abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 04:00 | Zajímavý článek

    Jiří Eischmann v příspěvku na svém blogu představuje typy, jak lépe chránit své soukromí na mobilním telefonu: "Asi dnes neexistuje způsob, jak se sledování vyhnout úplně. Minimálně ne způsob, který by byl kompatibilní s tím, jak lidé technologie běžně používají. Soukromí ovšem není binární věc, ale škála. Absolutního soukromí je dnes na Internetu dost dobře nedosažitelné, ale jen posun na škále blíže k němu se počítá. Čím méně dat se o vás posbírá, tím nepřesnější budou vaše profily a tím méně budou zneužitelné proti vám."

    Ladislav Hagara | Komentářů: 2
    dnes 00:22 | Nová verze

    Byla vydána nová stabilní verze 25.05 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Warbler. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.

    Ladislav Hagara | Komentářů: 0
    včera 18:11 | Nová verze

    Multiplatformní open source spouštěč her Heroic Games Launcher byl vydán v nové stabilní verzi 2.17.0 Franky (Mastodon, 𝕏). Přehled novinek na GitHubu. Instalovat lze také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    včera 18:00 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 26 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    včera 14:55 | IT novinky

    Klávesnice IBM Enhanced Keyboard, známá také jako Model M, byla poprvé představena v roce 1985, tzn. před 40 lety, s počítači IBM 7531/7532 Industrial Computer a 3161/3163 ASCII Display Station. Výročí připomíná článek na zevrubném sběratelském webu Admiral Shark's Keyboards. Rozložení kláves IBM Enhanced Keyboard se stalo průmyslovým standardem.

    Fluttershy, yay! | Komentářů: 5
    včera 12:00 | Nová verze

    Vyšlo Pharo 13 s vylepšenou podporou HiDPI či objektovým Transcriptem. Pharo je programovací jazyk a vývojové prostředí s řadou pokročilých vlastností.

    Pavel Křivánek | Komentářů: 1
    včera 04:00 | IT novinky

    Java má dnes 30. narozeniny. Veřejnosti byla představena 23. května 1995.

    Ladislav Hagara | Komentářů: 7
    22.5. 21:55 | IT novinky

    1. července Mozilla vypne službu Fakespot pro detekci podvodných recenzí v internetových obchodech. Mozilla koupila Fakespot v květnu 2023.

    Ladislav Hagara | Komentářů: 1
    22.5. 21:33 | IT novinky

    8. července Mozilla vypne službu Pocket (Wikipedie) pro ukládání článků z webu na později. Do 8. října si uživatelé mohou vyexportovat data. Mozilla koupila Pocket v únoru 2017. Několik měsíců byl Pocket integrovanou součástí Firefoxu.

    Ladislav Hagara | Komentářů: 7
    22.5. 13:22 | Upozornění

    Turris OS má aktuálně problém s aktualizací související s ukončením podpory protokolu OCSP u certifikační autority Let's Encrypt.

    Ladislav Hagara | Komentářů: 4
    Jaký je váš oblíbený skriptovací jazyk?
     (58%)
     (28%)
     (6%)
     (3%)
     (0%)
     (0%)
     (5%)
    Celkem 98 hlasů
     Komentářů: 6, poslední 22.5. 14:43
    Rozcestník

    Jak se pomocí ssh prohrabat na počítač ve vnitřní síti

    Způsobů je samozřejmě celá řada, zde popsaný je určen pro situaci, že se potřebuji dostávat na stroj který je za nějakým NAT a proxy. Vyžaduje jednak spolupráci ze strany uživatele (i když se samozřejmě dá bez ní obejít, ale to už není předmětem tohoto postupu) a stroj s veřejnou IP adresou. Na obou strojích je třeba mít účet a přinejmenším právo pomocí sudo spouštět ssh démona.

    Popis situace

    Počítač na který se potřebujeme dostat, běží ve vnitřní síti (s neveřejnou IP adresou) a jediný způsob jakým se uživatel může dostávat na web je prostřednictvím autorizované HTTP proxy. Za předpokladu že je správce proxy paranoik jsou pro komunikaci povoleny maximálně porty 80 (http) a 443 (https).

    V takovém případě nezbývá, než mít možnost spustit na vzdáleném stroji ssh démona tak aby naslouchal na některém z povolených portů.
    Přitom je třeba zajistit, aby se nedostal do konfliktu s jinou aplikací. Tj. pokud na vzdáleném stroji běží také https tak může mezi ním a ssh démonem na portu 443 vznikat problém. Dejme tomu, že na proxy je povolen také port 17222. Pak tedy na vzdáleném stroji spustíme ssh démona naslouchajícího na tomto portu:

    UserVenku@verejnystroj~$ /usr/sbin/sshd -p 17222
    

    Tím získáme ssh server naslouchající na povoleném portu ke kterému se může uživatel z vnitřní sítě připojit. Protože je však v síti za autorizovanou HTTP proxy, tak to nemůže provést přímo, ale musí mít k dispozici nějaký nástroj, který mu to umožní.
    Takovým nástrojem je třeba aplikace proxytunnel. Pokud je v systému nainstalovaná, stačí do souboru ~/.ssh/config v adresáři uživatele, ketrý se bude připojovat na verejnystroj přidat následující:

    Host cokoliv
        ProtocolKeepAlives 30
        ProxyCommand /usr/local/bin/proxytunnel -p <IPproxy>:<PortProxy> \
                                                -u <ProxyUser> -s <ProxyUserPass> \
                                                -d <IPverejnystroj>:17222
    

    Je doufám jasné, že místo údajů v lomených závorkách je třeba dosadit příslušné údaje. Parametr ProtocolKeepAlives zajistí, že ssh klient v pravidelných 30 sekundových intervalech pošle datový paket, kterým spojení oživí. Pokud bychom tento parametr neuvedli, tak je velmi pravděpodobné, že by nám proxy brzy toto spojení odstřihla.

    Pokud jste se dostali až sem, tak by mělo být možné se přihlásit z terminálu počítače ve vnitřní síti pomocí na stroj venku.

    user@stroj~$ ssh UserVenku@cokoliv
    

    Jistě jste si povšimli, že při připojení není uvedena přímo adresa veřejného stroje, ale název, kterým je toto připojení identifikováno v souboru ~/.ssh/config

    Vytvoření tunelu

    Pokud nám výše uvedený postup funguje a uživatel ze stroje ve vnitřní síti se přihlásí na veřejný stroj, tak by již mělo jít vytvořit také ssh tunel z veřejného stroje na stroj uvnitř.

    Jak už jsem uvedl, aby to bylo možné, musí běžet také na stroji ve vnitřní síti ssh démon. Většinou tomu tak je a běží na standardním portu 22, ale nemusí tomu tak být. Pak je třeba, aby měl uživatel možnost sám spustit ssh démona na některém neobsazeném portu třeba pomocí sudo

    user@stroj~$ sudo  /usr/sbin/sshd -p 444
    

    Pak vytvoří tunel:

    user@stroj~$ ssh -R <LibovolnyPort>:localhost:<PortSshStroje> UserVenku@cokoliv
    

    Po vytvoření tunelu se pak může kdokoliv kdo má účet na stroji ve vnitřní sítě z tohoto veřejného stroje přihlásit na jeho stroj následujícím příkazem:

    JinyUserVenku@verejnystroj~$ ssh -p <LibovolnyPort> JinyUserUvnitr@localhost
    

    Připojení na vnitřní stroj by mělo být možné po dobu trvání tunelu. Tzn. dokud jeji uživatel z vnitřní sítě nezruší, nebo dokud "neodstřelí" démona naslouchajícího na jeho stroji.

    Upozornění

    Pro správce: Uvědomte si, že každý takový tunel je bezpečnostním rizikem pro vnitřní síť, proto dobře zvažte komu umožníte přístup k ssh na vzdáleném stroji (nahradit vnitřní stroj vlastním není až takový problém) a stávajícího ssh démona pokud možno co nejvíc zajistěte proti zneužití. Také zakažte všechny nepužívané porty a ty které necháte povolené průběžně monitorujte.

    Pro uživatele: Pamatujte, že na internetu je člověk jako nahý. Každá datová komunikace se někde loguje a není vůbec žádný problém pro zkušenějšího administrátora zjistit že někdo dělá neplechu. Jen paranoik si může myslet, že mu někdo analyzuje obsah odchozích a příchozích dat, nicméně síťové adresy, použité porty, uživatelská jména a objem dat napoví mnohé. Nehřešte na benevolenci svých správců a nezneužívejte možností tunelování. Vyhnete se tak nepříjemným otázkám.

    Dokument vytvořil: Aleš Kapica, 25.1.2007 10:54 | Poslední úprava: miso, 3.6.2007 20:25 | Historie změn | Zobrazeno: 2080×

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.