Ivan's Web

Допустим у нас имеется некая машина в локальной сети (например внутренний сервер), в шелл которой мы хотим попасть через интернет. Допустим также, что через интернет можно зайти (по SSH) только на другую машину в этой же сети (например на роутер, выпускающий из локалки в интернет). Задача: сделать это максимально просто, без прокидывания портов на роутере и т.п. Естественно, задача решаема, только если доступ по SSH есть и на роутер и на целевую машину =).

1. Настраиваем и на целевой машине и на роутере вход по SSH-ключам. Настраиваем ssh-agent, чтобы не вводить постоянно пароль к своему ключу. Кстати в Fedora "искаропки" пароль для ключа спрашивается один раз в красивом окошке.
2. Ставим на роутер netcat (любую понравившуюся реализацию).
3. Прописываем в ~/.ssh/config на своей машине (с которой подключаемся) что-то типа этого:
   

   # Роутер, доступный через интернет.
   # Если для подключения используются настройки по умолчанию - ничего прописывать не нужно.
   Host external-server.example.org
       Port 12345
       User superadmin
    
   # Целевая машина.
   # В качестве имени можно указать что угодно - оно не будет использоваться для определения IP-адреса.
   # Умолчальные настройки указывать не нужно, главное - ProxyCommand.
   Host internal.frominet
       Port 54321
       User superadmin
       # 192.168.1.2 - IP целевой машины в локальной сети. Можно указать имя хоста, если настроен локальный DNS-сервер.
       ProxyCommand ssh external-server.example.org 'netcat 192.168.1.2 %p' 

4. Выполняем:
   

   $ ssh internal.frominet

5. ???
6. PROFIT! =)

Сам explorer.exe походу никак, он не хочет запускаться через runas. Но можно через runas запустить iexplore.exe, он может работать как и обычный explorer. Для упрощения можно написать небольшой BAT-скрипт:

runas /user:Администратор "C:\Program Files\Internet Explorer\IEXPLORE.EXE ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}"

UPD:
Работает только с 6-м Internet Explorer'ом =(.

Можно указать ssh опцию "PreferredAuthentications" с заведомо несуществующим методом. Примерно так:

$ ssh -o 'PreferredAuthentications abyrwalg' linux.org.ru
Warning: Permanently added 'linux.org.ru' (RSA) to the list of known hosts.
Permission denied (publickey,gssapi-with-mic,password).
 
$ ssh -o 'PreferredAuthentications abyrwalg' freebsd.org
Warning: Permanently added 'freebsd.org' (RSA) to the list of known hosts.
Permission denied (publickey,keyboard-interactive).

• password - Обычная аутентификация по паролю. Настройка в sshd_conf - "PasswordAuthentication".
• keyboard-interactive - Интерактивная аутентификация, при которой сервер что-то спрашивает, а пользователь отвечает. Часто внешне ничем не отличается от "password", но в принципе с помощью "keyboard-interactive" можно наворотить что угодно, протокол это позволяет. Если в настройках sshd включен PAM, то он будет спрашивать пароль именно с помощью этого типа аутентификации. Настройка в sshd_conf - "ChallengeResponseAuthentication".
• publickey - С помощью открытого и закрытого ключа. Настройка в sshd_conf - "PubkeyAuthentication".

Что такое "gssapi-with-mic" - хз =).

Тут мне через жаббер намекнули, что в Munin'е на моём домашнем сервере шрифты говно. И действительно, мелкие цифры и буквы на графиках практически не читабельны:

Из одного недавнего срача на ЛОРе узнал, что торренто-качалки под Windows умеют вытаскивать ссылки на torrent-файлы из RSS-лент и ставить их на закачку. Более того, оказывается на используемых мной трекерах (novafilm.tv и lostfilm.tv) подходящие ленты есть. Подумал я и решил, что автоматизация закачек свежих серий - штука хорошая. Сначала начал писать скрипт на shell'е, но он получался громоздким и страшным, так что где-то на полпути бросил и переписал на python'е. Вот результат: rsstorrents (качать с помощью mercurial). Этот скрипт запускается из cron'а, проверяет обновления RSS-лент на трекерах, вытаскивает ссылки на torrent-файлы, отфильтровывает только нужное регекспами и скачивает torrent-файлы в отдельную директорию. Ах да, ещё отправляет электрописьмо со списком скачанных файлов =).

Далее идёт краткая инструкция...

В этой заметке описан простейший способ создания самоподписанного (self-signed) SSL-сертификата для нескольких DNS-имён. Нужно это для того, чтобы браузеры не ругались при заходе на один сервер с одним сертификатом по разным именам (например example.org, www.example.org и example.info).

А вот и первая заметка: о том, как добавлять в линуксовый Chromium SSL-сертификаты, чтобы он не выдавал предупреждение при заходе по https на сайты с самоподписанными сертификатами. Скрипт для автоматизации рутины прилагается =).