AbcLinuxu:/ Poradna / Linuxová poradna / Pristup na SSH pres "cloud"?

Štítky: Google, Internet, PC, screen, server, sítě, SSH, web

Dotaz: Pristup na SSH pres "cloud"?

12.1.2016 12:46 petrfm | skóre: 23
Pristup na SSH pres "cloud"?

Přečteno: 996×

Odpovědět | Admin

Ahoj, potreboval bych vyresit jednu pikantnost. Mam linuxovou desku, treba RPi, pripojenou k routeru, ktery je za NATem. Nema protunelovane porty, takze se k nemu z venku nemuzu dostat, cili operuje jen v lokalni siti. Chtel bych ho presto ovladat, navazat s nim komunikaci pres internet, idealne, abych se dostal do shellu, treba pres SSH, ale neni to nutne. Da se to nejak zaridit? Umi se treba pripojit SSH k jinemu serveru, vytvorit tam screen sezeni a cekat az se k nemu na tom serveru nekde v netu pripojim a zacnu pracovat vzdalene s tim RPi, skrze ten server nekde v netu?

Snad to pochopite, jak to myslim. Druha moznost je asi nejaka webova aplikace, na kterou by si to rpi sahalo a zjistovalo, zda nema vykonat nejaky prikaz. Ja bych se k te aplikaci pripojil z PC a zadal treba uptime. On by to zjistil, provedl by ten prikaz a vratil mi na ten web vysledek.

Neumim to spravne formulovat, co vlastne hledam, takze se mi spatne hleda na google.

fuck the cola, fuck the pizza, all you need is slivovitza

Řešení dotazu:

Komentář #15 (Aleš Kapica, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

12.1.2016 13:03 ttt
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Zdá se mi, že vhodné klíčové slovo je "reverse SSH tunnel". Z RPi vytvoříš tunel na server (ssh -R ...), na serveru se pak budeš moc připojit k RPi, i když je za NATem, přes ten vytvořený tunel. Možná se bude hodit i autossh.

12.1.2016 14:01 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Případně IPsec nebo v podstatě jakýkoli VPN nástroj.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.1.2016 14:12 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

A nebyva problem s pruchodem VPNek u vsech routeru? Beha to na nestandartnich portech, ne? Neni treba klasicke HTTP nebo telnet spolehlivejsi, ze projde? Potrebuju, aby to bezelo pokud mozno vsude, kde se da dostat na web, aniz bych mel pristup do routeru a moznost konfigurace.

fuck the cola, fuck the pizza, all you need is slivovitza

12.1.2016 14:15 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Co jsou to ty nestandardní porty? Nějaká SSL/TLS VPN na portu 443 by zadání nesplňovala? Klasické HTTP asi spolehlivější nebude, může podléhat nějaké transparentní proxy nebo něčemu takovému. Telnet v podstatě není protokol.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.1.2016 14:45 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

To jsou porty, které nemusí být vždy otevřené. Ale máš pravdu, asi jsem zvolil špatný termín, jak významově, tak pravopisně :-)

Vím jenom, že se u routerů řeší extra propustnost pro VPNky, tak zda nemůže nastat nějaký problém právě kvůli tomu, že to běží na portu VPNky a ne běžné 80tce, FTP, SSH, nebo třeba telnetu. Jestli plácám kraviny, tak sorry, právě proto jsem se přišel zeptat na nejvhodnější řešení :-)

fuck the cola, fuck the pizza, all you need is slivovitza

12.1.2016 14:59 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

To jsou porty, které nemusí být vždy otevřené.

Takže všechny. Ale osobně bych sázel na tcp/443, akorát mi docela vadí to, že TCP VPN jsou zoufale neefektivní a zvlášť trpí na sebemenší problémy na síti. Nicméně jakákoli TCP VPN se dá provozovat na jakémkoli TCP portu a stejnětak jakákoli UDP VPN se dá provozovat na jakémkoli UDP portu. IPsec se dá provozovat přímo nad IP nebo přes UDP. I proto má Microsoft SSTP jako výchozí transport tcp/443.

Nenarazil jsem na situaci, kdy by bylo potřeba namísto tcp/443 použít tcp/80, ale stát se to může. O ostatních silně pochybuju. Jinak největší záběr a ještě podstatně horší výkon mají DNS tunely, které fungují i za spoustou captive portálů. :D

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.1.2016 15:01 nobody
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

tohle prave funguje presne tak ze stanice je ta co vyvolava bezne ssh spojeni smerem ven a ty se na to otevrene spojeni pripojis z venkovniho serveru... sam to tak spokojene pouzivam :)

12.1.2016 14:58 nobody
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

to se ti nezda :) podle me idealni je to tak:
- na stanici skript kontrolujici jestli bezi ssh spojeni na server, pokud ne tak ho nahodi - pravidelne je pousten cronem
- na serveru je v authorized_keys public klic te stanice a pred nim (na stejnem radku) je nastaveno aby pri spojeni se pustil sleep na hodne dlouho, povoleno jen presmerovani pozadovaneho portu a ruzne dalsi omezeni
pak to funguje tak ze na serveru se pripoji pomoci: ssh localhost -p ten_pridelenej_port_stanice

12.1.2016 15:28 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Hodil bys sem prosim presne tu konfiguraci toho serveru? Konkretne toto :

 je nastaveno aby pri spojeni se pustil sleep na hodne dlouho, povoleno jen presmerovani pozadovaneho portu a ruzne dalsi omezeni

fuck the cola, fuck the pizza, all you need is slivovitza

12.1.2016 19:51 nobody
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

a co kdyz jde z tve strany o automatickej nevypinatelnej sber dat, pokus o nastoleni totality a cenzury internetu? :-D

no dobra...

na serveru:

cd /home/uzivatel_na_serveru/.ssh/
# pokud neni, tak vytvorit authorized_keys
touch authorized_keys
# nastavil bezpecne prava
chmod 600 authorized_keys
# do souboru vlozis publik klic od klienta a pred nej (na zacatek radku s klicem) vlozis:
command="/bin/sleep 4294967201",no-agent-forwarding,no-pty,no-user-rc,no-X11-forwarding,permitopen="localhost:22201"

na klientu: # skript co kontroluje spojeni a kdyz neni, tak ho nahodi, auto spousteni muzes pridat do cronu

#!/bin/sh
sshcmd="ssh -f uzivatel_na_serveru@server -R 22201:localhost:22 sleep 3"

if [ "$(ps aux|grep "${sshcmd}"|grep -v grep)" = "" ]; then
    # pokud ma spojeni aktivovat bezny uzivatel:
    su -c "${sshcmd}" jmeno_uzivatele_na_klientu
    # nebo pokud by mel spojeni aktivovat primo root:
    "${sshcmd}"
fi

ze serveru se pak pripojis pomoci (port je definovan na klientu i serveru, zmen oboje pokud chces jinej):

ssh -p 22201 localhost

pokud by se spojeni kouslo, muzes na serveru vyvolat preruseni pomoci zabiti procesu sleep, jehoz cislo zjistis pres:

ps aux | grep 4294967201

nebo naprasaka, pokud vis ze jinej sleep bezet nemuze, tak:

killall sleep

a nasledne pockas nez klientuv cron nenahodi skriptem spojeni znovu...

12.1.2016 14:00 Beda0 | skóre: 29
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Pokud nevadí, že to de přes servery třetí strany, tak hamachi. Zadarmo de propojit 5 počítačů. Jak to je s podporou na ARM distribucích si nejsem jistej, ale na RPi jsem ji úspěšně zkompiloval a používám (ArchLinux - z AURu).

12.1.2016 14:44 Petr
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Taky můžeš použít IPv6 tunel.

