Sep
11
2010
0

Remote SSH tunelling on Debian/Ubuntu via dynamic IP

I have often needed to create tunnels between machines. In this case I wanted to set up a munin server to monitor various nodes on the Net. The problem was that my server is on a dynamic IP (yes, I’m mazochistic like that). So my tunnels were problematic because I could not set “allow connection” permissions on the client nodes properly (no static IP).

Solution: SSH tunelling to an unprivileged user account via public-key authentication and a cronjob to keep the tunnels alive:

  1. You need an unprivileged user on the server (originator of the connection), in this example I use munin. Make sure the user has a workable home directory and create a public-private key pair.
    server# sudo -H -u munin /bin/bash
    server$ cd ~
    server$ mkdir .ssh
    server$ ssh-keygen -b 1024 -C munin@`hostname -f` -t rsa
    server$ cat .ssh/id_rsa.pub
  2. Copy the key to your clipboard
  3. Connect to client (Receiver of connection). Use another unprivileged user with a workable home directory, I’ll use munin on this side, too.
    client# sudo -H -u munin /bin/bash
    client$ cd ~
    client$ mkdir .ssh
    client$ nano -w .ssh/authorized_keys
  4. Set up access restrictions, allow only connections to the local port we need (I use 4949 in this case). So paste: command="/bin/false",no-pty,no-X11-forwarding,no-agent-forwarding,no-port-forwarding,permitopen="localhost:4949"
  5. Leave a space and then paste the KEY from step 2. It should all be in one line.
  6. Save your file, log out of client
  7. On the server, initiate the tunnel. You must do this manually at least once to check it works and answer ‘yes’ to permanently accept the client’s public key. In this case I forward local port 5050 to remote port 4949:
    server$ ssh -L 5050:localhost:4949 -f -N clientuser@client

Done!

And now, on to the interesting bit, how to keep this tunnel alive. I needed some scripts to do this for me via a cron job. Ideally, you want the unprivileged user on the server to handle this job, since we can benefit from economies of scale: better to create a script that handles all connections to multiple clients on one machine than having to install a copy of the script onto each and every client. So:

  1. Become the unprivileged user:
    server# sudo -H -u munin /bin/bash
  2. Create script file you need (here I put it in the home directory of the user). Note the $4 parameter can be something like “-oPort=19222” for example, if you run ssh on a different port on the client.
    server$ nano -w checktunnel
    #!/bin/bash
    #Usage: ./checktunnel "host name" "ip address" "port" ["ssh options"]
    #======================================================================
    PORT=$3
    ADDRESS=$2
    HOST=$1

    #Looks like: ssh -NfL 5050:localhost:4949 -f -N munin@client
    if [ "`ps -eaf | grep "ssh -NfL $PORT" | grep -v grep`" ] ; then
    echo "tunnel to $HOST ($ADDRESS:$PORT) is up"
    else
    echo "SSH tunnel ${HOST} NOT alive ... Restarting ..."
    logger -p daemon.notice "SSH tunnel ${HOST} NOT alive ... Restarting ..."
    echo "/usr/bin/ssh -NfL $PORT:localhost:4949 $4 munin@$HOST"
    /usr/bin/ssh -NfL $PORT:localhost:4949 $4 munin@$HOST
    sleep 1
    fi

  3. Add the appropriate cronjob entry:
    server$ crontab -e
    */5 * * * * ~/checktunnel client 127.0.0.1 5050

Now you have a tunnel that will be checked every 5 minutes and re-upped if disconnected. You should also make sure you can read mail from the unprivileged user on the server, just to see if something went wrong! Then you might want to comment out the “echo … is UP” line since it will cause mail for you every 5 minutes, even if everything works!

Obviously there is room from improvement here, for example, making 4949 another parameter and  grepping for the $ADDRESS specifically, but these I leave as an exercise to you genius readers.

Written by admin in: Uncategorized | Tags: , , , , , ,
Oct
09
2007
0

Ασφάλεια υλικού: Μια ιστορία τρόμου

Πίσω στον χρόνο, τις 7 Μαΐου φέτος, η TSA, η οργάνωση υπεύθυνη για την ασφάλεια των αερομεταφορών στις ΗΠΑ, έχασε έναν σκληρό δίσκο με τα προσωπικά στοιχεία 100.000 περίπου υπαλλήλων της. Το σίγουρο είναι ότι αυτές οι πληροφορίες, στα χέρια των τρομοκρατών, θα ήταν πολύ χρήσιμες. Όταν γνωρίζεις τα στοιχεία των ελεγκτών στο σημείου ελέγχου ασφαλείας του αεροδρομίου δεν είναι δύσκολο να εκβιάσεις ή τουλάχιστον να επηρεάσεις την αποτελεσματικότητα αυτών των ανθρώπων.

Η TSA έκανε την ανακοίνωση το βράδι της Παρασκευής, ελπίζοντας ότι δεν θα δοθεί και πολλή σημασία αλλά… άνθρακες ο θησαυρός. Βούηξε ο τόπος και τελικά αναγκάστηκαν να δημιουργήσουν ολόκληρη ειδική περιοχή στον ιστοτόπο τους για να πληροφορήσουν τους 100.000 υπαλλήλους τους για την τύχη των προσωπικών τους δεδομένων. Εκεί λοιπόν διακρίνω υπηρεσίες για την προστασία των υπαλλήλων από απάτες με αιχμή δωρεάν ελέγχους του credit τους (οι απατεώνες μπορούν να κάνουν αγορές και δάνεια με βάση τα κλεμένα στοιχεία). Περίεργο όμως που μια υπηρεσία που κόπτεται τα μάλα για την «τρομοκρατική απειλή» και ταλαιπωρεί τόσο κόσμο δεν ανησυχεί καθόλου για την χρήση των πληροφοριών αυτών για την παράκαμψη των ελέγχων στα αεροδρόμια ή αλλού… Ούτε έναν καθησυχαστικό λόγο δεν βρήκα.

Ακόμα πιο σημαντικό και μάλλον περισσότερο επί της ουσίας είναι το θέμα του δίσκου που χάθηκε. Ενώ υπάρχει εντολή της υπηρεσίας να κρυπτογραφούνται όλες οι συσκευές αποθήκευσης δεδομένων που μετακινούνται από υπαλλήλους, ο δίσκος δεν είχε κρυπτογραφηθεί. Ξεχνάμε συχνά να αναλογιστούμε το κόστος μιας απώλειας υλικού.

Τι θα κοστίσει σε μια εταιρεία η κλοπή του ηλεκτρονικού υπολογιστή της γραμματείας, ή της υποδοχής ενός ξενοδοχείου; Σε μια εποχή όπου η Ελλάδα έχει πια ανεξάρτητη αρχή προστασίας προσωπικών δεδομένων, δεν αρκούν πια αυτές οι ερωτήσεις. Πρέπει να αναρωτηθεί κανείς τι κόστος θα έχουν οι πελάτες του στις παραπάνω περιπτώσεις καθώς και κατά πόσον εκτίθεται νομικά σε μηνύσεις ή πρόστιμα από την Αρχή.

Δεν αρκεί λοιπόν να κρατά κανείς αντίγραφα ασφαλείας, πρέπει να φροντίζει, για την δική του προστασία, να κρυπτογραφεί τα δεδομένα σε κάθε υπολογιστικό σύστημα ή βάση δεδομένων, ειδικά αυτές που αποθηκεύονται διαδικτυακά (όπως είναι συχνή τακτική σήμερα). Αναρωτηθήκατε ποτέ σε πόσους εμπιστεύεστε τα προσωπικά σας δεδομένα καθημερινά και τι κάνουν αυτοί για να τα προστατέψουν;

Aug
09
2007
0

Το θέατρο του παραλόγου των ΗΠΑ αυτών των 2 εβδομάδων

Πολλά και διάφορα νέα από την Αμερική. TSA x 2, κάμερες ασφαλείας και διάφανα σακίδια στα σχολεία. Κάτω η τρομοκρατία… ζήτω η τάξις, η πειθαρχεία κι η ασφάλεια! Κι αν αναρωτιέστε γιατί ασχολούμαι με αυτούς, κοιτάξτε γύρω σας και μάθετε τι ψηφίζεται στην Ευρώπη τελευταία για την ασφάλειά μας.

Αρχίζουμε με την TSA, τον οργανισμό ελέγχου επιβατών των Ηνωμένων Πολιτειών… με την οποία είχα την τιμή να συναντηθώ πέρσι σε κάποιο αεροδρόμιο της Ουάσινγκτον. Πρώτα, μας προειδοποιούν ότι οι τρομοκράτες κάνουν δοκιμές στα σημεία ελέγχου των αεροδρομίων… Μετά, βγαίνει στην επιφάνεια ότι η δήθεν «διαρροή» ήταν θέατρο (για να μας πείσουν ότι κάτι κάνουν;). Ουπς…

Στη συνέχεια, σχολεία απαιτούν την χρήση διάφανων σακκών από τους μαθητές για να βελτιωθεί η ασφάλεια. Ευτυχώς που τα παιδιά δεν θα έχουν τσέπες… ή μπουφάν για να κρύβουν τους σουγιάδες, το C4 και τα Uzi… Εννοείται ότι ο κάθε φύλακας σχολείου θα σταμάταγε παιδί με Uzi αντί να καλυφθεί. [ξεχείλισα ειρωνία απόψε]

Μετά, ο αγαπημένος μας ειδικός ασφαλείας Bruce Schneier παίρνει αποκλειστική συνέντευξη από τον διαχειριστή της TSA και του κάνει τις δύσκολες ερωτήσεις που κανείς δημοσιογράφος δεν θα τολμούσε να κάνει. Διαβάστε οπωσδήποτε την πλήρη συνέντευξη και βγάλτε τα συμπεράσματά σας ή αν έχετε δυσκολία να διακρίνετε την παλαβομάρα μερικών από τα επιχειρήματα του Kip Hawley, διαβάστε τα σχόλια των αναγνωστών μαζί με την συνέντευξη τμηματικά:
πρώτο μέρος, δεύτερο μέρος, τρίτο μέρος, τέταρτο μέρος
πέμπτο μέρος.

Τέλος, Η Νέα Υόρκη βάζει κάμερες ενώ ταυτόχρονα έμπειρος βρετανός αξιωματικός αστυνομικός του Λονδίνου όπου τις έχουν χρόνια, χειριστής καμερών, δηλώνει ότι δεν έχουν κανένα αποτέλεσμα στην πρόληψη του εγκλήματος ή της τρομοκρατίας (ιδίως της τρομοκρατίας, δηλώνει ότι οι τρομοκράτες «δεν ασχολούνται με τις κάμερες»)…. Ιδού και το αρχικό άρθρο

Written by admin in: Uncategorized | Tags: , , ,
Jul
10
2007
0

Η Βραζιλία ξεκινά προσπάθεια καταπολέμησης του DRM

Δεν θα το περίμενε κανείς αλλά μεγάλες χώρες έχουν ανακαλύψει κάτι που εμείς οι «προχωρημένοι» Ευρωπαίοι ακόμα δεν έχουμε καν αρχίσει να εξετάζουμε. Οι τεχνολογίες DRM (Digital Restrictions Management) περιορίζουν την χρήση οπτιοακουστικού (και όχι μόνο) υλικού από τη στιγμή αγοράς του, περιορίζοντας αυθαίρετα τα δικαιώματα του χρήστη/αγοραστή όπως το πού «παίζει» το υλικό, πόσες φορές και για πόσο χρόνο. Ε, κάποιοι Βραζιλιάνοι αποφάσισαν ότι αυτό είναι απαράδεκτο.

Μια νέα καμπάνια που ξεκίνησε ο κύριος σύνδεσμος καταναλωτών της χώρας (IDEC – Institute for Consumer Defense) και ένα μεγάλο εκπαιδευτικό ίδρυμα (Center for Technology & Society της νομικής σχολής FGV) ζητά από τους χρήστες να εκθέσουν τις εμπειρίες τους με το DRM και πληροφορεί για τους κινδύνους που αυτές οι τεχνολογίες ελλοχεύουν για το μέλλον της καλλιτεχνικής δημιουργίας παγκοσμίως.

Αν ξέρετε να διαβάζετε Πορτογαλέζικα δείτε και την σελίδα της καμπάνιας.

http://www.boingboing.net/2007/06/06/national_antidrm_cam.html

Written by admin in: Uncategorized | Tags: , , ,
Jul
10
2007
0

Copyright και «Fair Use»

Εάν θέλατε να κάνετε μια ταινιούλα που να διακωμωδεί ασ πούμε την τηλεοπτική σειρά που μισείτε, θα ήταν νόμιμο να χρησιμοποιήσετε τμήματα της σειράς αυτής;

Παγκοσμίως τα διάφορα lobby προσπαθούν να χρησιμοποιήσουν τα πνευματικά δικαιώματα (copyright) για να περιορίσουν όλο και περισσότερο και για όλο και πιο πολύ χρόνο την διάδοση, αντιγραφή και χρήση εμπορικά εκμεταλλεύσιμου υλικού. Τα αποτελέσματα αυτής της σταυροφορίας, με αρχηγό πάντα τις Ηνωμένες Πολιτείες και τις εταιρείες παραγωγής και διανομής κινηματογραφικών ταινιών και μουσικής (MPAA, RIAA), είναι η καταπίεση της ελευθερίας του λόγου και ο μαρασμός της δημιουργικότητας. Αυτό είναι πασιφανές τουλάχιστον αν αναλογιστεί κανείς την ποιότητα των ταινιών που παράγει πια το Hollywood.

Με τεχνολογικές μεθόδους (π.χ. DRM) και κυρίως μέσω των lobbies τους που πιέζουν πολιτικούς και νομοθέτες στις Η.Π.Α. αλλά τώρα και στην Ευρωπαϊκή Ένωση να νομοθετήσουν κατά της όποιας χρήσης και διανομής υλικού που δεν αποφέρει κέρδη στους ιδιοκτήτες των πνευματικών δικαιωμάτων, έχει επέλθει μια ρήξη μεταξύ των καταναλωτών / χρηστών / καλλιτεχνών και των δικηγόρων.

Κλασσικός «νταής της σχολικής αυλής» είναι η Disney, που έχει πάντοτε καταπνίξει κάθε κριτική, σχολιασμό, σάτυρα ακόμα και διαφήμιση του υλικού της που δεν υπόκειται στον πλήρη ελεγχό της με δεκανίκι πάντα την δήθεν παραβίαση των πνευματικών της δικαιωμάτων.

Στην Αμερική υπάρχει η έννοια του fair use που είναι βασικά κάτι πολύ απλό: μπορείς να χρησιμοποιήσεις μέρος του αρχικού έργου για να

  • Ασκήσεις κριτική
  • Σατυρίσεις
  • Διδάξεις
  • Ενημερώσεις

…αρκεί να μην δανειστείς υπερβολικά μεγάλο μέρος του έργου, δεν επηρρεάσεις την αξία του έργου στην αγορά και τι είδος δανεισμού κάνεις σε σχέση με τον τύπο του έργου.

Ζαλιστήκατε; Αν ξέρετε Αγγλικά δείτε την φανταστική παραγωγή του καθηγητή Eric Faden του πανεπιστημίου Bucknell σχετικά με το fair use: youtube, MP4, με υπότιτλους)

Η ταινία είναι γυρισμένη αποκλειστικά με τμήματα ταινιών της Disney και προστατεύεται νομικά γιατί είναι εκπαιδευτική.

Αναρωτιέμαι ποιό είναι το καθεστώς στην Ελλάδα….

http://www.boingboing.net/2007/05/19/fairy_use_tale_amazi.html

Jul
10
2007
0

iPhone: Ίσως όχι και τόσο πρωτοποριακό

Μεγάλη φασαρία γίνεται τελευταία για το iPhone και τις «φοβερές» του δυνατότητες. Κρίμα που συνεχίζει μια μακρά παράδοση της Apple με τις τεχνολογίες DRM (Digital Restrictions Management) και ενθαρρύνει το κλείδωμα του χρήστη με το iTunes της ίδιας εταιρείας.

Έτσι, παρουσιάστηκε πρόσφατα ένα πολύ καλό εναλλακτικό gadget με παραπλήσιες λειτουργίες αλλά με βάση το ελεύθερο λογισμικό και τον πυρήνα linux. Κοστίζει $300 κι έχει τα εξής χαρακτηριστικά:

* 2.8″ VGA TFT color display
* Touchscreen, usable with stylus or fingers
* 266MHz Samsung System on a Chip (SOC)
* USB 1.1, switchable between Client and Host (unpowered)
* Integrated AGPS
* 2.5G GSM – quad band, voice, CSD, GPRS
* Bluetooth 2.0
* Micro SD slot
* High Quality audio codec

Κι αν δεν σας φτάνουν αυτά, το 1973 είναι και ωραία σχεδιασμένο (τουλάχιστον έτσι νομίζω εγώ). Βρείτε το τον Οκτώβριο που θα έχει και WIFI και επιταχυνόμενα γραφικά!

http://www.cybereddie.gr/2007/07/opensource-vs-iphone-linux-iphone.html
http://www.boingboing.net/2007/07/09/openmoko_linuxbased_.html

Written by admin in: Uncategorized | Tags: , , , , ,

Powered by WordPress | Aeros Theme | TheBuckmaker.com WordPress Themes