|
|
 | Er der nogle, der kan hjælpe mig ud af SSH~
Fra : Stig Johansen |
Dato : 17-01-08 07:49 |
|
Hej alle.
SSH-snavs, fordi der er noget Windows indblandet.
Baggrund:
Jeg har en Windows server, hvor blandt andet skal have afprøvet noget
IIS/ASP noget.
Jeg har en Linux workstation som min primære arbejdsstation.
Jeg har nu lovet en kammerat at udføre nogle tests for ham.
Dvs. mekanikken går ud på at kunne udveksle filer på en 'nem' måde.
Da vi ikke er online på samme tid osv, har jeg valgt at give adgang på min
Linux (som stort set altid er tændt), og adgang til min Windblows er
absolut out of the question.
Jeg har så gjort det, at jeg har lavet en chrootet user, lad os kalde ham
kammerat.
Samtidig har jeg forwardet port 22 til min 'kværn', og begrænset adgang til
denne ene IP.
På kammeratens PC har vi installeret 'SSH tunneller'.
Det setup virker perfekt, han kan både up og downloade filer.
Og det er kun root og kammeraten, der kan få adgang.
Så langt så godt.
På min Windblows server har jeg så installeret den minimale Cygwin OpenSSH.
Det var selvfølgelig noget bøvl med at få det til at virke, men efter lidt
gymnastik, incl registry, kom det også til at virke.
Det jeg så vil opnå er at kunne scp'e direkte fra kammeratens login på min
maskine og til min Windblows Server.
scp kammerat@localhost:fil mig@windblows:fil
(og omvendt)
Det virker ikke.
Jeg kan godt
scp kammerat@localhost:fil fil
og
scp fil mig@windblows:fil
hver for sig.
Men tilsammen får jeg hele tiden
'Rhosts Authentication disabled,
Jeg har sat RhostsAuthentication til yes i både ssh_config og sshd_config på
begge maskiner.
Er der nogen, der kan give mig en åbenbaring?
(Jeg skal nok tænke på sikkerhed når jeg har fået 'lortet' til at virke.
Det skalnævnes, at der er tale om en SuSE 8.2, og opgradering er totally out
of the question.
--
Med venlig hilsen
Stig Johansen
| |
 Thorbjørn Ravn Ander~ (17-01-2008)
| Kommentar
Fra : Thorbjørn Ravn Ander~ |
Dato : 17-01-08 08:11 |
|
Stig Johansen <stig_johansen_it_at_=(@)hotmail.com> writes:
> Det jeg så vil opnå er at kunne scp'e direkte fra kammeratens login på min
> maskine og til min Windblows Server.
Er du ikke ude efter at kammeraten skal have sin ssh nøgle hos dig som
godkendt bruger?
--
Thorbjørn Ravn Andersen
| |
Stig Johansen (17-01-2008)
| Kommentar
Fra : Stig Johansen |
Dato : 17-01-08 11:45 |
|
Thorbjørn Ravn Andersen wrote:
> Stig Johansen <stig_johansen_it_at_=(@)hotmail.com> writes:
>
>> Det jeg så vil opnå er at kunne scp'e direkte fra kammeratens login på
>> min maskine og til min Windblows Server.
>
> Er du ikke ude efter at kammeraten skal have sin ssh nøgle hos dig som
> godkendt bruger?
Nej, ikke helt, key-auth vi derfra, hvis vi skal lave en lockdown på en
enkelt PC.
Hvis der ligger et hint om at det kun vil virke med key-auth, må du meget
gerne oplyse mig.
Det, jeg er ude efter, på sigt er, at kammeraten til 'enhver tid' kan
opdatere filerne på min maskine, der stort set altid er tændt.
Windows serveren er en test/udviklings-server, som jeg kun bruger, hvis jeg
skal lave kundespecifikke _MS_ SQLServer opgaver.
Jeg har været så heldig, at jeg kan/kunne kræve en kundebetalt licens(Win
Server/MS SQLServer) som en del af opgaven.
Det betyder, at det en en 'plain upatched vanilla' MS installation, og jeg
har absolut ingen intentioner om at opgradere den.
Endvidere indeholder den en _del_ absolut fortrolige testdatabaser, så
adgang til den er fuldstændig 'out of the question'.
Endvidere starter jeg den, og andre, kun op efter behov, da 'man' er lidt
nærig overfor NESA.
Så jeg har laver den - meget - begrænset adgang til at up og downloade filer
på min 'primær PC'.
Det virker fint, hvor kammeraten ikke har adgang til 'en skid'.
Min opgaer er så, at når der er opdaterede filer, så skal jeg have dem
overført til Windåsens webroot, så jeg kan afprøve, og evt. rette, og lægge
tilbage, når jeg har min server startet op.
På sigt skal jeg have lavet noget automatisering med noget script, som jeg
heller ikke er så god til.
Det er et koncept, jeg er i gang med at bygge for første gang, så jeg har
ikke den store erfaring/overblik på det område.
Som det er nu, så virker:
Windblows -> min bruger _og_ min bruger->kammeratens subarea -> kammeraten.
og kammeraten -> kammeratens subarea -> min bruger _og_ min bruger ->
Windblows
Men det kræver en mellemlanding i mit /home (=redundante filer), samtidig
med det kræver flere scp'ere for, en for mig, een operation.
Baggrunden for at bruge ssh på 'min egen maskine' er at bibeholde ownership.
Hvis jeg kører det baglæns som root får jeg garanteret noget andet bøvl med
ownership.
Jeg er mere over i 'COBOL' verdenen, så jeg har ikke dybdegående viden om
det her *nix.
Mit 'projekt' er måske mere på brainstorming stadiet, men jeg forestiller
mig at det _må_ kunne lade sig gøre (på sigt) at opnå en virkelighed hvor:
1) Jeg opdager, at der er nye filer i Kammeratens '/home' (noget cron noget)
2) Jeg tænder derfor min Windblows 'kværnø.
3) Et eller andet cron 'noget' opdager at Windåsen er tændt og laver
'automatisk' en slags rsync.
4) Windåsen (opdaterede filer) er klar til test, og jeg skal bare starte en
browser.
5) Hvis jeg har behov for at rette i filerne (direkte på Windblows serveren)
vil jeg gerne kunne vælge om jeg gør det fra min Linux PC (FTP/SMB client
eller?) eller Windows PC (Windows file sharing).
6) Et eller andet cron 'noget' rsync'er automatisk baglæns.
Mit 'problem' er, at det skide Windows ikke har indbygget SSH, NFS osv, så
man må nok 'fumle' noget Storm P sammen.
Da det kun er interne adgange, kan jeg nok komme videre med at bruge root
osv, men kender du det - jeg ville føle det som en falliterklæring, kidt a
la 'Man bliver nødt til at køre som Adminiistrator' on the 'Dark side of
the source'.
Det er jeg ikke så glad for, og jeg synes ikke rigtig jeg kan komme videre
(i mit hovede) før jeg har fået 'løst' den her (basale?) problemstilling.
Jeg har skrevet en længere baggrund, fordi det kan godt være jeg er ude på
et sidespor.
Ethvert input er velkomment, også alternative løsningsforslag.
(Bortset fra at køre som root eller give ekstra beføjelser til kammeraten)
--
Med venlig hilsen
Stig Johansen
| |
Stig Johansen (17-01-2008)
| Kommentar
Fra : Stig Johansen |
Dato : 17-01-08 13:37 |
|
Thorbjørn Ravn Andersen wrote:
> Stig Johansen <stig_johansen_it_at_=(@)hotmail.com> writes:
>
>> Det jeg så vil opnå er at kunne scp'e direkte fra kammeratens login på
>> min maskine og til min Windblows Server.
>
> Er du ikke ude efter at kammeraten skal have sin ssh nøgle hos dig som
> godkendt bruger?
Efter at have fumlet med det 'lort' næsten hele morgenen, var jeg ude at gå
en tur for at 'klare' hjernen.
Jeg har nu lavet noget debugging, og fundet ud af, at når der er tale om
remote-remote, er der i virkeligheden tale om en ssh til 'fra', som
_derfra_ laver en scp til 'til'.
Det kan jeg godt se aldrig kommer til at virke med pass-auth, så jeg går ud
fra det var din pointe?
Anyway, nu ved jeg, hvorfor den aldrig kom og spurgte efter password
'nummer' 2.
Jeg må indrømme, at jeg aldrig har brugt remote-remote ssh, så jeg troede
det var en 'man in the middle' funktion a la 'hent og skriv'
Men point taken, jeg må få lavet noget key-auth på windåsen, og se om scp er
med i 'chroot'en' (jeg var så doven, at jeg brugte et færdigt script).
--
Med venlig hilsen
Stig Johansen
| |
 Stig Johansen (17-01-2008)
| Kommentar
Fra : Stig Johansen |
Dato : 17-01-08 14:08 |
|
Stig Johansen wrote:
> Men point taken, jeg må få lavet noget key-auth på windåsen, og se om scp
> er med i 'chroot'en' (jeg var så doven, at jeg brugte et færdigt script).
Follow-up.
På Windåsen (cygwin) virker 'scp fil mig@linux:fil' ikke engang.
Med debug on så jag at sshd _dæmonen_ kommer med password prompt.
Så tror da fanden den 'hang' hele tiden (det så sådan ud).
Nå, det var bare en tilbagemelding hvis der er nogen, der nogensinde vil
rode sig ud i ssh(d) på windåser.
Jeg kan se at jeg skal igang på tegnebrædtet med ssh nøgler på kryds og
tværs, samt få bygget noget konsistent virtuel directory til cygwin/sshd.
Jeg ved ikke om det kommer til at fungere, men om ikke andet er der noget
til kommende googlere.
Hvis jeg husker det, skal jeg nok vende tilbage med en opdatering.
--
Med venlig hilsen
Stig Johansen
| |
Thorbjørn Ravn Ander~ (17-01-2008)
| Kommentar
Fra : Thorbjørn Ravn Ander~ |
Dato : 17-01-08 20:44 |
|
Stig Johansen <stig_johansen_it_at_=(@)hotmail.com> writes:
> Jeg kan se at jeg skal igang på tegnebrædtet med ssh nøgler på kryds og
> tværs, samt få bygget noget konsistent virtuel directory til cygwin/sshd.
Det behøver altså ikke være så avanceret.
ssh til din første box, webdav på din anden box, med brugerautenficering.
--
Thorbjørn Ravn Andersen
| |
Stig Johansen (17-01-2008)
| Kommentar
Fra : Stig Johansen |
Dato : 17-01-08 21:28 |
|
Thorbjørn Ravn Andersen wrote:
> Stig Johansen <stig_johansen_it_at_=(@)hotmail.com> writes:
>
>> Jeg kan se at jeg skal igang på tegnebrædtet med ssh nøgler på kryds og
>> tværs, samt få bygget noget konsistent virtuel directory til cygwin/sshd.
>
> Det behøver altså ikke være så avanceret.
>
> ssh til din første box, webdav på din anden box, med brugerautenficering.
Jeg har desværre ikke webdav på nogen af mine maskiner.
Jeg kunne lave det simpelt med FTP, men jeg vil gerne lave det krypteret
hvis jeg engang skulle få brug for at bruge det ud af huset.
Jeg var igang med at lave ssh/scp adgang fra chroot'en på min maskine og til
Windows.
Men jeg kom i tanker om, at hvis man har mulighed for at ssh'e ud af
chroot'en, så der der principielt mulighed for at ssh'e ind på min bruger.
Jeg tror mod at pipe scp kommandoer ind i en ssh på min windows server.
på den måde må jeg kunne emulere scp med to remotes, hvor det altid er
windows serveren, der styrer den subsidiære scp mod chroot'en.
Jeg ved godt det lyder besværligt, men det er også lige så meget for
'sportens' skyld.
Det er ikke noget der skal være færdigt nu og her, så jeg kan bygge lidt
hist og lidt pist, og så klare det mere eller mindre manuelt.
Jeg har downloadet et 'SSH tunneller'(=navn) program til windows, og der kan
man sortere i datoorden, og klare det med et 'par' højreklik.
--
Med venlig hilsen
Stig Johansen
| |
Thorbjørn Ravn Ander~ (17-01-2008)
| Kommentar
Fra : Thorbjørn Ravn Ander~ |
Dato : 17-01-08 23:44 |
|
Stig Johansen <stig_johansen_it_at_=(@)hotmail.com> writes:
> Jeg har desværre ikke webdav på nogen af mine maskiner.
Det kan både Apache og IIS. Det må du kunne få i luften, så brugeren
kan ssh'e en forbindelse til gatewayen og så lave noget portforwarding
til din server.
Det er såmænd ikke så svært.
--
Thorbjørn Ravn Andersen
| |
Stig Johansen (18-01-2008)
| Kommentar
Fra : Stig Johansen |
Dato : 18-01-08 08:16 |
|
Thorbjørn Ravn Andersen wrote:
> Stig Johansen <stig_johansen_it_at_=(@)hotmail.com> writes:
>
>> Jeg har desværre ikke webdav på nogen af mine maskiner.
>
> Det kan både Apache og IIS. Det må du kunne få i luften, så brugeren
> kan ssh'e en forbindelse til gatewayen og så lave noget portforwarding
> til din server.
>
> Det er såmænd ikke så svært.
Ikke teknisk, men det her er mine private udviklingsmaskiner.
Min superduper Server/IIS/MS SQLServer licens er betalt af en kunde, og jeg
er ikke sikker på jeg har råd til at gøre den 'ny' nok til at kunne køre
Webdav.
Min Linux/Database/Apache server har desværre snakket lid med IBM om
DeskStar syndromet, og jeg har ikke Apache på min Workstation.
--
Med venlig hilsen
Stig Johansen
| |
|
|