Ivan's Web

В последнее время стало появляться много комментариев, оставленных ботами. Так что я отключил возможность оставлять комментарии без регистрации.

Допустим у нас имеется некая машина в локальной сети (например внутренний сервер), в шелл которой мы хотим попасть через интернет. Допустим также, что через интернет можно зайти (по SSH) только на другую машину в этой же сети (например на роутер, выпускающий из локалки в интернет). Задача: сделать это максимально просто, без прокидывания портов на роутере и т.п. Естественно, задача решаема, только если доступ по SSH есть и на роутер и на целевую машину =).

1. Настраиваем и на целевой машине и на роутере вход по SSH-ключам. Настраиваем ssh-agent, чтобы не вводить постоянно пароль к своему ключу. Кстати в Fedora "искаропки" пароль для ключа спрашивается один раз в красивом окошке.
2. Ставим на роутер netcat (любую понравившуюся реализацию).
3. Прописываем в ~/.ssh/config на своей машине (с которой подключаемся) что-то типа этого:
   

   # Роутер, доступный через интернет.
   # Если для подключения используются настройки по умолчанию - ничего прописывать не нужно.
   Host external-server.example.org
       Port 12345
       User superadmin
    
   # Целевая машина.
   # В качестве имени можно указать что угодно - оно не будет использоваться для определения IP-адреса.
   # Умолчальные настройки указывать не нужно, главное - ProxyCommand.
   Host internal.frominet
       Port 54321
       User superadmin
       # 192.168.1.2 - IP целевой машины в локальной сети. Можно указать имя хоста, если настроен локальный DNS-сервер.
       ProxyCommand ssh external-server.example.org 'netcat 192.168.1.2 %p' 

4. Выполняем:
   

   $ ssh internal.frominet

5. ???
6. PROFIT! =)

Вроде ничего не отвалилось. А вообще это ужас - читать UPGRADE.txt и ковыряться руками в наш век удобных менеджеров пакетов =).

Кажется я осилил LDAP (самый примитив: OpenLDAP + настройка PAM и NSS и под него). Попутно разобрался как работает PAM. До этого начинал осиливать раза три, но заканчивалось всё полным непонимаением того, как это всё вместе должно работать. А тут как-то взялся, почитал документацию, да и поднял =)...

Вопрос в теме на ЛОРе: "Как сбросить uptime?". Стандартными средствами - никак. Но можно написать маленький модуль для ядра на несколько строк. Это конечно злой хак, но он работает (проверил на Fedora 12 с ядром 2.6.31.12-174.2.3.fc12.x86_64) =).

$ hg clone https://uptime-reset-kmod.ivans-playground.googlecode.com/hg/ uptime-reset-kmod
$ cd uptime-reset-kmod
$ make -C /usr/src/linux-$( uname -r ) SUBDIRS=$( pwd ) EXTRA_CFLAGS="-DTST_ADDR=0x$( grep -Fw total_sleep_time /boot/System.map-$( uname -r ) | cut -d ' ' -f 1 )" modules
$ sudo insmod ./uptime-reset.ko && sudo rmmod uptime-reset

Результат работы:

[2010.02.11 09:44:52] ivan@ivan-laptop ~/projects/playground/uptime-reset-kmod
$ uptime
 09:45:51 up 21 min,  2 users,  load average: 0.00, 0.06, 0.07
 
[2010.02.11 09:45:51] ivan@ivan-laptop ~/projects/playground/uptime-reset-kmod
$ sudo insmod ./uptime-reset.ko && sudo rmmod uptime-reset
[sudo] password for root: 
 
[2010.02.11 09:46:08] ivan@ivan-laptop ~/projects/playground/uptime-reset-kmod
$ uptime
 09:46:10 up 0 min,  2 users,  load average: 0.00, 0.06, 0.07

Применять, естественно, на свой страх и риск.

P.S. По идее можно обойтись вообще без модуля ядра, а в память ядра писать из пространства пользователя через /dev/mem. Но у меня что-то сходу не вышло, хотя раньше подобное делал. В общем я не стал возиться =).

Сам explorer.exe походу никак, он не хочет запускаться через runas. Но можно через runas запустить iexplore.exe, он может работать как и обычный explorer. Для упрощения можно написать небольшой BAT-скрипт:

runas /user:Администратор "C:\Program Files\Internet Explorer\IEXPLORE.EXE ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}"

UPD:
Работает только с 6-м Internet Explorer'ом =(.

Сейчас пришло электрописьмо с сообщением о том, что скрипт, который я когда-то написал непонятно зачем и уже даже об этом забыл, был добавлен в macports =).

Надо посмотреть, может там патчи накладываются. И добавить их к себе в репозиторий на гуглокоде...

Можно указать ssh опцию "PreferredAuthentications" с заведомо несуществующим методом. Примерно так:

$ ssh -o 'PreferredAuthentications abyrwalg' linux.org.ru
Warning: Permanently added 'linux.org.ru' (RSA) to the list of known hosts.
Permission denied (publickey,gssapi-with-mic,password).
 
$ ssh -o 'PreferredAuthentications abyrwalg' freebsd.org
Warning: Permanently added 'freebsd.org' (RSA) to the list of known hosts.
Permission denied (publickey,keyboard-interactive).

• password - Обычная аутентификация по паролю. Настройка в sshd_conf - "PasswordAuthentication".
• keyboard-interactive - Интерактивная аутентификация, при которой сервер что-то спрашивает, а пользователь отвечает. Часто внешне ничем не отличается от "password", но в принципе с помощью "keyboard-interactive" можно наворотить что угодно, протокол это позволяет. Если в настройках sshd включен PAM, то он будет спрашивать пароль именно с помощью этого типа аутентификации. Настройка в sshd_conf - "ChallengeResponseAuthentication".
• publickey - С помощью открытого и закрытого ключа. Настройка в sshd_conf - "PubkeyAuthentication".

Что такое "gssapi-with-mic" - хз =).

Зеркало Fedora наконец-то готово (я надеюсь =)) к повседневному использованию. Обновлена страница с инструкциями.

P.S. Как же всё-таки черезжопно устроены репозитории у редхатообразных дистрибутивов...

Тут мне через жаббер намекнули, что в Munin'е на моём домашнем сервере шрифты говно. И действительно, мелкие цифры и буквы на графиках практически не читабельны: