Na GOG.com běží Spring Sale. Při té příležitosti lze získat zdarma počítačovou hru Lorelai (ProtonDB).
Curl, řádkový nástroj a knihovna pro přenos dat po různých protokolech, slaví 25 let. Vydána byla nová verze 8.0.0. Mimo jiné řeší 6 zranitelností.
V sobotu 25. března proběhne Arduino Day 2023. Od 14:00 lze sledovat oficiální stream. Zúčastnit se lze i lokálních akcí. V Česku jsou aktuálně registrovány dvě: v Praze na Matfyzu a v Poličce v městské knihovně.
Fabrice Bellard, tvůrce FFmpeg nebo QEMU, představil TextSynth Server. Jedná se o webový server nabízející REST API k velkým AI jazykovým modelům. CPU verze je k dispozici zdarma jako binárka pod licencí MIT. GPU verze je komerční. Vyzkoušet lze na stránkách TextSynth.
Na konferenci LibrePlanet 2023 byly vyhlášeny ceny Free Software Foundation. Oceněni byli Eli Zaretskii za dlouhodobé příspěvky (správce Emacsu), Tad „SkewedZeppelin“ za nové příspěvky (správce DivestOS, distribuce Androidu) a projekt GNU Jami za společenský přínos.
Projekt Libreboot (Wikipedie) vydal novou verzi 20230319 svého svobodného firmwaru nahrazujícího proprietární BIOSy. Přibyla například podpora Lenovo ThinkPadů W530 a T530. Libreboot je distribucí Corebootu bez proprietárních blobů.
Na YouTube jsou k dispozici videozáznamy z 20. konference SCALE (Southern California Linux Expo). Závěrečnou přednášku měl dnes již osmdesátiletý Ken Thompson. Na otázku, jaký operační systém používá, odpověděl: "Většinu svého života jsem používal Apple, protože jsem se do této společnosti tak trochu narodil. Poslední dobou, myslím posledních pět let, jsem ale kvůli Applu více a více depresivní. To, co dělá s něčím, co by vám mělo umožnit
… více »Byla vydána verze 10.00 linuxové distribuce SystemRescue, původně SystemRescueCd, určené pro záchranu systémů a dat. Přehled novinek v changelogu. Linux byl povýšen na verzi 6.1.20.
Byla vydána verze 16.0.0 překladačové infrastruktury LLVM (Wikipedie). Přehled novinek v poznámkách k vydání: LLVM, Clang, LLD, Extra Clang Tools, Libc++ a Polly.
O víkendu probíhá v Bostonu, a také virtuálně, konference LibrePlanet 2023 organizovaná nadací Free Software Foundation (FSF).
Řešení dotazu:
To jsou porty, které nemusí být vždy otevřené.Takže všechny. Ale osobně bych sázel na tcp/443, akorát mi docela vadí to, že TCP VPN jsou zoufale neefektivní a zvlášť trpí na sebemenší problémy na síti. Nicméně jakákoli TCP VPN se dá provozovat na jakémkoli TCP portu a stejnětak jakákoli UDP VPN se dá provozovat na jakémkoli UDP portu. IPsec se dá provozovat přímo nad IP nebo přes UDP. I proto má Microsoft SSTP jako výchozí transport tcp/443. Nenarazil jsem na situaci, kdy by bylo potřeba namísto tcp/443 použít tcp/80, ale stát se to může. O ostatních silně pochybuju. Jinak největší záběr a ještě podstatně horší výkon mají DNS tunely, které fungují i za spoustou captive portálů. :D
je nastaveno aby pri spojeni se pustil sleep na hodne dlouho, povoleno jen presmerovani pozadovaneho portu a ruzne dalsi omezeni
cd /home/uzivatel_na_serveru/.ssh/ # pokud neni, tak vytvorit authorized_keys touch authorized_keys # nastavil bezpecne prava chmod 600 authorized_keys # do souboru vlozis publik klic od klienta a pred nej (na zacatek radku s klicem) vlozis: command="/bin/sleep 4294967201",no-agent-forwarding,no-pty,no-user-rc,no-X11-forwarding,permitopen="localhost:22201"na klientu: # skript co kontroluje spojeni a kdyz neni, tak ho nahodi, auto spousteni muzes pridat do cronu
#!/bin/sh sshcmd="ssh -f uzivatel_na_serveru@server -R 22201:localhost:22 sleep 3" if [ "$(ps aux|grep "${sshcmd}"|grep -v grep)" = "" ]; then # pokud ma spojeni aktivovat bezny uzivatel: su -c "${sshcmd}" jmeno_uzivatele_na_klientu # nebo pokud by mel spojeni aktivovat primo root: "${sshcmd}" fize serveru se pak pripojis pomoci (port je definovan na klientu i serveru, zmen oboje pokud chces jinej):
ssh -p 22201 localhostpokud by se spojeni kouslo, muzes na serveru vyvolat preruseni pomoci zabiti procesu sleep, jehoz cislo zjistis pres:
ps aux | grep 4294967201nebo naprasaka, pokud vis ze jinej sleep bezet nemuze, tak:
killall sleepa nasledne pockas nez klientuv cron nenahodi skriptem spojeni znovu...
Da se to nejak zaridit?
Ano, dá. Připoj se k tomu stroji přes IPv6. Pak nebude za NATem.
Jiná možnost: ssh -f -N -R 22222:[::1]:22 server.s.veřejně.dostupnou.ip
Pak stačí připojit se na SSH -p 22222 server.s.veřejně.dostupnou.ip
Všechny podrobnosti jsou v manuálových stránkách. Ale je lepší si tenhle voser ušetřit a použít prostě IPv6.
Pokud jde o automatický SSH tunel, unit file pro přesně takovou službu může na tom RPi vypadat takto:
[Unit] Description=SSH in SSH tunnel to Whoknowswhere After=network-online.target Requires=network.target [Service] Restart=always StartLimitInterval=0 Type=forking ExecStart=/usr/bin/ssh \ -i /root/.ssh/id_rsa.lojza -f -C -N \ -o ConnectTimeout=10 \ -o ServerAliveInterval=15 \ -o ServerAliveCountMax=2 \ -R [::1]:22222:[::1]:22 \ -R [2a01:xxxx:yyyy:zzzz::1]:22222:[::1]:22 \ -R [2a01:xxxx:yyyy:zzzz:1::1]:22222:[::1]:22 \ -R [2a01:xxxx:yyyy:zzzz:2::1]:22222:[::1]:22 \ lojza@server.blabla.ble [Install] WantedBy=multi-user.targetNevýhoda je, že v souboru
~root/.ssh/id_rsa.lojza
musí být nešifrovaný soukromý klíč uživatele lojza
přijímaný serverem server.blabla.ble
. Ale jinak to má jenom samé výhody. A lojza
může mít hooodně omezená práva; do toho účtu se beztak nikdy nikdo neloguje.
After=network-online.target
je samo o sobě špatně, patří k němu ještě Wants=network-online.target
, oproti tomu Requires=network.target
tam vůbec nepatří, to je target ve smyslu klasického runlevelu. Ale nepopírám, že to může na některém systému v některé konfiguraci fungovat, jen se pak lidi diví, když to fungovat přestane.
1) Zkusit si tvůj skript a využít SSH jako tunel. 2) Že je možné použít TOR jako jednoduchý tunel 3) Začít se zajímat o IPv6, které můj provider neposkytuje, takže nějaké tunelování...Všechno je to na pár hodin samostudia
Vychází mi z toho, že OpenSSH je pro většinu aplikací naprosto vyhovující. A pokud chce mít někdo jistotu, nechť to zpřístupní jen přes OpenVPN.IPsec. Ten kernelový. Tam by se v případě bugu v ESP, security policies a security associations alespoň nemuseli dohadovat, jestli se chyba počítá jako chyba v linuxu. :)
...OpenSSH je pro většinu aplikací naprosto vyhovující. A pokud chce mít někdo jistotu, nechť to zpřístupní jen přes OpenVPN.Kdysi jsem tady někomu psal, že to tak někde používám. A obdržel jsem víceméně dehonestující komentáře, že je to "security by obscurity" a že jsem tudíž lama, která si na něco hraje.
Je pravda, že docela často používám heslo 123456... což u dementa tvého kalibru nikoho nepřekvapí ...
Tiskni
Sdílej: