грамотная настройка ssh (грамотная настройка ssh / open ssh - безопасность)

igor@igor · Сообщение **igor@igor** » 16.08.2019 20:44

Всем Привет!

Как лучше настроить ssh?

Есть два ПК: хост_0 -> (хост_1 - NAT). Соединены между собой через ЛВС. Маршрутизатор -> коммутатор_0 -> (коммутатор_1 --> коммутатор_2). Поднял NAT. Поднял Openvpn (для шифрования траффика).

Хост_0 - ВМ_0;
Хост_1 - ВМ_1.

Поднял NFS для передачи файлов.

...Организовал области памяти...
..

Мне нужно шифрование организовывать?

Вообще задача: BOINC проекты обновлять.
То есть зайду на Хост_1 и ВМ_1, и проекты обновлю.

Меня ключи на флешке интересуют, очень...

igor@igor · Сообщение **igor@igor** » 16.08.2019 21:00

"Меня ключи на флешке интересуют, очень..."

Вообще, использую ключи - везде где можно - pam-usb...

Есть пакет: libpam-ssh, но немного не подходит...

Добавлено (21:02):

Debian GNU/Linux 7.11 (wheezy) - везде установлен...

Добавлено (21:07):

"...Организовал области памяти...
..
"
Таким образом могу сразу нужными данными обмениваться между ВМ и Хостами, через ЛВС.

Добавлено (21:11):

Благодаря схеме: 5-6 X ("в холостую") - занимают 1400-2000 MB, сжимаю до 600-1000 MB.

Добавлено (21:12):

Делаю так: sudo memtester 1024G 1024.

Добавлено (21:15):

Тема не про память, будет кому интересно - могу скрипты выложить...

Добавлено (21:22):

https://losst.ru/kak-polzovatsya-ssh

Основы безопасности, по ссылке.

Добавлено (21:27):

"Мне нужно шифрование организовывать?" - ssh туннель? Или с Openvpn не нужно?

igor@igor · Сообщение **igor@igor** » 17.08.2019 19:45

Всем Привет!

Про ssh и ключи, virtualbox:

http://mydebianblog.blogspot.com/2006/12/ssh.html

https://www.linux.org.ru/forum/admin/13881243

Ключи SSH на флешке.

https://habr.com/en/post/122445/

https://habr.com/en/post/147347/

https://info-comp.ru/sisadminst/597-port-forwarding-in-virtualbox.html

https://habr.com/en/post/425637/

https://habr.com/en/post/399489/

Добавлено (19:46):

По большей части для себя ссылки систематизировал. Особенно про ключи.

Добавлено (19:50):

Для себя представляю:
ВМ_1 сервер и Хост_1 сервер;
ВМ_0 клиент и Хост_0 клиент.

igor@igor · Сообщение **igor@igor** » 17.08.2019 21:12

(*)
Не по теме:
https://www.linux.org.ru/gallery/screenshots/7209482
[давно искал и нашёл наконец-то]
Вообще верная логика у автора.
Лично придерживаюсь такой же Политики Партии! - Грамотное / Верное распределение ресурсов Машины...
Только у меня по другому абсолютно...
(*)

Добавлено (21:16):

(**)Без directfb, nvidia драйвера проприетарные...(**)

azsx · Сообщение **azsx** » 24.08.2019 05:17

igor@igor писал: ↑
17.08.2019 21:12
Вообще верная логика у автора.

Скажите, а что тут хорошего?
Разве линукс течёт и падает?
У меня калька, xfce, софт chrome и vlc, а также куча консольного софта в фоне. Только перезагрузки из за питания и сам так захотел, никаких падений и зависаний. Работает месяцами, любая программа может быть брошена, тот же браузер, открыл 50 окон и уехали на три дня из дома, все. Но вообще даже внимание не обращаю на это.
Баг есть, раза четыре после обновлений пропадала панель (где пуск) решается перезапуском панели. Иногда виснет thunar (в графике его завершаю принудительно и снова запускаю).
зы
По моему опыту в консоли для pdf очень удобен less. Но у меня причины, почему я иногда pdf в консоли смотрю.

Hephaestus · Сообщение **Hephaestus** » 25.08.2019 15:23

azsx писал(а): ↑
24.08.2019 05:17
Скажите, а что тут хорошего?

Ну, вообще-то материал по ссылке семилетней давности.
И уже на тот момент это была довольно старая идея.
Я этим интересовался году в 2009 примерно (в Debian).
Так вот, DirectFB уже тогда был старым. В дистре его не было. Были только упоминания о нём в ещё более старых материалах в Сети. И рассказывалось, как его собрать из исходников.
Поскольку на тот момент собрать из исходников я ничего не мог, этим всё и кончилось.

А нужно мне это было потому, что машина была с одноядерным Intel Celeron и 512Mb RAM.
В консоли было всё ощутимо шустрее, чем в иксах. И я одно время в иксы практически не заходил.
А тут узнал, что в консоли (без иксов) можно даже GIMP и Firefox запустить. Посредством вот этого самого DirectFB. И вот я тогда немножко поинтересовался этим вопросом, но ничего не вышло.

На современных машинах это ни к чему, разве что есть привычка всё делать в терминале с клавиатуры (как у меня), всякие громоздкие DE в этом случае напрягают сами по себе - своей перегруженностью интерфейса и невозможностью работать без мыши.

azsx писал(а): ↑
24.08.2019 05:17
По моему опыту в консоли для pdf очень удобен less.

Это что-то новенькое. Вы бинарный код в уме расшифровываете?

azsx · Сообщение **azsx** » 25.08.2019 15:33

Hephaestus писал: ↑
25.08.2019 15:23
Вы бинарный код в уме расшифровываете?

нет, читаю текстом

Hephaestus · Сообщение **Hephaestus** » 25.08.2019 16:12

azsx писал(а): ↑
25.08.2019 15:33
нет, читаю текстом

Подозреваю, что текст этот всё-таки не less производит. Less - это всего лишь пейджер.
А текст - это результат pdftotext или чего-нибудь в этом роде.
Но даже в этом случае нужно учитывать, что pdf может содержать много всякой всячины помимо текста - рисунки, таблицы, схемы и т.п. При просмотре pdf таким способом всё это утрачивается.

Поэтому утверждение

azsx писал(а): ↑
24.08.2019 05:17
в консоли для pdf очень удобен less

весьма спорное, мягко говоря.

azsx · Сообщение **azsx** » 25.08.2019 16:49

Hephaestus писал: ↑
25.08.2019 16:12
Подозреваю, что текст этот всё-таки не less производит.

Не знаю, что производит текст, но команда

Shell

less file.pdf

Hephaestus писал: ↑
25.08.2019 16:12
в консоли для pdf очень удобен less

весьма спорное, мягко говоря.

потому что вы выдернули цитату с предложения.

azsx писал(а): ↑
24.08.2019 05:17
По моему опыту в консоли для pdf очень удобен less. Но у меня причины, почему я иногда pdf в консоли смотрю.

зы
или напишите, что вам в консоли удобнее для просмотра pdf.

igor@igor · Сообщение **igor@igor** » 25.08.2019 23:23

Всем Привет!
Нужен ли Swap?
На последней странице писал мой запуск софта...
directfb - похоже не подойдёт - да.
я реализовал области памяти и сверхсжатие памяти...

Добавлено (23:25):

directfb - интересно, но ...
Лучше грамотное распределение ресурсов машины...

Добавлено (23:28):

Тем более сейчас у меня два монитора и голая консоль на второй план, жаль, так как один vga'ый монитор гасится. В X'ах - нормально.

igor@igor · Сообщение **igor@igor** » 26.08.2019 01:13

И естественно у меня также xfce4...

Добавлено (01:14):

Но, вопрос был про ssh.
Посоветуйте, Пожалуйста...

Добавлено (01:15):

Особенно, про ключи...

Добавлено (01:16):

И шифрование...

igor@igor · Сообщение **igor@igor** » 24.11.2019 19:25

Всем Привет!
Таким Образом получилась Центральная Машина (ЦМ) доступа: к скриптам межу ВМ и Хостами, и данными...
Но вопрос: Мне нужно шифрование организовывать, если есть openvpn?

Добавлено (19:50):

SSH-туннель?

Добавлено (20:49):

Или в SSH уже данные шифруются (публичным ключом)?

Или я немного не понимаю...
Объясните, пожалуйста.

Добавлено (21:44):

SSH-туннель через tap0? Так можно организовать?

Добавлено (22:01):

Или мне с openvpn не нужно SSH-туннель поднимать?

igor@igor · Сообщение **igor@igor** » 24.11.2019 23:22

Структура, моей сети:

Хост_0:
Интерфейсы -
eth0;
eth1;

Хост_2:
Интерфейсы -
eth2;

От роутера - коммутатор_0->Хост_0->eth1->сеть->eth0->коммутатор_1->коммутатор_2->eth2->сеть;
Хост_0 и Хост_1 объединены между собой, с помощью коммутаторов(1, 2);
Поднят NAT;
Поднят openvpn;

Как-то так... Может ...

Добавлено (23:23):

Сейчас поднял ssh.

Сообщение **serzh-z** » 24.11.2019 23:42

Здравствуйте, это блог о KDE? Скажите, как в Go передать пустой интерфейс?

igor@igor · Сообщение **igor@igor** » 24.11.2019 23:53

А также не по теме:
{usbip, nfs}
Клиент-сервер, сервер-клиент, ssh - также.
Двойная схема.

igor@igor · Сообщение **igor@igor** » 24.11.2019 23:56

serzh-z писал: ↑
24.11.2019 23:42
Здравствуйте, это блог о KDE? Скажите, как в Go передать пустой интерфейс?

Хватит троллить!
я Серьёзно спрашиваю!
Схему своей сети описал.

Сообщение **serzh-z** » 25.11.2019 00:00

igor@igor
Прошу прощения, до этого места я ещё не дочитал. Я пока в середине второй статьи с Хабра.

igor@igor · Сообщение **igor@igor** » 25.11.2019 00:04

serzh-z писал: ↑
25.11.2019 00:00
igor@igor
Прошу прощения, до этого места я ещё не дочитал. Я пока в середине второй статьи с Хабра.

Ничего страшного.
Меня самого, иногда не по теме заносит.

Добавлено (00:08):

В моём представлении:
Если поднимать SSH-туннель, то через tap0?
Или как?
?

Добавлено (00:25):

Или вообще ... не нужен, тогда?

igor@igor · Сообщение **igor@igor** » 25.11.2019 02:11

С eth1 и eth2 осуществляется выход в интернет через tap0.
А как быть с eth2 -> eth0 -> eth1 == ЛВС?
Например, guvcview?

igor@igor · Сообщение **igor@igor** » 25.11.2019 03:48

Чтобы, Вам было понятнее: про guvcview -
С Хост_0 захожу по ssh на Хост_1 и запускаю guvcview.
И соответственно по ЛВС идет передача траффика (сужу по nload).
Так в каком виде: в зашифрованном / незашифрованном?

Добавлено (03:51):

Или нужно было через tap0 сразу указывать ip, то есть пропускать траффик?

igor@igor · Сообщение **igor@igor** » 12.12.2019 17:13

Всем Привет!
Не стал поднимать ssh-туннель, так как нужно разрешить входить root, а это точно по ssh не безопасно.
Сделал иначе: поверх ssh Xephyr...
Т.О. получаю fake'вый X. Классно - мне нравится...

Добавлено (17:14):

И => Xfce4 сеанс.

Добавлено (17:16):

Насчёт guvcview: у меня по ЛВС передача данных идёт...

Добавлено (17:23):

Всё по ключам сделал...
Осталось пробросить audio (alsa, чтобы с pulseaudio не связываться) и usb кабели (без usbip).
Если usbip, то флешка должна быть постоянно .., а это тоже не устраивает меня.
...

Добавлено (17:25):

Вообще, здорово! Получилось...