Firma Murena představila /e/OS verze 2.0. Jde o alternativní sestavení Androidu bez aplikací Google. Mezi novinkami je podrobnější nastavení ochrany soukromí před sledováním aplikacemi. Murena prodává několik smartphonů s předinstalovaným /e/OS (Fairphone, repasovaný Google Pixel 5).
Do 30. května lze v rámci akce Warhammer Skulls 2024 získat na Steamu zdarma hru Warhammer 40,000: Gladius - Relics of War.
HelenOS (Wikipedie), tj. svobodný operační systém českého původu založený na architektuře mikrojádra, byl vydán ve verzi 0.14.1. Přehled novinek v poznámkách k vydání. Vypíchnou lze nabídku Start. Videopředstavení na YouTube.
BreadboardOS je firmware pro Raspberry Pi Pico (RP2040) umožňující s tímto MCU komunikovat pomocí řádkového rozhraní (CLI). Využívá FreeRTOS a Microshell.
Vývojáři KDE oznámili vydání balíku aplikací KDE Gear 24.05. Přehled novinek i s náhledy a videi v oficiálním oznámení. Do balíku se dostalo 5 nových aplikací: Audex, Accessibility Inspector, Francis, Kalm a Skladnik.
Byla vydána (𝕏) nová verze 18.0.0 open source webového aplikačního frameworku Angular (Wikipedie). Přehled novinek v příspěvku na blogu.
V neděli 26. května lze navštívit Maker Faire Rychnov nad Kněžnou, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.
Byla vydána nová stabilní verze 3.20.0, tj. první z nové řady 3.20, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Z novinek lze vypíchnou počáteční podporu 64bitové architektury RISC-V.
Společnost Jolla na akci s názvem Jolla Love Day 2 - The Jolla comeback představila telefon se Sailfish OS 5.0 Jolla Community Phone (ve spolupráci se společností Reeder) a počítač Jolla Mind2 Community Edition AI Computer.
Počítač na který se potřebujeme dostat, běží ve vnitřní síti (s neveřejnou IP adresou) a jediný způsob jakým se uživatel může dostávat na web je prostřednictvím autorizované HTTP proxy. Za předpokladu že je správce proxy paranoik jsou pro komunikaci povoleny maximálně porty 80 (http) a 443 (https).
V takovém případě nezbývá, než mít možnost spustit na vzdáleném stroji ssh démona tak aby naslouchal na některém z povolených portů.
Přitom je třeba zajistit, aby se nedostal do konfliktu s jinou aplikací. Tj. pokud na vzdáleném stroji běží také https tak může mezi ním a ssh démonem na portu 443 vznikat problém. Dejme tomu, že na proxy je povolen také port 17222. Pak tedy na vzdáleném stroji spustíme ssh démona naslouchajícího na tomto portu:
UserVenku@verejnystroj~$ /usr/sbin/sshd -p 17222
Tím získáme ssh server naslouchající na povoleném portu ke kterému se může uživatel z vnitřní sítě připojit. Protože je však v síti za autorizovanou HTTP proxy, tak to nemůže provést přímo, ale musí mít k dispozici nějaký nástroj, který mu to umožní.
Takovým nástrojem je třeba aplikace proxytunnel. Pokud je v systému nainstalovaná, stačí do souboru ~/.ssh/config v adresáři uživatele, ketrý se bude připojovat na verejnystroj přidat následující:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
Host cokoliv
ProtocolKeepAlives 30
ProxyCommand /usr/local/bin/proxytunnel -p <IPproxy>:<PortProxy> \
-u <ProxyUser> -s <ProxyUserPass> \
-d <IPverejnystroj>:17222
Je doufám jasné, že místo údajů v lomených závorkách je třeba dosadit příslušné údaje. Parametr ProtocolKeepAlives zajistí, že ssh klient v pravidelných 30 sekundových intervalech pošle datový paket, kterým spojení oživí. Pokud bychom tento parametr neuvedli, tak je velmi pravděpodobné, že by nám proxy brzy toto spojení odstřihla.
Pokud jste se dostali až sem, tak by mělo být možné se přihlásit z terminálu počítače ve vnitřní síti pomocí na stroj venku.
user@stroj~$ ssh UserVenku@cokoliv
Jistě jste si povšimli, že při připojení není uvedena přímo adresa veřejného stroje, ale název, kterým je toto připojení identifikováno v souboru ~/.ssh/config
Pokud nám výše uvedený postup funguje a uživatel ze stroje ve vnitřní síti se přihlásí na veřejný stroj, tak by již mělo jít vytvořit také ssh tunel z veřejného stroje na stroj uvnitř.
Jak už jsem uvedl, aby to bylo možné, musí běžet také na stroji ve vnitřní síti ssh démon. Většinou tomu tak je a běží na standardním portu 22, ale nemusí tomu tak být. Pak je třeba, aby měl uživatel možnost sám spustit ssh démona na některém neobsazeném portu třeba pomocí sudo
user@stroj~$ sudo /usr/sbin/sshd -p 444
Pak vytvoří tunel:
user@stroj~$ ssh -R <LibovolnyPort>:localhost:<PortSshStroje> UserVenku@cokoliv
Po vytvoření tunelu se pak může kdokoliv kdo má účet na stroji ve vnitřní sítě z tohoto veřejného stroje přihlásit na jeho stroj následujícím příkazem:
JinyUserVenku@verejnystroj~$ ssh -p <LibovolnyPort> JinyUserUvnitr@localhost
Připojení na vnitřní stroj by mělo být možné po dobu trvání tunelu. Tzn. dokud jeji uživatel z vnitřní sítě nezruší, nebo dokud "neodstřelí" démona naslouchajícího na jeho stroji.
Pro správce: Uvědomte si, že každý takový tunel je bezpečnostním rizikem pro vnitřní síť, proto dobře zvažte komu umožníte přístup k ssh na vzdáleném stroji (nahradit vnitřní stroj vlastním není až takový problém) a stávajícího ssh démona pokud možno co nejvíc zajistěte proti zneužití. Také zakažte všechny nepužívané porty a ty které necháte povolené průběžně monitorujte.
Pro uživatele: Pamatujte, že na internetu je člověk jako nahý. Každá datová komunikace se někde loguje a není vůbec žádný problém pro zkušenějšího administrátora zjistit že někdo dělá neplechu. Jen paranoik si může myslet, že mu někdo analyzuje obsah odchozích a příchozích dat, nicméně síťové adresy, použité porty, uživatelská jména a objem dat napoví mnohé. Nehřešte na benevolenci svých správců a nezneužívejte možností tunelování. Vyhnete se tak nepříjemným otázkám.
Dokument vytvořil: Aleš Kapica, 25.1.2007 10:54 | Poslední úprava: miso, 3.6.2007 20:25 | Historie změn | Zobrazeno: 2005×
Tiskni
Sdílej:
