abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 12:00 | IT novinky

Společnost PINE Microsystems oznámila, že vedle miniaturních jednodeskových počítačů ROCKPro64, ROCK64, PINE H64 nebo PINE A64, notebooků Pinebook a Pinebook Pro, tabletu PineTab, chytrého mobilního telefonu PinePhone nebo IP kamery CUBE, vyvíjí také chytré hodinky PineTime. Jejich cena by měla být 25 dolarů.

Ladislav Hagara | Komentářů: 11
dnes 05:55 | Nová verze

Po 10 týdnech vývoje od vydání Linuxu 5.2 oznámil Linus Torvalds vydání Linuxu 5.3 (LKML). Přehled nových vlastností a vylepšení na stránce Linux Kernel Newbies. Nově je například povolen síťový rozsah 0.0.0.0/8. Kódové jméno Linuxu 5.3 zůstává Bobtail Squid.

Ladislav Hagara | Komentářů: 2
dnes 04:44 | Komunita

Mozilla nabídne firmám placenou podporu Firefoxu. Cena by se měla pohybovat okolo 10 dolarů za podporovanou instalaci.

Ladislav Hagara | Komentářů: 14
13.9. 22:00 | Nová verze

Po roce a čtvrt od vydání verze 12.0 byla vydána verze 13.0 zvukového serveru PulseAudio. Přehled novinek v poznámkách k vydání. Zmínit lze například podporu Dolby TrueHD a DTS-HD Master Audia.

Ladislav Hagara | Komentářů: 2
13.9. 16:33 | Zajímavý projekt

Blockchainový projekt Tezos nedávno prošel procesem hard-forku a zrodil se nový projekt Dune Network. Držitelé XTZ tokenů si již bezpečně mohou vyzvednout své DUN tokeny a delegovat je na nějakou z veřejných Dune baker služeb jako je třeba Dune Whale.

Mark Stopka | Komentářů: 9
12.9. 23:33 | Komunita

Na Humble Bundle lze zdarma na Steamu získat Endless Space Collection, tj. počítačové hry Endless Space a Endless Space - Disharmony. Endless Space Collection je oficiálně pro Windows a macOS. Díky Protonu ale také pro Linux. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 3
12.9. 20:44 | Bezpečnostní upozornění

Společnost AdaptiveMobile Security zveřejnila informace o možných útocích na SIM kartu. Útočník může pomocí SMS řídit SIM kartu a skrze ní mobilní telefon oběti. Více na stránce Simjacker.

Ladislav Hagara | Komentářů: 15
12.9. 19:44 | Nová verze

Po půl roce vývoje od vydání verze 3.32 bylo vydáno GNOME ve verzi 3.34 s kódovým názvem Thessaloniki. Videoukázka na YouTube. Vydání obsahuje 23 929 změn od přibližně 777 přispěvatelů. Přehled novinek i s náhledy v již přeložených poznámkách k vydání a v novinkách pro vývojáře a správce systémů.

Ladislav Hagara | Komentářů: 15
12.9. 11:22 | Pozvánky

Největší česká linuxácká akce LinuxDays 2019 má hotový program. Těšit se můžete na přednášky, workshopy, stánky a spoustu doprovodného programu. Zároveň s programem byla také spuštěna registrace účastníků, takže se můžete přihlašovat. Vstup je jako obvykle zdarma. Konference LinuxDays se uskuteční 5. a 6. října v pražských Dejvicích na FIT ČVUT.

Petr Krčmář | Komentářů: 7
11.9. 23:14 | Pozvánky

Spolu se společnou celosvětovou stávkou za klima proběhne 20. září také digitální stávka za klima, které se může snadno zúčastnit každý web. Česká odnož iniciativy podporuje akci Týden pro klima, v jejímž rámci probíhá mnoho aktivit po celé ČR. Zájemci o účast najdou dokumentaci a technickou podporu na českém webu akce.

milosk | Komentářů: 397
Kdy jste naposledy viděli počítač s připojeným běžícím CRT monitorem?
 (22%)
 (3%)
 (11%)
 (31%)
 (30%)
 (2%)
Celkem 126 hlasů
 Komentářů: 15, poslední včera 16:45
Rozcestník

Dotaz: sshd_config: Match dle keyfile

11.9. 20:08 Deryl | skóre: 6
sshd_config: Match dle keyfile
Přečteno: 225×

Ahoj,

každý vzdálený počítač má vygenerován vlastní klíč, jehož veřejná část je na serveru v .ssh/authorized_keys a který se použije na připojení adresáře ze serveru:

sshfs -oIdentityFile=/path/to/id_rsa root@server:/shared/path /mnt/point

Rád bych omezil použití těchto klíčů na přístup pouze k sshfs daného adresáře. Toho lze docílit v /etc/ssh/sshd_config na serveru:

Match User someuser 
ChrootDirectory /chroot/%u
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no

Potíž je, že jsem nenašel/nepochopil, zda lze nějakým způsobem filtrovat nikoli podle User, Host, atd. ale podle public key. Lze to?

Pokud by to nešlo v sshd_conf, tak bych mohl použít COMMAND=xxxxx v authorized_keys, ale netuším, co se na serveru spouští za příkaz při výše uvedeném sshfs...


Řešení dotazu:


Odpovědi

Řešení 1× (Deryl (tazatel))
12.9. 13:55 NN
Rozbalit Rozbalit vše Re: sshd_config: Match dle keyfile
Predpokladam, ze zadny ze vzdalenych PC se nepripojuje jako root a kazde vzdalene PC se pripojuje jako jiny uzivatel. Potom to vubec nemusis resit a kombinace Match User + Host + ChrootDirectory musis bohate stacit.
13.9. 16:08 Deryl | skóre: 6
Rozbalit Rozbalit vše Re: sshd_config: Match dle keyfile

Jedná se o scénář: borgmatic na všech počítačích v síti posílá zálohy na server. Stejným způsobem je zálohován i server, jen lokálně.

  • Vzdálené počítače se na server přihlásí klíčem (každý počítač svůj). Klíč je omezen jen na spuštění `borg serve` a jen na konkrétní cestu k repu.
  • Pro zálohy se sdílí jedno REPO (kvůli deduplikaci).
  • To bohužel způsobí, že se musí přepočítávat Borg cache pro repo na každém počítači při spuštění zálohy - časově náročná operace.
  • Rád bych to obešel tím, že všechny počítače budou sdílet Borg cache ze serveru (přes sshfs).

Na vzdálených počítačích běží borgmatic jako root. Původní záměr byl, že i na serveru poběží `borg serve` jako root (REPO je vlastěno rootem) a BORG_CACHE se připojí pod rootem (protože je též vlastněna rootem).

Nicméně, asi na serveru vytvořím nového uživatele vlastnícího BORG_REPO a BORG_CACHE, v chrootu přes sshd_config. Bude to snazší než si vytvářet vlastní wrapper pro klíč uživatele přihlášeného pod rootem. Předpokládám, že lokální (na serveru) borgmatic půjde prohnat přes localhost loopback stejným stylem jako vzdálené počítače.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.