[Sysadmins] very secure remote control

[Sysadmins] very secure remote control

[rs]

Здравствуйте,

  решил вот организовать удалённый контроль сервака(АЛМ2.4) с помощью
  ssh через инет.
  как сделать наиболее безопасное соединение с минимальным трафиком?
  сразу возникает вопрос: сколько примерно жрет ssh-сессия трафика
  при работе например с mc?
  подумал про VPN-соединение, есть-ли какой-то специализированный
  способ организации VPN только для ssh, или достаточно сделать pppoe
  и разрешить через него только ssh-сессии на нестандартном порту?
  сколько примерно ЭТО будет жрать трафика?
____________________________ 
С уважением,
 системный администратор
 СГТУ, каф."Системотехника"
 AND
 ЗАО "Тесар-СО",
 Егоров Стас
 ICQ:270805968
 mailto:rs@sstu.ru

Re: [Sysadmins] very secure remote control

[Genix]

rs wrote:

>   решил вот организовать удалённый контроль сервака(АЛМ2.4) с помощью
>   ssh через инет.
>   как сделать наиболее безопасное соединение с минимальным трафиком?

посмотри соседнюю тему про ssh brute force -- там было несколько советов 
в том числе.

>   сразу возникает вопрос: сколько примерно жрет ssh-сессия трафика
>   при работе например с mc?

ssh сессия жрет ровно столько траффика, сколько было отправлено от 
сервера клиенту -- посчитать не сложно (в случае с mc умножь количество 
строк на количество столбцов). к чему это я? да к тому, что работать в 
чистой консоли можно и быстрее чем в mc.

а еще можно сжимать трафик, о чем написано в man ssh ;)

-- 
У каждого в башке свои тараканы...

Re: [Sysadmins] very secure remote control

[Michael Shigorin]

On Sat, Mar 18, 2006 at 09:50:59AM +0300, rs wrote:
> подумал про VPN-соединение, есть-ли какой-то специализированный
> способ организации VPN только для ssh

Бессмысленно, если ходить на один хост.  Если на пачку -- тогда 
ещё может быть.

И действительно лучше взять нормальный шелл, в котором <tab>
умный и работает в каждом углу, и не задаваться вопросами
трафика, создаваемого mc (ну или поотключать в нём всякие 
ни разу не nice rotating dash и прочие подробности хотя бы).

(да, шелл -- e.g. zsh)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] very secure remote control

[rs]

Здравствуйте, Michael.

Вы писали 18 марта 2006 г., 13:30:49:

> On Sat, Mar 18, 2006 at 09:50:59AM +0300, rs wrote:
>> подумал про VPN-соединение, есть-ли какой-то специализированный
>> способ организации VPN только для ssh

> Бессмысленно, если ходить на один хост.  Если на пачку -- тогда 
> ещё может быть.
чем обосновано?

____________________________ 
С уважением,
 системный администратор
 СГТУ, каф."Системотехника"
 AND
 ЗАО "Тесар-СО",
 Егоров Стас
 ICQ:270805968
 mailto:rs@sstu.ru

Re: [Sysadmins] very secure remote control

[Dmitriy L. Kruglikov]

On Sat, 18 Mar 2006 09:50:59 +0300
rs wrote:

>   как сделать наиболее безопасное соединение с минимальным трафиком?

Для начала отделим мухи от котлет...
Безопасное соединение и минимальный трафик - это из непересекающихся
плоскостей.

И что вы понимаете под управлением?
В *никс системах почти всегда хватает командной строки и, следовательно,
минимальной пропускной способности канала.
Мне лично доводилось управлять сервером по каналу 9600 ...
Тоскливо, конечно, но управляемо вполне.

Следовательно, ssh вполне подходит для всех ситуаций, кроме очень
узкого круга задач,  которые могут привести к прекращению сетевого
трафика.
Пример - настройка iptables, где вы можете самостоятельно обрубить себе
канал управления. Или настройки того же SSH ...

Все остальные, графические утилиты, требуют пропускной способности
канала значительно выше ... Рассчитываются как максимально возможное
количество обновляемых элементов изображения в единицу времени ...
Тут вам и цветность и разрешение экрана...

При этом, все они работают поверх какого-либо транспортного протокола,
организующего шифрованный канал.
И VNC - наихудший из них (по стойкости) ...

В соседнем треде обсуждался вопрос использования форвардинга Х-ов
поверх SSH ...
Думаю, это лучший вариант для вас (исходя из поставленного вопроса)

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] remote control

[Michael Shigorin]

On Mon, Mar 20, 2006 at 10:01:29AM +0200, Dmitriy L. Kruglikov wrote:
> Следовательно, ssh вполне подходит для всех ситуаций, кроме
> очень узкого круга задач,  которые могут привести к прекращению
> сетевого трафика.  Пример - настройка iptables, где вы можете
> самостоятельно обрубить себе канал управления. Или настройки
> того же SSH ...

Вдумчивое применение screen(1) и sleep(1) порой выручало.
В смысле под скрином манипулировать, оставляя после потенциально
взрывоопасных мест нечто вида ; sleep 60; ln -sf config.old config;
service name restart и при удаче за время сна говоря Ctrl-C.

> При этом, все они работают поверх какого-либо транспортного
> протокола, организующего шифрованный канал.  И VNC - наихудший
> из них (по стойкости) ...

Надо отдать должное, зато является графическим эквивалентом
screen.

Используем x11vnc на сервере и для доступа

vncviewer  -noshared -encodings 'copyrect tight hextile zlib corre rre raw' -compresslevel 9 -quality 2 -bgr233 hostname

(c) sr@

> В соседнем треде обсуждался вопрос использования форвардинга
> Х-ов поверх SSH ...  Думаю, это лучший вариант для вас (исходя
> из поставленного вопроса)

Вот это как раз очень стрёмный, особенно если угораздит чего
ненароком драгндропом потянуть и тут потери в канале...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] very secure remote control

[Michael Shigorin]

On Sat, Mar 18, 2006 at 02:27:20PM +0300, rs wrote:
> >> подумал про VPN-соединение, есть-ли какой-то
> >> специализированный способ организации VPN только для ssh
> > Бессмысленно, если ходить на один хост.  Если на пачку --
> > тогда ещё может быть.
> чем обосновано?

"Может быть" -- тем, что тогда не надо пробрасывать через
маршрутизатор пачку портов, достаточно одного (прыгать через 
один хост для управления пачкой других -- не вплоне удобно).

Опять же где развесистое хозяйство, там больше вероятность того,
что большее количество IP-сервисов хорошо бы иметь под рукой.
Что в принципе решаемо пробросом портов поверх хотя бы одного
:22, но опять же не всегда это удобно.

"Бессмысленно" -- см. матчасть.  Разве что если VPN не является
P ни разу, в смысле нешифрованный толком (IPIP какой проброшен).

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] remote control

[Dmitriy L. Kruglikov]

On Wed, 22 Mar 2006 17:24:07 +0200
Michael Shigorin wrote:

> Вдумчивое применение screen(1) и sleep(1) порой выручало.
Можно ограничить до фразы "Вдумчивое применение выручало" ...
Любой из предложенных вариантов можно и нужно применять исключительно
вдумчиво ...

> 
> Используем x11vnc на сервере и для доступа
Пробовал ... Не для медленных каналов ...
И, кроме того, весьма трудоемко...

Сперва зайти на сервер и запустить "демона"...
Потом со стороны клиента подключиться к этому демону ...
Демон должен вычитать ~/.Xauthority для того, чтобы дать доступ к
дисплею пользователя ...

Может я слабо буржуйский язык знаю и не все выкурил из МАНов,
но мне не понравилось ... :(
Как вариант, помочь секретарше в соседнем кабинете (здании) ...
Попутно, буду благодарен за четкое и точное ХауТу, как настроить это
для использования "в один клик" ...

> 
> > В соседнем треде обсуждался вопрос использования форвардинга
> > Х-ов поверх SSH ...  Думаю, это лучший вариант для вас (исходя
> > из поставленного вопроса)
> 
> Вот это как раз очень стрёмный, особенно если угораздит чего
> ненароком драгндропом потянуть и тут потери в канале...
> 
Однозначно ...
В любом случае - качество канала определяющее ...
На медленных и/или неустойчивых каналах только консоль...
Но ее не все любят, а кое кто, даже не умеют пользовать, особенно
начинающие админы, рискнувшие мигрировать с того, где консоли нету :)
Собственно, для них и расписываем все прелести и ньюансы...

P.S.
А вариант 
Цитата:
+++
В смысле под скрином манипулировать, оставляя после потенциально
взрывоопасных мест нечто вида ; sleep 60; ln -sf config.old config;
service name restart и при удаче за время сна говоря Ctrl-C.
---
не всем по силам, и даже тем, кто перестал осознавать себя начинающим :)

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] remote control

[rs]

Здравствуйте, Dmitriy.

Вы писали 22 марта 2006 г., 18:41:41:

> On Wed, 22 Mar 2006 17:24:07 +0200
> Michael Shigorin wrote:

>> Вдумчивое применение screen(1) и sleep(1) порой выручало.
> Можно ограничить до фразы "Вдумчивое применение выручало" ...
> Любой из предложенных вариантов можно и нужно применять исключительно
> вдумчиво ...

>> 
>> Используем x11vnc на сервере и для доступа
> Пробовал ... Не для медленных каналов ...
> И, кроме того, весьма трудоемко...

> Сперва зайти на сервер и запустить "демона"...
> Потом со стороны клиента подключиться к этому демону ...
> Демон должен вычитать ~/.Xauthority для того, чтобы дать доступ к
> дисплею пользователя ...

> Может я слабо буржуйский язык знаю и не все выкурил из МАНов,
> но мне не понравилось ... :(
> Как вариант, помочь секретарше в соседнем кабинете (здании) ...
> Попутно, буду благодарен за четкое и точное ХауТу, как настроить это
> для использования "в один клик" ...

>> 
>> > В соседнем треде обсуждался вопрос использования форвардинга
>> > Х-ов поверх SSH ...  Думаю, это лучший вариант для вас (исходя
>> > из поставленного вопроса)
>> 
>> Вот это как раз очень стрёмный, особенно если угораздит чего
>> ненароком драгндропом потянуть и тут потери в канале...
>> 
> Однозначно ...
> В любом случае - качество канала определяющее ...
> На медленных и/или неустойчивых каналах только консоль...
> Но ее не все любят, а кое кто, даже не умеют пользовать, особенно
> начинающие админы, рискнувшие мигрировать с того, где консоли нету :)
> Собственно, для них и расписываем все прелести и ньюансы...

> P.S.
> А вариант 
> Цитата:
> +++
> В смысле под скрином манипулировать, оставляя после потенциально
> взрывоопасных мест нечто вида ; sleep 60; ln -sf config.old config;
> service name restart и при удаче за время сна говоря Ctrl-C.
> ---
> не всем по силам, и даже тем, кто перестал осознавать себя начинающим :)

вопрос решен, спасибо за кучу советов, но обошёлся обычным ssh с
mc и параноидальной настройкой iptables(канал 2мега, но ИКСы мне совсем не нужны)

____________________________ 
С уважением,
 системный администратор
 СГТУ, каф."Системотехника"
 AND
 ЗАО "Тесар-СО",
 Егоров Стас
 ICQ:270805968
 mailto:rs@sstu.ru

Re: [Sysadmins] very secure remote control

[rs]

Здравствуйте, Michael.

Вы писали 22 марта 2006 г., 18:27:18:

> On Sat, Mar 18, 2006 at 02:27:20PM +0300, rs wrote:
>> >> подумал про VPN-соединение, есть-ли какой-то
>> >> специализированный способ организации VPN только для ssh
>> > Бессмысленно, если ходить на один хост.  Если на пачку --
>> > тогда ещё может быть.
>> чем обосновано?

> "Может быть" -- тем, что тогда не надо пробрасывать через
> маршрутизатор пачку портов, достаточно одного (прыгать через 
> один хост для управления пачкой других -- не вплоне удобно).

> Опять же где развесистое хозяйство, там больше вероятность того,
> что большее количество IP-сервисов хорошо бы иметь под рукой.
> Что в принципе решаемо пробросом портов поверх хотя бы одного
> :22, но опять же не всегда это удобно.

> "Бессмысленно" -- см. матчасть.  Разве что если VPN не является
> P ни разу, в смысле нешифрованный толком (IPIP какой проброшен).


всё понятно, выяснил, ВПН мне не нужен, достаточно хорошо настроенного
iptables

____________________________ 
С уважением,
 системный администратор
 СГТУ, каф."Системотехника"
 AND
 ЗАО "Тесар-СО",
 Егоров Стас
 ICQ:270805968
 mailto:rs@sstu.ru

Re: [Sysadmins] remote control

[Michael Shigorin]

On Wed, Mar 22, 2006 at 05:41:41PM +0200, Dmitriy L. Kruglikov wrote:
> > Вдумчивое применение screen(1) и sleep(1) порой выручало.
> Можно ограничить до фразы "Вдумчивое применение выручало" ...

(вот, опять выручило)

> > Используем x11vnc на сервере и для доступа
> Пробовал ... Не для медленных каналов ...  И, кроме того,
> весьма трудоемко...  Сперва зайти на сервер и запустить
> "демона"...  Потом со стороны клиента подключиться к этому
> демону ...

Вообще-то запускать можно и автоматом, если доступ получается
правильно зарубить.  Иначе можно, конечно, туннелировать или 
поверх ssh -X (чтоб только с localhost), но это всё другая сага.

> Может я слабо буржуйский язык знаю и не все выкурил из МАНов,
> но мне не понравилось ... :( Как вариант, помочь секретарше в
> соседнем кабинете (здании) ...  Попутно, буду благодарен за
> четкое и точное ХауТу, как настроить это для использования
> "в один клик" ...

В один клик не скажу, у нас тут тоже своя специфика.
Но судя по Вашим письмам -- найдя свободный день, сможете
и сделать, и описать внятно.  Если что, спрашивайте, чем смогу
-- помогу.

http://www.freesource.info/wiki/Software/VNC

> На медленных и/или неустойчивых каналах только консоль...

Да.

> Но ее не все любят, а кое кто, даже не умеют пользовать,
> особенно начинающие админы, рискнувшие мигрировать с того, где
> консоли нету :) Собственно, для них и расписываем все прелести
> и ньюансы...

Ага.

> P.S.  А вариант
> +++
> В смысле под скрином манипулировать, оставляя после потенциально
> взрывоопасных мест нечто вида ; sleep 60; ln -sf config.old config;
> service name restart и при удаче за время сна говоря Ctrl-C.
> ---
> не всем по силам, и даже тем, кто перестал осознавать себя начинающим :)

Так я ж вполне могу подробнее, только не подряд.  Указывайте,
что не читабельно.  Просто в качестве хинта вроде достаточно...

Живой пример:

sudo iptables -I OUTPUT -o eth0 -j eth0-OUTPUT && sleep 60 && sudo iptables -D OUTPUT -o eth0 -j eth0-OUTPUT

(просто ";" тут лучше не использовать, как выяснилось -- через
^C на sleep мы провалились и благополучно iptables -D)

Да, и ещё в случае разбирательств с auth _нужно_ иметь под рукой
минимум один гарантированно рутовый шелл (без каких-либо sudo 
и т.п.).  Здесь это, в принципе, тоже не мешало...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] very secure remote control

[Michael Shigorin]

On Thu, Mar 23, 2006 at 08:24:49AM +0300, rs wrote:
> > "Бессмысленно" -- см. матчасть.
> всё понятно, выяснил, ВПН мне не нужен, достаточно хорошо
> настроенного iptables

Вот видите :-)

apt-get install knock-server knock 
и почитать про них рекомендую.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] remote control

[Dmitriy L. Kruglikov]

On Thu, 23 Mar 2006 16:55:23 +0200
Michael Shigorin wrote:

Так как тема треда совпадает с вопросом, продолжим тут...

> 
> > > Используем x11vnc на сервере и для доступа

> 
> Вообще-то запускать можно и автоматом, если доступ получается
> правильно зарубить.  Иначе можно, конечно, туннелировать или 
> поверх ssh -X (чтоб только с localhost), но это всё другая сага.

Проблема в том, что в общем случае нужно получить доступ к рабочему
столу пользователя, который в данный момент неизвестен (условно).
И на удаленной стороне указать файл авторизации в домашнем каталоге
этого пользователя.
После чего подключиться к открывшемуся сервису ...
Теоретически, можно использовать ssh для запуска, а при авторизации по
ключу, это можно сделать без ввода пароля ...
Имя пользователя, как часть пути к файлу авторизации можно вводить как
параметр командной строки $1 в скрипте...
И, после этого, сразу же подключаться...
В этом случае рубить авторизацию не нужно, так как сервис сам "помрет"
по окончании сеанса.
К слову, "Приглашение к удаленному управлению" (или как-то там) в КДЕ
работает по этому принципу...

У кого руки из нужного места растут, могут написать оболочку, типа
grdesktop...
Я такого сделать, к сожалению, не умею... :(


> 
> В один клик не скажу, у нас тут тоже своя специфика.
Ну, "один клик" это образное выражение...

> Но судя по Вашим письмам -- найдя свободный день, сможете
> и сделать, и описать внятно.  
Я тут покраснел между делом ... :)

> 
> http://www.freesource.info/wiki/Software/VNC
> 
Слишком мутно и непонятно ...
Впечатление такое, что человек нашел для себя удачную комбинацию
и привел ее... А повторить на другом полигоне ее маловероятно.
Такие рекомендации скорее вредят, чем помогают ...
И отпугивают начинающих...

> sudo iptables -I OUTPUT -o eth0 -j eth0-OUTPUT && sleep 60 && sudo iptables -D OUTPUT -o eth0 -j eth0-OUTPUT
> 
> (просто ";" тут лучше не использовать, как выяснилось -- через
> ^C на sleep мы провалились и благополучно iptables -D)

А вот тут кое кто может начать интенсивно чухать затылок и разбираться 
где не нужно использовать ";" и вместо чего его не нужно использовать...
:)

В этой шутке, конечно, доля шутки, и я ни кого не хотел обидеть :).

P.S.
Применение удаленного управления рабочим столом пользователя
целесообразно в сетях, где применяются не только сервера, 
но и рабочие станции под управлением *nix ...
Для меня это не очень актуально, но если кто-нибудь заинтересован
в этом вопросе, то велкам в личку...
Тут у нас мелькали сообщения о поголовном переходе на *nix
некоего учебного заведения :)
Контакты ниже.

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 dkr6@jabber.ru                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/