SSH: forwarding трафика

Протокол X11 в смысле секьюрности считается не очень. Соответственно, не факт, что mit magic cookie не будет перехвачен. Соответственно, мы знаем, что в переменнй display хранится адрес сервера, и вы можете запустить прилож. на сервере приложений, а х-сервер локлаьный что-то нарисовал. Вы всегда мжете это сделать, за искл. ПСПО, где х-сервер запускается с no-listen-tcp, чтобы если даже человек по дури ткроет, к нему нельзя было подкл. Кроме того, совершенно необяз. исп. протоколx11, можно восп. секьюр шеллом, тем более что фаерволл может допускать соединение внурь по какому-либо то ни было порту. А так вы мджете запустить уд. приложение, чтобы он вывел его сюда. Делается это с помощью ключа -X, точнее, -Y, поск. -X не пзв. делать некоторые несекьюрные вещи.

ssh -X 10.30.5.197

Как это устроен: посм. сдержимое $DISPLAY на лок. машине. :0.0 озн. следующие: часть до двоеточия озн. адр. машине. Её отсутствие --- по умолч., по умлч --- unix domain socket, часть до точки --- номер сервера, после точки --- нмер экрана, напримере, в случае многоголовой видеокарты. В этой штуке можно написать вмест ничего адрес хоста, то можно попр. получить доступ к лок. машине, хотя на той стороне его надо разрешить. Совершим ssh -Y и пм. display. бр. внимание, чт в графе адрес стоит адрес (соед. будет происх. через tcp), однако там локалхст, то есть слушается н локально. Далее указан 10 сервер, н он всего лишь ретранслятор, на самом деле это ssh-демон, который все эти запрсы по защищ. протоколу оттаскивает на лок. машину и отдаёт их , как если бы она запущена с лок. машины.

Собсмтвенно, ничего особенного тут и нету.

Прокидывание портов сквозь ssh. Это такая штука: раз уж можно пркидывать иксы, то можено прокидывать любй прт. Фактически, мы прокинули ... орг. на уд. машине демон 6010-порт, и сделали так, чтобы лок. подклю с лок. машины к 6010 порту приводили к ому, чтобы в рез-те прходил прбрн на лок. машину и чтобы там было подкл. к юних домен сокет.

Вот у нас есть ... . Пара ssh/sshd пзв. прделать бе операции: сделать так, чтбы подклю к уд. хосту привдил к подкл. к лок, и наборот. ... Понятно, что нельзя этго делать. Зато есть такая штука, как smtp_auth, которая позв. это сделать. Во-первых, ндао настр. smtp-auth, кроме тго, ндао делать действия на сервере, в-третьих известно, что некторые спамботы умеют его исп. Поэтому smtp есть, н не афиширванный и врде им никто не польз. Есть способ лучше, он недоступен спамботу, и вы его можете орг, если у польз есть ссх. Вы пробрасываете порт, сервер будет думать, что он разг. с лок. машинй, при этм аутентификация п ссх, и так далее. Сейчас мы попр. отдать лок. порт на уд. машину с пртом 8089.

(неткат и фуррифокс)

Чего нам не удалось сделать --- чтобы уд. машина давала куому-то, кроме как локалхсту. Эт настраивается в конфиге sshd. GatewayPorts no (значение по умолчанию).

Логин рутом. Запрещён по ссх по паролю. Было бы очень неправильно давать говорить польз. логиниться, а потом говорить su (пск. пять пляски с парлем), поэтому считается нормальной практикой давать логин руту по ключам, и в логе оно откладывается, и ситуации, что неизвестно кто заходил под рутом, мы избегаем, поск. знаем, какой ключ исп. Это безпаснее, чем другие схемы.


Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

0

1

1

1

1

ArtemSerebriyskiy, VladimirLysikov, MaximByshevskiKonopko


CategoryLectures CategoryPspo CategoryMpgu CategoryUneex