Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

dnes 14:00 | Zajímavý projekt

Společnost Red Hat představila Fedora Hummingbird, tj. linuxovou distribuci s nativním kontejnerovým designem určenou pro vývojáře využívající AI agenty.

Pinhead | Komentářů: 1

Dusklight, hra The Legend of Zelda: Twilight Princess na počítačích a mobilních zařízeních

dnes 02:22 | Zajímavý software

Hru The Legend of Zelda: Twilight Princess od společnosti Nintendo si lze nově díky projektu Dusklight (původně Dusk) a reverznímu inženýrství zahrát i na počítačích a mobilních zařízeních. Vyžadována je kopie původní hry (textury, modely, hudba, zvukové efekty, …). Ukázka na YouTube. Projekt byl zahájen v srpnu 2020.

Ladislav Hagara | Komentářů: 0

Erlang/OTP 29.0

dnes 01:11 | Nová verze

Byla vydána nová major verze 29.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Detailní přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 0

Zranitelnost Fragnesia

včera 21:22 | Bezpečnostní upozornění

Po zranitelnostech Copy Fail a Dirty Frag přichází zranitelnost Fragnesia. Další lokální eskalace práv na Linuxu. Zatím v upstreamu neopravena. Přiřazeno ji bylo CVE-2026-46300.

Ladislav Hagara | Komentářů: 1

Sovereign Tech Agency podpoří KDE částkou 1 285 200 eur

včera 14:00 | Komunita

Sovereign Tech Agency (Wikipedie) prostřednictvím svého fondu Sovereign Tech Fund podpoří KDE částkou 1 285 200 eur.

Ladislav Hagara | Komentářů: 6

The Android Show | I/O Edition 2026

včera 12:55 | IT novinky

Google na včerejší akci The Android Show | I/O Edition 2026 (YouTube) představil celou řadu novinek: Gemini Intelligence, notebooky Googlebook, novou generaci Android Auto, …

Ladislav Hagara | Komentářů: 0

EK chystá pravidla pro věkové omezení sociálních sítí, řekla von der Leyenová

včera 12:33 | IT novinky

Evropská komise by do léta mohla předložit návrh normy omezující používání sociálních sítí dětmi v zájmu jejich bezpečí na internetu. Prohlásila to včera předsedkyně EK Ursula von der Leyenová, podle níž řada zemí Evropské unie volá po zavedení věkové hranice pro sociální sítě. EU částečně řeší bezpečnost dětí v digitálním prostředí v již platném nařízení o digitálních službách (DSA), podle německé političky to však není dostatečné a

… více »

Ladislav Hagara | Komentářů: 45

scrcpy 4.0

včera 04:11 | Nová verze

Multiplatformní open source aplikace scrcpy (Wikipedie) pro zrcadlení připojeného zařízení se systémem Android na desktopu a umožňující ovládání tohoto zařízení z desktopu, byla vydána v nové verzi 4.0.

Ladislav Hagara | Komentářů: 0

Virtuální Bastlírna vol. 62: WSL for Windows 98

12.5. 23:22 | Pozvánky

Chybí vám někdo, s kým byste si popovídali o bastlení, technice, počítačích a vědě? Nechcete riskovat debatu o sportu u piva v hospodě? Pak doražte na virtuální pokec u virtuálního piva v rámci Virtuální Bastlírny organizované strahovským MacGyverem již tento čtvrtek. Možná se ptáte, co se tak může probírat? Dají se probrat slavná výročí - kromě 55 let obvodu 555 (což je mimochodem prý andělské číslo) a vzpomínky na firmu Signetics -

… více »

bkralik | Komentářů: 2

GTK2-NG

12.5. 23:11 | Zajímavý software

GTK2-NG je komunitní fork GTK 2.24 (aktuální verze je 4.22). Oznámení a diskuse v diskusním fóru Devuanu, forku Debianu bez systemd. Není to jediný fork GTK 2. Ardour je například postaven na vlastním forku GTK 2 s názvem YTK.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / sshd_config: Match dle keyfile

Štítky: ATD

Dotaz: sshd_config: Match dle keyfile

11.9.2019 20:08 Deryl | skóre: 11
sshd_config: Match dle keyfile

Přečteno: 546×

Odpovědět | Admin

Ahoj,

každý vzdálený počítač má vygenerován vlastní klíč, jehož veřejná část je na serveru v .ssh/authorized_keys a který se použije na připojení adresáře ze serveru:

sshfs -oIdentityFile=/path/to/id_rsa root@server:/shared/path /mnt/point

Rád bych omezil použití těchto klíčů na přístup pouze k sshfs daného adresáře. Toho lze docílit v /etc/ssh/sshd_config na serveru:

Match User someuser 
 ChrootDirectory /chroot/%u
 ForceCommand internal-sftp
 AllowTcpForwarding no
 X11Forwarding no

Potíž je, že jsem nenašel/nepochopil, zda lze nějakým způsobem filtrovat nikoli podle User, Host, atd. ale podle public key. Lze to?

Pokud by to nešlo v sshd_conf, tak bych mohl použít COMMAND=xxxxx v authorized_keys, ale netuším, co se na serveru spouští za příkaz při výše uvedeném sshfs...

Řešení dotazu:

Nástroje: Začni sledovat (2) ?

Odpovědi

12.9.2019 13:55 NN
Rozbalit Rozbalit vše Re: sshd_config: Match dle keyfile

Predpokladam, ze zadny ze vzdalenych PC se nepripojuje jako root a kazde vzdalene PC se pripojuje jako jiny uzivatel. Potom to vubec nemusis resit a kombinace Match User + Host + ChrootDirectory musis bohate stacit.

13.9.2019 16:08 Deryl | skóre: 11
Rozbalit Rozbalit vše Re: sshd_config: Match dle keyfile

Jedná se o scénář: borgmatic na všech počítačích v síti posílá zálohy na server. Stejným způsobem je zálohován i server, jen lokálně.

Vzdálené počítače se na server přihlásí klíčem (každý počítač svůj). Klíč je omezen jen na spuštění `borg serve` a jen na konkrétní cestu k repu.
Pro zálohy se sdílí jedno REPO (kvůli deduplikaci).
To bohužel způsobí, že se musí přepočítávat Borg cache pro repo na každém počítači při spuštění zálohy - časově náročná operace.
Rád bych to obešel tím, že všechny počítače budou sdílet Borg cache ze serveru (přes sshfs).

Na vzdálených počítačích běží borgmatic jako root. Původní záměr byl, že i na serveru poběží `borg serve` jako root (REPO je vlastěno rootem) a BORG_CACHE se připojí pod rootem (protože je též vlastněna rootem).

Nicméně, asi na serveru vytvořím nového uživatele vlastnícího BORG_REPO a BORG_CACHE, v chrootu přes sshd_config. Bude to snazší než si vytvářet vlastní wrapper pro klíč uživatele přihlášeného pod rootem. Předpokládám, že lokální (na serveru) borgmatic půjde prohnat přes localhost loopback stejným stylem jako vzdálené počítače.

24.2.2020 17:16 majales | skóre: 30 | blog: Majales
Rozbalit Rozbalit vše Re: sshd_config: Match dle keyfile

Podařilo se vám s to s tou sdílenou Borg cache?

24.2.2020 18:26 Deryl | skóre: 11
Rozbalit Rozbalit vše Re: sshd_config: Match dle keyfile

Ano. Zatím nechávám borgmatic proběhnout každou noc. Pro připojení BORG_CACHE ze serveru jsem nakonec zvolil CIFS (Samba) namísto SSHFS.

Ale. Výhledově to chci předělat:

neb sdílení BORG_CACHE (shodného BORG_REPO) mezi několika vzdálenými počítači není doporučeno z pohledu bezpečnosti proti útoku (je to někde v dokumentaci BORG Backup).
a proto každý počítač bude mít svou vlastní BORG_REPO, tedy i svou jedinečnou BORG_CACHE (u sebe).
z hlediska deduplikace už to není takový problém, neb většinu dat uživatelů jsem mezitím přestěhoval na server do Nextcloudu - tedy pokud data náhodou nesdílí přímo přes Nextcloudu, tak je alespoň budu deduplikovat v BORG_REPO toho serveru.

Tedy cílový stav:

extra uživatel "borgbackup" na serveru pro proces "borg serve" s přístupem pouze na disk se zálohou.
borgmatic běžící s právy roota na každém počítači vč. serveru přihlašující se pomocí SSH jako borgbackup@server pomocí klíče.

Založit nové vlákno • Nahoru

Tiskni Sdílej: