Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Mastodon 4.6

dnes 13:33 | Nová verze

Mastodon (Wikipedie) - sociální síť, která není na prodej - byl vydán ve verzi 4.6. Přehled novinek s náhledy v oznámení na blogu.

Ladislav Hagara | Komentářů: 0

V Edici CZ.NIC vychází kniha Kódy, buildy, firmwary od Martina Malého

dnes 12:44 | IT novinky

V Edici CZ.NIC, knižní řady správce české národní domény, vychází nová kniha Martina Malého Kódy, buildy, firmwary. Autor po půl roce od vydání předchozího titulu přichází se svou již sedmou knihou, tentokrát zaměřenou na vývoj programového vybavení pro embedded zařízení. Publikace s podtitulem Základy vývojářského řemesla pro tvůrce hobby elektroniky nabízí praktického průvodce pro všechny, kdo své projekty vytvořené s Arduinem

… více »

Ladislav Hagara | Komentářů: 0

DevConf.CZ 2026

dnes 11:44 | Komunita

V Brně na FIT VUT probíhá dvoudenní open source komunitní konference DevConf.CZ 2026. Na programu je celá řada zajímavých přednášek, lightning talků, meetupů a workshopů. Přednášky lze sledovat i online na YouTube kanálu konference. Aktuální dění lze sledovat na Matrixu, 𝕏 nebo Mastodonu.

Ladislav Hagara | Komentářů: 0

FreeBSD 15.1

dnes 04:22 | Nová verze

Byla vydána nová verze 15.1 svobodného unixového operačního systému FreeBSD. Podrobný přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Myna, převod řeči na text v Ubuntu

včera 19:11 | Zajímavý projekt

Vývojáři Ubuntu představili projekt Myna, tj. iniciativu zaměřenou na přidání funkce převodu řeči na text do prostředí desktopu Ubuntu. Dle plánu již v Ubuntu 26.10.

Ladislav Hagara | Komentářů: 2

Lore, open source systém pro správu verzí

včera 18:33 | Zajímavý software

Společnost Epic Games představila nový open source systém pro správu verzí Lore navržený pro "bezprecedentní škálovatelnost dat i týmů a optimalizovaný pro projekty, včetně her a zábavy, které kombinují kód s velkými binárními soubory, aby uspokojil potřeby vývojářů i umělců". Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 0

NSS: inspekce u Seznam.cz byla provedena v souladu se zákonem

včera 15:33 | IT novinky

Úřad pro ochranu hospodářské soutěže (ÚOHS) provedl v říjnu 2024 místní šetření u společnosti Seznam.cz. Úřad prověřoval důvodné podezření na možné protisoutěžní jednání, konkrétně zneužití dominantního postavení. Krajský soud v Brně v květnu 2025 konstatoval, že toto šetření bylo nezákonné. Nejvyšší správní soud (NSS) včera rozhodl, že šetření bylo provedeno v souladu se zákonem. Krajský soud bude muset případ posoudit znovu.

Ladislav Hagara | Komentářů: 0

Commodore Callback 8020

včera 12:22 | IT novinky

Byl představen skládací telefon Commodore Callback 8020. Ani hloupý, ani chytrý. Pro fanoušky Commodore a digitálního minimalismu. Bez webového prohlížeče a sociálních sítí. S předinstalovaným WhatsAppem. S operačním systémem Sailfish OS.

Ladislav Hagara | Komentářů: 5

27 let stará kritická chyba v OpenBSD

včera 08:22 | Bezpečnostní upozornění

V OpenBSD byla objevena 27 let stará chyba v ppp pomocí níž lze vzdáleně obejít autentifikaci. Chyba byla nahlášena 12.6. a 14.6. byla opravena. Bližší info v článku A 27-Year-Old Authentication Bypass in OpenBSD's PPP Stack.

Max | Komentářů: 6

Evropská komise k iniciativě Stop Destroying Videogames

včera 05:22 | Zajímavý článek

Odpověď Evropské komise (pdf) k evropské občanské iniciativě Stop Destroying Videogames, jež je součástí hnutí Stop Killing Games: "Komise se domnívá, že v této fázi nemůže navrhnout právní povinnost zachovat hratelnost videoher poté, co přestaly být poskytovány komerčně. Důvodem jsou i stávající práva duševního vlastnictví. Podle autorského práva EU mají nositelé práv výlučná práva ke svým výtvorům. Kromě autorských práv mohou být

… více »

Ladislav Hagara | Komentářů: 20

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / sshd_config: Match dle keyfile

Štítky: ATD

Dotaz: sshd_config: Match dle keyfile

11.9.2019 20:08 Deryl | skóre: 11
sshd_config: Match dle keyfile

Přečteno: 549×

Odpovědět | Admin

Ahoj,

každý vzdálený počítač má vygenerován vlastní klíč, jehož veřejná část je na serveru v .ssh/authorized_keys a který se použije na připojení adresáře ze serveru:

sshfs -oIdentityFile=/path/to/id_rsa root@server:/shared/path /mnt/point

Rád bych omezil použití těchto klíčů na přístup pouze k sshfs daného adresáře. Toho lze docílit v /etc/ssh/sshd_config na serveru:

Match User someuser 
 ChrootDirectory /chroot/%u
 ForceCommand internal-sftp
 AllowTcpForwarding no
 X11Forwarding no

Potíž je, že jsem nenašel/nepochopil, zda lze nějakým způsobem filtrovat nikoli podle User, Host, atd. ale podle public key. Lze to?

Pokud by to nešlo v sshd_conf, tak bych mohl použít COMMAND=xxxxx v authorized_keys, ale netuším, co se na serveru spouští za příkaz při výše uvedeném sshfs...

Řešení dotazu:

Nástroje: Začni sledovat (2) ?

Odpovědi

12.9.2019 13:55 NN
Rozbalit Rozbalit vše Re: sshd_config: Match dle keyfile

Predpokladam, ze zadny ze vzdalenych PC se nepripojuje jako root a kazde vzdalene PC se pripojuje jako jiny uzivatel. Potom to vubec nemusis resit a kombinace Match User + Host + ChrootDirectory musis bohate stacit.

13.9.2019 16:08 Deryl | skóre: 11
Rozbalit Rozbalit vše Re: sshd_config: Match dle keyfile

Jedná se o scénář: borgmatic na všech počítačích v síti posílá zálohy na server. Stejným způsobem je zálohován i server, jen lokálně.

Vzdálené počítače se na server přihlásí klíčem (každý počítač svůj). Klíč je omezen jen na spuštění `borg serve` a jen na konkrétní cestu k repu.
Pro zálohy se sdílí jedno REPO (kvůli deduplikaci).
To bohužel způsobí, že se musí přepočítávat Borg cache pro repo na každém počítači při spuštění zálohy - časově náročná operace.
Rád bych to obešel tím, že všechny počítače budou sdílet Borg cache ze serveru (přes sshfs).

Na vzdálených počítačích běží borgmatic jako root. Původní záměr byl, že i na serveru poběží `borg serve` jako root (REPO je vlastěno rootem) a BORG_CACHE se připojí pod rootem (protože je též vlastněna rootem).

Nicméně, asi na serveru vytvořím nového uživatele vlastnícího BORG_REPO a BORG_CACHE, v chrootu přes sshd_config. Bude to snazší než si vytvářet vlastní wrapper pro klíč uživatele přihlášeného pod rootem. Předpokládám, že lokální (na serveru) borgmatic půjde prohnat přes localhost loopback stejným stylem jako vzdálené počítače.

24.2.2020 17:16 majales | skóre: 30 | blog: Majales
Rozbalit Rozbalit vše Re: sshd_config: Match dle keyfile

Podařilo se vám s to s tou sdílenou Borg cache?

24.2.2020 18:26 Deryl | skóre: 11
Rozbalit Rozbalit vše Re: sshd_config: Match dle keyfile

Ano. Zatím nechávám borgmatic proběhnout každou noc. Pro připojení BORG_CACHE ze serveru jsem nakonec zvolil CIFS (Samba) namísto SSHFS.

Ale. Výhledově to chci předělat:

neb sdílení BORG_CACHE (shodného BORG_REPO) mezi několika vzdálenými počítači není doporučeno z pohledu bezpečnosti proti útoku (je to někde v dokumentaci BORG Backup).
a proto každý počítač bude mít svou vlastní BORG_REPO, tedy i svou jedinečnou BORG_CACHE (u sebe).
z hlediska deduplikace už to není takový problém, neb většinu dat uživatelů jsem mezitím přestěhoval na server do Nextcloudu - tedy pokud data náhodou nesdílí přímo přes Nextcloudu, tak je alespoň budu deduplikovat v BORG_REPO toho serveru.

Tedy cílový stav:

extra uživatel "borgbackup" na serveru pro proces "borg serve" s přístupem pouze na disk se zálohou.
borgmatic běžící s právy roota na každém počítači vč. serveru přihlašující se pomocí SSH jako borgbackup@server pomocí klíče.

Založit nové vlákno • Nahoru

Tiskni Sdílej: