abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 20:44 | Nová verze

    Svobodný a otevřený multiplatformní editor EPUB souborů Sigil (Wikipedie, GitHub) byl vydán ve verzi 2.5.0. Stejně tak doprovodný vizuální EPUB XHTML editor PageEdit (GitHub).

    Ladislav Hagara | Komentářů: 0
    včera 12:22 | IT novinky

    Na základě národního atribučního procesu vláda České republiky označila Čínskou lidovou republiku za zodpovědnou za škodlivou kybernetickou kampaň proti jedné z neutajovaných komunikačních sítí Ministerstva zahraničních věcí ČR. Tato škodlivá aktivita, která trvala od roku 2022 a zasáhla instituci zařazenou na seznam české kritické infrastruktury, byla provedena kyberšpionážní skupinou APT31, veřejně spojovanou se zpravodajskou službou Ministerstvo státní bezpečnosti (MSS).

    Ladislav Hagara | Komentářů: 16
    včera 00:11 | Nová verze

    Google Chrome 137 byl prohlášen za stabilní. Nejnovější stabilní verze 137.0.7151.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 11 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 1
    27.5. 19:22 | Nová verze

    Byl vydán AlmaLinux OS 10 s kódovým názvem Purple Lion. Podrobnosti v poznámkách k vydání. Na rozdíl od Red Hat Enterprise Linuxu 10 nadále podporuje x86-64-v2.

    Ladislav Hagara | Komentářů: 1
    27.5. 15:11 | Nová verze

    Byl vydán Mozilla Firefox 139.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 139 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 8
    27.5. 10:44 | Komunita

    Byly publikovány výsledky průzkumu mezi uživateli Blenderu uskutečněného v říjnu 2024. Zúčastnilo se více než 7000 uživatelů. Téměř 93 % z nich například používá uživatelské rozhraní v angličtině.

    Ladislav Hagara | Komentářů: 17
    26.5. 23:55 | Zajímavý článek

    Lukáš Růžička v článku RamaLama aneb vyháníme lamy na vlastní louku na MojeFedora.cz představuje open source nástroj RamaLama umožňující spouštět jazykové modely v izolovaných OCI kontejnerech, a to bezpečně, bez potřeby mít root přístup k počítači, s podporou GPU či CPU a bez zbytečných obtížností kolem.

    Ladislav Hagara | Komentářů: 2
    26.5. 22:55 | Nová verze

    Byl vydán Sublime Text 4 Build 4200. Sublime Text (Wikipedie) je proprietární multiplatformní editor textových souborů a zdrojových kódů. Ke stažení a k vyzkoušení je zdarma. Pro další používání je nutná licence v ceně 99 dolarů. Spolu se Sublime Merge je cena 168 dolarů.

    Ladislav Hagara | Komentářů: 0
    26.5. 18:00 | Nová verze

    Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.12.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.

    Ladislav Hagara | Komentářů: 0
    26.5. 16:11 | Nová verze

    Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 25.5. Přehled novinek v Changelogu.

    Ladislav Hagara | Komentářů: 0
    Jaký je váš oblíbený skriptovací jazyk?
     (55%)
     (31%)
     (8%)
     (3%)
     (0%)
     (0%)
     (3%)
    Celkem 149 hlasů
     Komentářů: 12, poslední včera 18:42
    Rozcestník

    Dotaz: Dropbear SSH server a klíče

    3.6.2021 11:37 MilanC | skóre: 16
    Dropbear SSH server a klíče
    Přečteno: 493×
    Ahoj,

    jsem trochu zmatený, třeba mi někdo okáže poradit. Snažím se rozjet SSH server na jednom routeru, na doporučení jsem zvolil právě dropbear v poslední verzi.

    Mám ho vypřekládaný a na cílové platformě je možné jej spustit. Podle dokumentace by měl podporovat SSH2.

    Dotazy:
    - aby se uživatel mohl ověřit klíčem, musí mít jeho uživatel v systému nastaveno heslo nebo může být i prázdné? + musí mít nějaký shell.
    - dropbear využívá nějaký vlastní (binární) formát pro klíče. Lze sice převádět přes dropbearconvert do formátu openssh a naopak, ale klíče v openssh formátu nativně načíst neumí?
    - pokud si vygeneruji klíče přes /bin/dropbearkey -t rsa -f id_rsa -s 4096 > id_rsa.pub, tak v komentáři je ssh1!!! Proč?
    - pokud si vygeneruji klíče třeba přes puttygen, tak mi je ten konverzní nástroj nebere pro převod do binárního tvaru.
    - pokud si vygeneruji klíče přes ssh-keygen -t rsa -b 4096, tak tyto pak převést lze, ale stejně autorizace selže.
    - nerozumím tomu, proč dropbear server musím spouštět s odkazem na privátní klíč. Ano je mi jasné, že z PK lze odvodit public klíč. Nějak žiju v tom, že pro zprovoznění SSH přes klíče dám do putty daný PK a na cílový stroj vložím public klíč do authorized_keys, a to by mělo stačit ne? Dropbear ale při startu vyžaduje jako parametr odkaz na soubor s privátním klíčem.
    - ve většině návodů na dropbear generují souběžně rsa i dsa klíče. Má to nějaký důvod?
    
    Jsem z toho popravdě nějaký zmatený, tak budu rád, pokud někdo poradí a trochu se mi to vyjasní. Děkuji.

    Odpovědi

    3.6.2021 12:50 MilanC | skóre: 16
    Rozbalit Rozbalit vše Re: Dropbear SSH server a klíče
    Případně můžete doporučit nějaký jiný SSH server pro embedded linux, ideálně s minimem závislostí apod.
    Jendа avatar 3.6.2021 13:22 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Dropbear SSH server a klíče
    - pokud si vygeneruji klíče třeba přes puttygen, tak mi je ten konverzní nástroj nebere pro převod do binárního tvaru.
    Klíče z Putty se převedou do openssh tvaru smazáním hlavičky a patičky, smazáním nových řádků, doplněním "ssh-rsa " na začátek a volitelně doplněním komentáře, čímž to převedeš na následující případ.
    - pokud si vygeneruji klíče přes ssh-keygen -t rsa -b 4096, tak tyto pak převést lze, ale stejně autorizace selže.
    Mně v authorized_keys na OpenWRT s dropbearem fungují normálně openssh klíče. Převádět bylo podle mě potřeba jen privátní.
    - nerozumím tomu, proč dropbear server musím spouštět s odkazem na privátní klíč
    Jedná se o klíč, kterým se prokazuje server. Je to přesně stejné jako /etc/ssh/ssh_host_rsa_key u openssh. Je to klíč který by neměl opustit server (pokud má dost výkonu na to aby si ho vygeneroval sám), s klientským klíčem to nemá nic společného a klientský soukromý klíč se samozřejmě nikam z klienta nenahrává.
    - ve většině návodů na dropbear generují souběžně rsa i dsa klíče. Má to nějaký důvod?
    Historicky se používalo (i) dsa, ale to už je pasé.
    4.6.2021 21:09 MilanC | skóre: 16
    Rozbalit Rozbalit vše Re: Dropbear SSH server a klíče
    Jestli se mohu zeptat, kde authorized_keys máte uložený? v uživateli pod dropbear či ./ssh/ podadresářem nebo /etc/dropbear?

    Já ať zkouším všemožné, pořád končím takto (se souborem PK ve formátu https://snipboard.io/A7Bv8T.jpg):
    Unable to use key file "D:\router2.pk" (OpenSSH SSH-2 private key (old PEM format))
    Using username "root".
    root@192.168.1.254's password:
    případně takto (se souborem PK ve formátu https://snipboard.io/G3Rf7Z.jpg):
    Using username "root".
    Server refused our key
    root@192.168.1.254's password:
    Díky.
    4.6.2021 21:21 pavele
    Rozbalit Rozbalit vše Re: Dropbear SSH server a klíče
    Adresář .ssh musí mít práva 700 a samotný klíč práva 600.

    Klíč uživatele by měl vypadat asi takto:
    -----BEGIN RSA PRIVATE KEY-----
    Proc-Type: 4,ENCRYPTED
    DEK-Info: DES-EDE3-CBC,DF72390EE088094E
    
    j5pX6047vcx4YBSZ2kSjc3RG2Qvvr7z4Vk7QTjezauTjLvPOjTLOkW/5UbqT5EXI
    L1tpD2WmDXccOuCD+HpTAUfa0goKgWhLt8a0AbGn09L14LkKTOEwAYN0HRt8rshD
    xxxxxxxxxxxxxxxxxxxxxxxxxxxx
    -----END RSA PRIVATE KEY-----
    
    Jendа avatar 5.6.2021 01:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Dropbear SSH server a klíče
    /etc/dropbear/authorized_keys

    Jinak odkud je to načítá by šlo zjistit třeba strace.
    5.6.2021 02:10 MilanC | skóre: 16
    Rozbalit Rozbalit vše Re: Dropbear SSH server a klíče
    Ano tak to mám původně. Ale pro jistotu jsem teď ještě zkopíroval do /root/.ssh/authorized_keys. (/root je symlink do /var/root ramdisku) Všude radí něco jiného. Nicméně veškerá možnost logování je skoro žádná, nebo to na tom embedded linuxu prostě zatím neumím.

    Po zkopírování do /root/.ssh mi to začalo řvát na chybějící /var/log/wtmp, který jsem ručně založil. Ale stejně pak končím na chown/chmod. A z výpisu mám dojem, že se stejně autorizuji heslem, ale toteď neřeším, můžu to na tom klidně ladit dál.
    [1860] Jun 04 20:23:00 Child connection from 192.168.1.14:18071
    [1860] Jun 04 20:23:01 Auth succeeded with blank password for 'root' from 192.168.1.14:18071
    [1860] Jun 04 20:23:01 Exit (root) from <192.168.1.14:18071>: chmod(/dev/ttyp0, 0622) failed: Read-only file system
    [1860] Jun 04 20:23:01 wtmp_write: problem writing /var/log/wtmp: No such file or directory
    [1860] Jun 04 20:23:01 chown /dev/ttyp0 0 0 failed: Read-only file system
    [1860] Jun 04 20:23:01 chmod /dev/ttyp0 0666 failed: Read-only file system
    [1861] Jun 04 20:23:21 Child connection from 192.168.1.14:18074
    [1861] Jun 04 20:23:22 Auth succeeded with blank password for 'root' from 192.168.1.14:18074
    [1861] Jun 04 20:23:22 Exit (root) from <192.168.1.14:18074>: chmod(/dev/ttyp0, 0622) failed: Read-only file system
    [1861] Jun 04 20:23:22 wtmp_write: problem writing /var/log/wtmp: No such file or directory
    [1861] Jun 04 20:23:22 chown /dev/ttyp0 0 0 failed: Read-only file system
    [1861] Jun 04 20:23:22 chmod /dev/ttyp0 0666 failed: Read-only file system
    8.6.2021 22:13 MilanC | skóre: 16
    Rozbalit Rozbalit vše Re: Dropbear SSH server a klíče
    Tak jsem se posunul. Potíž dělal opravdu read-only /dev/, kde si nemohl vytvořit potřebný terminál.

    Řešení: Udělal jsem úpravu mého image, tak, že po startu nahradím /dev čistým tmpfs a znovu do něj dev vygeneruji přes mdev. Neobešlo se to bez nějakých změn v kernelu a busyboxu...
    echo /bin/mdev > /proc/sys/kernel/hotplug
    mount -t tmpfs mdev /dev
    mdev -s
    mkdir /dev/pts
    Pořád se mi ale nedaří s těmi klíči. Už jsem si tam přidal strace a podle výpisu tak nějak tuším proč. On doplňuje do cesty domovský adresář uživatele (root), ale v mém případě ho mám prázdný.
    [pid  1426] stat64("/", {st_mode=S_IFDIR|0755, st_size=197, ...}) = 0
    [pid  1426] stat64("//.ssh", 0x7fe79730) = -1 ENOENT (No such file or directory)
    
    viz open_known_hosts_file (cli-kex.c)

    Zkoušel jsem i exportnout proměnnou HOME do překladu, ale žádný rozdíl. Jinak known_hosts mám i v /etc/dropbear, ale tam to evidentně nehledá (za což asi může spouštění s -r /var/dropbear/id_rsa).
    3.6.2021 13:24 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Dropbear SSH server a klíče
    aby se uživatel mohl ověřit klíčem, musí mít jeho uživatel v systému nastaveno heslo nebo může být i prázdné?
    Heslo může být prázdné. Ale účet nesmí být uzamčen/zakázán.
    nerozumím tomu, proč dropbear server musím spouštět s odkazem na privátní klíč. Ano je mi jasné, že z PK lze odvodit public klíč. Nějak žiju v tom, že pro zprovoznění SSH přes klíče dám do putty daný PK a na cílový stroj vložím public klíč do authorized_keys, a to by mělo stačit ne? Dropbear ale při startu vyžaduje jako parametr odkaz na soubor s privátním klíčem.
    Myslím, že to bude spíš privátní klíč serveru.
    ve většině návodů na dropbear generují souběžně rsa i dsa klíče. Má to nějaký důvod?
    Tradice. DSA se používalo pro zpětnou kompatibilitu a prostě se to stále kopíruje do novějších návodů, protože málokoho z autorů těch návodů napadne zamyslet se nad tím a změnit to.
    pokud si vygeneruji klíče přes ssh-keygen -t rsa -b 4096, tak tyto pak převést lze, ale stejně autorizace selže
    Bez podrobnějších informací, třeba co je v logu, vám těžko někdo poradí.
    3.6.2021 14:02 MilanC | skóre: 16
    Rozbalit Rozbalit vše Re: Dropbear SSH server a klíče
    Děkuji za odpovědi.

    Chápu to tedy tak, že ten klíč/klíčový pár v tom dropbear formátu, který přímo dropbear využívá je tedy serverový a tedy mě vůbec nemusí trápit, že je SSH1? A tedy s tím vygenerovaným uživatelským klíčovým párem nemá nic společného. Ten použiji jako vždy, putty + authorized_keys a může být SSH2 formát?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.