В предыдущей статье я рассказал, как добавить проверку одноразовых кодов при логине на свой сервер по SSH. Статья завершалась словами «если ходим по ключу — двухфакторная аутентификация не работает (не используется PAM)».
С недавнего времени, после выпуска OpenSSH версии 6.2, ситуация поменялась к лучшему.
+ 
Осторожно: данный пост может вызывать непродолжительное обострение паранойи
Привет! Не верите ли вы в популярные продукты для защищённой переписки так, как не верю в них я? Например, в браузерные крипточаты с шифрованием на стороне клиента, или в p2p-криптомессенжеры?
В данном посте речь пойдет об организации защищённого общения между двумя собеседниками. Он адресован таким же недоверчивым людям как я, поэтому в нём не будет ни кода, написанного мной, ни изобретённых на коленке протоколов и алгоритмов. Будет использоваться только библиотека openssl и набор программ openssh.
Если вам, как и мне, время от времени приходится пользоваться SSH, то вы оцените небольшое дополнение для OS X, разработанное Тревором Фитцжеральдом — Shuttle. Оно позволяет повесить быстрый доступ к нужным хостам на иконку в верхней панели.
Скачать приложение можно по ссылке http://fitztrev.github.io/shuttle/
Читать полностью »
Сегодня я прочёл на русском националистическом сайте «Спутник и Погром» новость «ФСБ хочет запретить защиту от электронной слежки», основанную на опубликованной сегодня же «Известиями» новости «Силовики предлагают запретить ПО, скрывающее пользователя в Сети». И новость эта такова, что от неё волосы должны дыбом стать на голове!
Общественный совет при ФСБ России (его логотип я привожу справа) счёл нужным (вероятно, на заседании 29 мая) предложить Госдуме внесение таких поправок в закон «Об информации, информационных технологиях и о защите информации», которые сделают противозаконными все программы, маскирующие информационные данные и IP-адреса пользователей. Это касается и браузера Tor, и анонимизирующих сайтов, позволяющих при помощи обычного браузера переходить с изменённым IP-адресом на некоторый другой сайт (заблокированный за «экстремизм», за «пропаганду суицида», за «пропаганду наркотиков», за «педофилию») и читать этот сайт невозбранно (быть может, втайне язвительно посмеиваясь над Роскомнадзором — кто знает?…). Теперь будет не до смеха.
Интересны приведённые «Известиями» реплики отдельных лиц в связи с этой инициативою.
Анатолий Григорьевич Кучерена (член Общественного совета при ФСБ, на выборах 2012 года ставший доверенным лицом Путина) заявил непосредственно «Известиям», что они готовят рекомендации депутатам о необходимости введения ответственности за создание программного обеспечения, позволяющего посещать запрещённые сайты. «Принять чёткий закон, в котором будут прописаны санкции, способные удержать программистов от желания создавать вредоносные программные продукты», — обозначил Кучерена намерения борцов с сетевою анонимностью.
Мнение Леонида Леонидовича Левина (первого заместителя комитета Госдумы по информационной политике) сводится к тому, что анонимайзеры используют люди, которые намереваются совершить какие-то незаконные действия, или те, кому есть что скрывать.
Сайт «Спутник и Погром» прибавляет, что после Tor и анонимизаторов неизбежно начнётся борьба против VPN — и это мнение я полагаю вполне справедливым, даже с прибавкою: не только VPN, но и SSH, а за ними и HTTPS, вероятно, и SSL в целом.
Речь пойдет об использовании rmate, небольшого скрипта позволяющего из консоли открыть удаленный документ в локальном текстовом редакторе, вместо nano или vim, он был написан для TextMate и те кто перешел на ST2 с этого редактора, наверняка пользуются этим инструментом, да и «матерые разрабы» не найдут в посте много нового, но если вы только начали пользоваться ST2 и единственный инструмент удаленного редактирования о котором вы слышали, это плагин SFTP, добро пожаловать под кат за подробностями.
Читать полностью »
Вы когда-нибудь интересовались механизмом работы ssh-ключей? Или тем, насколько безопасно они хранятся?
Я использую ssh каждый день много раз — когда запускаю git fetch или git push, когда развертываю код или логинюсь на сервере. Не так давно я осознал, что для меня ssh стал магией, которой я привык пользоваться без понимация принципов ее работы. Мне это не сильно понравилось — я люблю разбираться в инструментах, которые использую. Поэтому я провел небольшое исследование и делюсь с вами результатами.
По ходу изложения встретится много аббревиатур. Они не помогут понять идеи, но будут полезны в том случае, если вы решите погуглить подробности.
Итак, если вам доводилось прибегать к аутентификации по ключу, то у вас, скорее всего, есть файл ~/.ssh/id_rsa или ~/.ssh/id_dsa в домашнем каталоге. Это закрытый (он же приватный) RSA/DSA ключ, а ~/.ssh/id_rsa.pub или ~/.ssh/id_dsa.pub — открытый (он же публичный) ключ. На сервере, на котором вы хотите залогиниться, должна быть копия открытого ключа в ~/.ssh/authorized_keys. Когда вы пытаетесь залогиниться, ssh-клиент подтвержает, что у вас есть закрытый ключ, используя цифровую подпись; сервер проверяет, что подпись действительна и в ~/.ssh/authorized_keys есть открытый ключ, и вы получаете доступ.
Что же хранится внутри закрытого ключа?
Коллеги разработчики и ИТ-профессионалы, спешу поделиться подробностями об очередном обновлении облачной платформы Windows Azure. 26 апреля Скотт Гатри представил в своем блоге очередную порцию новинок, которые касаются работы виртуальных машин и сетей, а также других облачных сервисов. Кроме того, в анонсе был представлен долгожданный обновленный набор инструментов Ruby SDK, который позволит приложениям на Ruby легко интегрироваться с облачными сервисами Windows Azure. Ниже вы найдете более подробное описание этих, а так же других, не описанных у Скотта Гатри нововведениях.
Основным нововведением данного обновления платформы можно смело назвать новый функционал виртуальных сетей для обеспечения взаимодействия типа Point-to-Site, то есть без необходимости в VPN-устройстве на стороне клиента!
Что это означает? Это означает, что теперь к виртуальной сети в Windows Azure можно подключаться из обычного ПК вне корпоративной сети. Такие возможности открывают огромное число новых сценариев применения облачной платформы и виртуальных сетей.
Давно меня заботила проблема, что пользователь шаред-хостинга не всегда знает, что происходит с его аккаунтом — зашёл ли кто по ftp, выполнилось ли задание cron, был ли доступ по ssh, куда делось письмо и вообще отправлялось ли. У большинства хостеров (и у нас в том числе) пользователь мог задать вопрос в службу техподдержки и ждать, когда специалист с соответствующими правами и квалификацией сделает подборку нужных логов. Бонусная проблема — нельзя вот так просто взять и одной командой посмотреть записи в логах относящиеся к пользователю. Это создаёт трудности для системного администратора.
Казалось бы простая задача с самого начала начала преподносить сюрпризы.
Читать полностью »
Привет знатокам.
Есть ли возможность запустить на выполнение набор SSH команд, высылая почтовое сообщение?
Объясняю предпосылку.
Я не знаток всех этих сложных команд и программ для администрирования web-ресурса, но пришлось освоить некоторые SSH команды: архивация сайта, перекидывание архивов с хоста на хост, команды дампа и импорта БД и т.п. Пользовался xShell4 и написал наборы команд для разных задач.
Всем привет! Думаю у каждого, кто когда-либо настраивал Jenkins для работы с Git-ом возникала проблема генерации ключей на Node-ах.
В очередной раз когда мне этим пришлось заняться я оказался в нелёгкой ситуации — ssh доступа к серверу с Jenkins-ом и к его слейвам у меня не было и, соответственно, ключи я сгенерировать не мог. Но всё оказалось не так плохо.
