VPN через linux — это вам не фиги воробьям крутить!

Есть у нас корпоративный VPN и сделан он на CheckPoint. На винду приходится ставить отдельный клиент. Говорят, что есть умельцы, которые настроили не то vpnc, не то SwanVPN на работу с ним, но точных настроек нет. Я попробовал сегодня помыкаться с vpnc, но ничего не получилось. И что же вы думаете? Потом я нашел статью как делать a-la VPN средствами ssh! Читать далее

Корпоративные админы считают 5222 дырой в безопасности, а 22 — нет.

Попросил открыть на свой сервер XMPP. Отказали, потому что, если всем всё открывать, то это будет бардак. И вообще, нельзя, потому что через дыру могут всё поломать. На вопрос о том, что порт 22 открыт, а он значительно бОльшая дыра, мне сказали, что они знают, что там пароль надо вводить, и что там шифрование.
Если 5222 и 5223 не открыты, то свой полноценный сервер не получится, да?

Чудес не бывает. Вы мне правильно подсказали про ssh без пароля.

Как вы мне и подсказывали, беда с логином в правах. Я не знаю как так получилось с этими правами, что в один прекрасный момент времени у меня они поменялись, но факт остаётся фактом. И мне достаточно было посмотреть ещё и логи авторизации, что бы увидеть:

# tail -f /var/log/auth.log
Dec 10 16:56:05 ibahost sshd[16023]: Authentication refused: bad ownership or modes for directory /root/.ssh
Dec 10 16:56:59 ibahost sshd[16023]: Accepted password for root from 172.16.212.187 port 41485 ssh2

После этого я открыл аналогичный каталог на другом сервере, где всё работает и увидел:

drwxr-xr-x 25 root root 4096 Дек 10 16:51 root
drwx—— 2 root root 4096 Авг 13 20:45 .ssh

При помощи chmod сделал такие же права на сломанном сервере и всё заработало. Причём, переделывать пришлось права и на root, и на .ssh.

Кстати, подскажите как сделать команду ls -l /root так, что бы она показала мне конкретно одну строчку каталог root с правами. И ещё как получить в списке права в виде цифр, так что бы не мучаться с буквами, а прямо цифрой зачмодить аналогичные права куда надо.

Тонель через ssh. То ли лыжи не едут…

Нашел статейку, доступнее которой уже и придумать трудно. У меня ситуация такая: надо из интернета достучаться до sametime сервера, находящегося в локальной сети. Пишу на своём ноутбуке:

ssh root@имя-моего-сервера -L 1533:sametime.iba:1533

Собственно, получаю приглашение вызываемого сервера, а sametime клиент никуда не соединяется. Что я делаю не так?

Мои впечатления от подключения X11 forward через ssh

Собственно, руководствовался я статьёй, которую уже себе сохранил.

Самое главное ощущение: это не так сложно, как казалось. Очень просто и быстро. С другой стороны, ощущение, что я не знаю зачем мне это надо. Ну… разве что окошко от ноутбука вытащить на рабочий комп. Потому что у меня на серверах у меня только консольки. И я просто тупо не знаю что я могу там делать с гуём. Ну… вот сейчас xen копаю, думаю, что там понадобится.

Xming на оффсайте какой-то мутный. За бабло только хотят отдавать. Но я скачивал вот тут. Там без бабла можно. И надо ставить только одну вот эту программку.

Сохранил конфигурацию XLaunch, сохранил и сделал иконку с параметром -load с указанием на эту конфигурацию. Для моего случая переключения раскладки там вот такие опции:

-dpi 96 -xkblayout us,ru -xkbvariant basic,winkeys -xkboptions grp:alt_shift_toggle

Заработали с полтычка и PuTTY и Bitvise Tunnelier. Надо будет для последнего подобрать параметры, что бы запускались для всех компов с возможностью графики 🙂

Пятничное чистосердечное признание: у меня на всех серверах…

У меня на всех серверах один и тот же рутовый пароль (d3he2s72), создан одинаковый пользователь со стандартным паролем (как в gmail). Я взял ключ для ssh и раскидал по всем рутам на моих серверах. И сейчас логинюсь с ноутбука и рабочего компа (закрытый ключ один и тот же)  как root.

А как это делают настоящие герои? Как сделать правильно. Что бы по науке секьюрно, но не гемрройно. Пора переучиваться на как надо.

Я сделал качественной новый шаг в консоли линукса

Как-то раньше я пользовался командами в консоли линукса по одной. Ну разве что перенаправляя их в grep или less. Сегодня у меня сложилась ситуация, когда я потерял свой сервер. Ну… он установлен во временной среде и мне надо на нём выполнить кое-какие команды. Сам сервер отвечает, потому что zabbix его видит замечательно. Ах, да! Самое главное, что сервер получает адрес от DHCP и почему-то не отвечает по тому адресу к которому я уже привык. В прошлый раз в аналогичной ситуации я смотрел дома фильм, а сам руками набирал команду ssh 172.16.16.12, Enter, Ctrl-C , предыдущая команда, менял последний октет на единицу и снова. Я дошел до 36 и сервер нашелся. Сегодня мне стало лень выполнять эту процедуру ещё раз, поэтому я немного полазил в справочниках и придумал строку:

for i in `seq 0 255`; do echo $i, `curl 172.16.16.$i:22 —connect-timeout 2`; done 2>/dev/nul | grep SSH

Правда ничего не нашел… Где-то я сам себя перемудрил 🙂

Что мы делаем в самом начале после установки 10.04?

Для начала идём в центр приложений ubuntu и сносим evolution и bittorrent, но устанавливаем chrome, cheese и gimp.

Потом из командной строки устанавливаем apt-get install ssh mc nfs samba

Потом подмонтируем диск с образом предыдущего убунту командой mount -o loop /путь-к-файлу.iso /mnt/old_disk

Копируем весь каталог ~/.local/share/rhythmbox/rhythmdb.xml со старого диска на новый. Это настройки аудиопроигрывателя (разумеется, сами аудиофайлы на другом диске и скопированы в тот же путь, как и раньше)

Скоптровать каталог ~/.ssh — это любимый приватный ключ, открытый к которому узнают мои любимые сервера.

Переписать ~/.config/f-spot — там настройки для фотоальбома (опять же сами фото лежат по тому же пути, что и в предыдущей версии убунты.

Параметры запуска ssh из-под windows

Раньше я уже делал заметку о том как из-под windows запускать красиво и без геморроя терминал линукса через ssh. Я дополняю своё мнение. Что бы в трее после каждой сессии не оставалось запущенного приложения, надо добавить параметр -exitOnLogout. Теперь полная версия командной строки выглядит так:

start tunnelier -host=ibah.iba.by -user=root -loginOnStartup -exitOnLogout -openSFTP=n -keypairFile=d:\users\beliashou\id_rsa

Хитрости работы с ssh

Это полный копипаст отсюда

хитрости SSH

Ssh (secure shell) – это программа, позволяющая получить защищенный доступ к удаленным системам. Большинству из вас она должна быть хорошо знакома, однако не все знают, что ssh обладает рядом дополнительных мощных возможностей, таких как вход без запроса пароля, автоматическое выполнение комманд в удаленной системе и даже монтирование удаленных папок. Часть из них уже упоминалось в ранее выходивших статьях на эту тему, кое-что описывается на страницах нашего журнала впервые.
Читать далее