12.1.2016 20:50 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Da se to nejak zaridit?

Ano, dá. Připoj se k tomu stroji přes IPv6. Pak nebude za NATem.

Jiná možnost: ssh -f -N -R 22222:[::1]:22 server.s.veřejně.dostupnou.ip

Pak stačí připojit se na SSH -p 22222 server.s.veřejně.dostupnou.ip

Všechny podrobnosti jsou v manuálových stránkách. Ale je lepší si tenhle voser ušetřit a použít prostě IPv6.

12.1.2016 21:04 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Pokud jde o automatický SSH tunel, unit file pro přesně takovou službu může na tom RPi vypadat takto:

[Unit]
Description=SSH in SSH tunnel to Whoknowswhere
After=network-online.target
Requires=network.target

[Service]
Restart=always
StartLimitInterval=0
Type=forking
ExecStart=/usr/bin/ssh \
        -i /root/.ssh/id_rsa.lojza -f -C -N \
        -o ConnectTimeout=10 \
        -o ServerAliveInterval=15 \
        -o ServerAliveCountMax=2 \
        -R [::1]:22222:[::1]:22 \
        -R [2a01:xxxx:yyyy:zzzz::1]:22222:[::1]:22 \
        -R [2a01:xxxx:yyyy:zzzz:1::1]:22222:[::1]:22 \
        -R [2a01:xxxx:yyyy:zzzz:2::1]:22222:[::1]:22 \
        lojza@server.blabla.ble

[Install]
WantedBy=multi-user.target

Nevýhoda je, že v souboru ~root/.ssh/id_rsa.lojza musí být nešifrovaný soukromý klíč uživatele lojza přijímaný serverem server.blabla.ble. Ale jinak to má jenom samé výhody. A lojza může mít hooodně omezená práva; do toho účtu se beztak nikdy nikdo neloguje.

13.1.2016 10:12 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Jen k těm závislostem, After=network-online.target je samo o sobě špatně, patří k němu ještě Wants=network-online.target, oproti tomu Requires=network.target tam vůbec nepatří, to je target ve smyslu klasického runlevelu. Ale nepopírám, že to může na některém systému v některé konfiguraci fungovat, jen se pak lidi diví, když to fungovat přestane.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.1.2016 11:57 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

IPv6 jsem ještě neřešil, no díky tvé odpovědi jsem zkoumal, jestli ho můj ISP vůbec podporuje a ne. Takže předpokládám, že bych musel na router nasadit nějaký tunel do IPv6 sítě, že? To ale degraduje tohle řešení pro případ, že bych to chtěl použít v síti, kde nemám možnost získat IPv6 adresy. Pokud se to teda nedá zařídit přímo v tom RPi, instalací nějakého IPv6 tunelu a tím získáním adresy IPv6 jen pro to jediné zařízení.

fuck the cola, fuck the pizza, all you need is slivovitza

Řešení 1× (mimi.vx)

12.1.2016 22:23 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Pokud máš k dispozici stroj s veřejnou IP, tak to můžeš vyřešit jednoduše nastavením openvpn. Jestli jsi zaregistroval jak o vánocích jezdil na mazací tramvaji vánoční stromek, tak u něj jsem to vyřešil přesně tak. To rpi totiž bylo napájené z drátu, který se na každé točně natvrdo vypínal, takže po zapnutí si to muselo samo nahodit wifi a VPN. Navíc, protože signál nebyl zcela stabilní a kvůli zaruseni to konektivitu občas ztratilo, se to muselo umět samo vzpamatovat a obnovit tunel.

13.1.2016 11:20 Karel
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Ja to resim pres sit TOR (www.torproject.org).

Staci nainstalovat tor, ktery je normalne k dispozici v repositarich distribuci, editovat soubor s nastavenim bezne v /etc/tor/torrc a odkomentovat radky s

#HiddenServiceDir /var/lib/tor/hidden_service/

#HiddenServicePort 22 127.0.0.1:22

ve slozce /var/lib/tor/hidden_service/ se pak nachazi soubor s adresou prave vytvoreneho serveru ke kteremu se jde pripojit.

Pripojeni k servru s dalsiho pocitace je pak mozne provest za pouziti torify, napr.:

$ torify ssh user@address.onion

13.1.2016 11:53 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Tyjo, to se mi líbí :-)

to vyzkouším, díky za tip. Postupem času stejně bude potřeba vytvořit internet v internetu, protože ten oficiální začíná stát dost za houby :-)

fuck the cola, fuck the pizza, all you need is slivovitza

16.1.2016 00:45 nobody
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

a tohle si zkusil? funguje?

16.1.2016 18:35 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Tím popravdě začnu, ale ještě jsem se k tomu nedostal, nenašel jsem čas na zkoušení. Chci si nastudovat tu syntaxi toho ssh, abych věděl, co ten skript vlastně dělá a jak to funguje. Chci to pochopit, aby mi to dělalo radost, né jenom slepě opsat a používat :-)

fuck the cola, fuck the pizza, all you need is slivovitza

16.1.2016 18:38 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Jinak tahle debata mi dala 3 podněty.

1) Zkusit si tvůj skript a využít SSH jako tunel.
2) Že je možné použít TOR jako jednoduchý tunel
3) Začít se zajímat o IPv6, které můj provider neposkytuje, takže nějaké tunelování...

Všechno je to na pár hodin samostudia :-)

fuck the cola, fuck the pizza, all you need is slivovitza

16.1.2016 19:38 Váš komentář
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

http://www.abclinuxu.cz/zpravicky/dve-bezpecnostni-chyby-v-openssh#26

16.1.2016 19:55 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

no... a?

fuck the cola, fuck the pizza, all you need is slivovitza

16.1.2016 18:41 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Jinak ještě jedna věc... použít SSH znamená, vystrčit SSH port do internetu. A vzhledem k tomu, že v SSH každý týden najdou nějakou kritickou díru, se to bojím udělat. Je mi jasné, že VPNka taky bude samá díra, ale už je to něco jiného. Pokud někdo bude dělat robota, který automaticky skenuje IP a porty a testuje chyby na SSH, podaří se mu průnik mnohem rychleji, než bude muset prolomit VPNku, pak oskenovat adresy vnitřní sítě a teprve napadnout zranitelné SSH.

Alespoň tak to vnímám. Nemám prostě k OpenSSH důvěru.

fuck the cola, fuck the pizza, all you need is slivovitza

17.1.2016 11:25 nobody
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

osobne mam v OpenSSH na serveru mnohem vetsi duveru nez v www prohlizece na desktopu, viz napr: ffmpeg chyba ;)

17.1.2016 12:04 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

I to je pravda, koukal jsem do logu chyb OpenSSH a neni to zase takova tragedie, jsou pouzivanejsi a mnohem zranitelnejsi aplikace.

fuck the cola, fuck the pizza, all you need is slivovitza

17.1.2016 15:25 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Asi tak. Udělejme si malé srovnání CVE od roku 2014 včetně, tedy za poslední cca 2 roky:

dovecot: 1 CVE entry
postfix: 2 CVE entries
ejabberd: 2 CVE entries
exim: 3 CVE entries
openvpn: 4 CVE entries (z toho 3 obsahují slovo "remote")
lighttpd: 4 CVE entries
nginx: 4 CVE entries
isc bind: 12 CVE entries
cups: 15 CVE entries
openssh: 17 CVE entries (z toho 13 obsahuje slovo "remote")
postgresql: 20 CVE entries
apache: 149 CVE entries
mysql: 151 CVE entries
chromium: 286 CVE entries
forefox: 301 CVE entries
chrome: 303 CVE entries

Toto srovnání neřeší, zda to či ono je zneužitelné vzdáleně a zda to je víc než jen DoS. To by asi bylo mnohem zajímavější, ale asi by bylo mnohem pracnější ta data posbírat.

Vychází mi z toho, že OpenSSH je pro většinu aplikací naprosto vyhovující. A pokud chce mít někdo jistotu, nechť to zpřístupní jen přes OpenVPN.

Hello world ! Segmentation fault (core dumped)

17.1.2016 20:04 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Vychází mi z toho, že OpenSSH je pro většinu aplikací naprosto vyhovující. A pokud chce mít někdo jistotu, nechť to zpřístupní jen přes OpenVPN.

IPsec. Ten kernelový. Tam by se v případě bugu v ESP, security policies a security associations alespoň nemuseli dohadovat, jestli se chyba počítá jako chyba v linuxu. :)

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

18.1.2016 10:15
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

...OpenSSH je pro většinu aplikací naprosto vyhovující. A pokud chce mít někdo jistotu, nechť to zpřístupní jen přes OpenVPN.

Kdysi jsem tady někomu psal, že to tak někde používám. A obdržel jsem víceméně dehonestující komentáře, že je to "security by obscurity" a že jsem tudíž lama, která si na něco hraje.

18.1.2016 13:46 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Z určitého úhlu pohledu to je pravda. Jak SSH, tak OpenVPN by mělo být dostatečně bezpečné samo o sobě. Na druhou stranu tam OpenVPN opravdu přidává jednu bezpečností vrstvu navíc, takže to není jen "by obscurity".

Hello world ! Segmentation fault (core dumped)

18.1.2016 14:13 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Používá to stejnou šifrovaci knihovnu, která je taky samá díra, že? :-)

Takže nakonec je to zase jen o tom, co nejvíce to zamotat, aby se to útočníkovi zkomplikovalo. Alias security by obscurity absolutně vede, dokud bude ten linux samá díra :-)

fuck the cola, fuck the pizza, all you need is slivovitza

18.1.2016 14:42 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Jo, to to trochu kazí.

Hello world ! Segmentation fault (core dumped)

18.1.2016 15:15 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Možná pak budeš lama, která nebude narozdíl od ostatních trpět důsledky bezpečnostní chyby. Nehledě na to, že více úrovní bezpečnosti a security by obscurity jsou dvě naprosto odlišné věci. Pokud teda nepoužíváš na obě služby stejné přístupové klíče.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

18.1.2016 18:41 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

...nebo šifrování se stejnýma dírama :-)

No, časem se dopracujeme k tomu, že nbusr123 je rozumný poměr mezi bezpečím a pohodlím. Je pravda, že docela často používám heslo 123456

fuck the cola, fuck the pizza, all you need is slivovitza

18.1.2016 18:51 nobody
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

https://xkcd.com/936/

18.1.2016 20:01 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Je pravda, že docela často používám heslo 123456

... což u dementa tvého kalibru nikoho nepřekvapí ...

18.1.2016 20:44 pavele
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Hm, zapoměl dodat, že to heslo zadává do klávesnice na svém hardwerovém tokenu. :-)

18.1.2016 20:41
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Přístup s heslem a přístup s klíčem není úplně to samé.

18.1.2016 22:07 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Jinak klíčem jsem měl namysli obecný klíč včetně zapamatovatelného ASCII řetězce.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

14.1.2016 16:53 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Díky za tip, tohle mě nenapadlo :) Používat to na něco datově náročnějšího asi nebude nic moc (třeba scp), ale na ssh super!

Cross my heart and hope to fly, stick a cupcake in my eye!

14.1.2016 20:48 mseed | skóre: 21 | blog: FastLinux
Rozbalit Rozbalit vše Re: Pristup na SSH pres "cloud"?

Jedna z možností je pomocí IPV6 Miredo

Založit nové vlákno • Nahoru

Tiskni Sdílej: