konfiguracnich souboru vaseho shellu - man bash/ksh...
celkove ta sekce s ssh-agentem je takove rychlokvasena. ocekaval bych vice o spojeni s X11 nebo pry i gnome ma neco na gtk.
22.8.2007 22:10
pavlix | skóre: 54
| blog: pavlix
22.8.2007 23:10
pavlix | skóre: 54
| blog: pavlix
ssh -w
Díky za tip, desktop jedu na Ubuntu 6.06 LTS a to tohle ještě nemá :-o.
Pro běžné použití snad jen jako osobní VPN na vlastní server, je zapotřebí mít roota na obou stranách (konfigurace rozhraní tun) a defaultně je to na serveru zakázáno (což je dobře). Na rychlé/nouzové/dočasné zprovoznění tunelu ovšem ideální (možnost zprovoznění i přes http proxy via ProxyCommand, viz ssh_config). Pro trvalejší účely je IMHO lepší OpenVPN.
Ale i docela možný scénář pro Road Warriors:
- pam-ssh s nahráním klíče do ssh-agenta - na serveru klíč klienta u roota v authorized_keys s restrikcemi: tunnel="1",command="/usr/local/sbin/tuncfg.sh tun1; read",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty * /usr/local/sbin/tuncfg.sh se stará o konfiguraci tun1 - server poslouchá na portu 443 - na klientu mít nějaký skript vpnviassh.sh co provede: * zaklepání, pokud se používá * nahození tunelu via ssh (ssh -C -f -w 0:1 -p 443 root@server) * konfigurace rozhraní tun0 přes "sudo /usr/local/sbin/tuncfg.sh tun0" - do /etc/sudoers dát /usr/local/sbin/tuncfg.sh bez hesla, třeba takto * Cmnd_Alias TUNCONFIG = /usr/local/sbin/tuncfg.sh * %vpnusers ALL=NOPASSWD: TUNCONFIG
A Je tu poměrně jednoduchá VPN co projde i z restriktivních sítí s transparent proxy. Oproti stejnému postupu s OpenVPN je tu jen jedno heslo po přihlášení na klienta a na disku nikde neleží nešifrovaný klíč či heslo. Nevýhodou je asi maximální počet klientů dle počtu tun rozhraní na serveru (sdílení tunX point-to-point ? Či použití Level2 tunelu ?). Dále by bylo dobré vědět, jak se to chová v případě výpadku spojení (tcp timeout a pak to shodí tun0 ?) a jak je to s výkonností
* Add support for tunneling arbitrary network packets over a connection between an OpenSSH client and server via tun(4) virtual network interfaces. This allows the use of OpenSSH (4.3+) to create a true VPN between the client and server providing real network connectivity at layer 2 or 3. This feature is experimental and is currently supported on OpenBSD, Linux, NetBSD (IPv4 only) and FreeBSD. Other operating systems with tun/tap interface capability may be added in future portable OpenSSH releases. Please refer to the README.tun file in the source distribution for further details and usage examples.tu tvoji strategii jsem nepochopil... jednodussi by bylo pouzit
Match a AcceptEnv, ForceCommand a obalit to do skriptu, ktery se provede pri prihlaseni :)
do .ssh/config si date SendEnv a poslete nejaky string, ssh server to ochekuje a pripadne nastavi tunneling... dale LocalCommand :)
na kazdy si chce instalovat openvpn. samozrejme, ze skutecna VPN postavena na IPSec je lepsi reseni, ale toto je takovy rychly tip a taky takovy truc na openvpn :)
Příště se odpoutáme od bezpečnosti a podíváme se, co nám může SSH nabídnout kromě očekávaného bezpečného připojení ke vzdálenému shellu. Dotazy a připomínky jsou vítány.Mne by třeba jako námět do nějakého dalšího dílu zajímalo, zda existuje nějaká náhrada za vestavěný
sftp_server pro subprotokol sftp, který v OpenSSH zamrzl na verzi protokolu sftp 3. Ta má tu "drobnou" nevýhodu, že neřeší kódování názvů souborů, což je v síťovém prostředí poněkud hloupé (pak z toho vzniká "já mám systém v UTF-8, tak se přizpůsobte"). Já naštěstí systém mám v UTF-8 a WinSCP je možné vnutit UTF-8 i pro sftp předverzí 4, takže jsem to vyřešil. Ale je to ostuda, že tentokrát je to program pro Windows, který je pružnější v nastavení a podporuje novější protokol.
22.8.2007 22:16
pavlix | skóre: 54
| blog: pavlix
A tady bohužel opens source OpenSSH selhává, protože se musí okolní svět přizpůsobovat jemu, místo aby si OpenSSH poradilo s čímkoli – jak je jinak ve světě OSS zvykem.
22.8.2007 23:17
pavlix | skóre: 54
| blog: pavlix
Pokud má na serveru 'opravdové' účty třeba 30 lidí kvůli poště, tak se můžete vsadit, že 1/3 z nich má jako heslo jména svých dětí
Pro takové účely máme cracklib.
Pokud má na serveru 'opravdové' účty třeba 30 lidí kvůli poště, tak se můžete vsadit, že 1/3 z nich má jako heslo jména svých dětí...Ti, co si alespoň jednou prolítli
sshd_config(5) a zařídili se podle něj takové uživatele vůbec neřeší. :-P
Čím více hesel musí člověk používat, tím ta hesla budou slabší a spíš budou někde napsaná na monitoru.
22.8.2007 22:40
pavlix | skóre: 54
| blog: pavlix
22.8.2007 22:20
pavlix | skóre: 54
| blog: pavlix
chroot, ale jestli neco umi omezit uzivatele aby nemohl prochazet jine slozky nez tu svoji...
chroot je nesystemove a slozite reseni. reseni existuje, nejaky Mandatory Access Control :P
22.8.2007 22:24
pavlix | skóre: 54
| blog: pavlix