Журнал Витуса

Разобрался тут, как использовать опцию -w у ssh. Надо будет в рассказку дописать.

Токен %T в LocalCommand вполне работает. А на серверной стороне у команды которая передана в командной строке ssh есть переменная среды SSH_TUNNEL.

Получилось следующее:

1. На сервере требуется опция PermitTunnel yes и PermitRootLogin yes в глобальном sshd_config и у рута в .ssh/authorized_keys ключи клиентов. Надо их ограничить, чтобы ничего лишнего не делал, прописав там command и прочее
2. На клиенте в глобальном ssh_config PermitLocalCommand yes
3. На сервере в /usr/local/bin скриптик sshnetsetup
4. На клиенте в /usr/local/bin sshnetclient и sshvpn
5. На клиенте в /etc/ssh файлиk vpn.conf, содержащий следующией настройки

```

 # !/bin/sh
 # Config file for  ssh vpn   

 # DNS name of server to connect to (required)
 SERVER=example.com
 # IP of this computer in VPN (required)
 MY_IP=192.168.217.194
 # IP of server in VPN (required)
 SERVER_IP=192.168.217.193
 # network to route via server (optional)
 NET=192.168.217.128/25
 # Port for dynamic port forwarding (optional)
 SOCKS_PORT=1080

```

SERVER - это имя сервера куда ходить по ssh в открытом интернете. А MY_IP и SERVER_IP - "серые" адреса внутри vpn. SOCKS_PORT - это чтобы не держать отдельной ssh-сессии для ssh -D, NET - это если нам сеть нужна не для обхода блокировок. а как виртуальная частная сеть, объединяющая наши компьютеры, вошедшие в интернет через разных провайдеров. На каждом клиенте для рута генерируется ключевая пара ssh и открытый ключ помещается руту на сервер.

На этом настройка заканчивася. Дальше запускаем sshvpn, оно устанавливает соединение и voila.

Скрипт sshvpn имеет следующий вид:

  #!/bin/sh
  if [ "$(id -u)" -ne 0 ]; then
     sudo "$0"
     exit "$?"
  fi
  if ! [ -f /etc/ssh/vpn.conf ]; then
      echo "No /etc/ssh/vpn.conf found"
      exit 1
  fi
  . /etc/ssh/vpn.conf
  ssh -w "any:any" -o LocalCommand="sshnetclient %T"  ${SOCKS_PORT:+-D "localhost:$SOCKS_PORT" }"$SERVER" sshnetsetup "$MY_IP"

Собственно интересны тут две последние строчки - прочитать конфиг и запустить ssh c кучей параметров из этого конфига. На клиенте в резулаьте выполнится следующий скрипт

#!/bin/sh
. /etc/ssh/vpn.conf
DEVICE="$1"
ip addr add dev "$DEVICE" local "$MY_IP" peer "$SERVER_IP"
ip link set "$DEVICE" up
[ -n "$NET" ] && ip route add "$NET" via "$SERVER_IP"

Он прочитает тот же конфиг и сконфигурирует интерфейс, имя которого ему передано в командной строке через токен %T (см раздел TOKENS в man ssh_config)

На сервере выполняется вот такой скрипт:

#!/bin/sh
client=$1
if  [ -z "$client" ]; then
    client="${SSH_ORIGINAL_COMMAND##* }"
fi
ip addr add 192.168.217.193 peer $client dev $SSH_TUNNEL
ip link set $SSH_TUNNEL up
# now wait until other side would break connection
cat

Он конфигурирует интерфпейс указанный в переменной среды SSH_TUNNEL в переданный ему в командной строке из клиентского sshvpn IP-адрес, а потом запускает команду cat, т.е. ждет ввода на stdin до упора. Пока SIGINT не прилетит. Если в authorized_keys мы пропишем command=/usr/local/bin/sshnetsetup, то параметр $MY_IP sshd в скрипт не передаст. Зато засунет оригинальную команду в SSH_ORIGINAL_COMMAND, откуда этот адрес мы и выкусываем. Особые параноики могут там использовать какой-нибудь sed, чтобы убедиться что ORIGINAL_COMMAND это действительно sshnetsetup ip-address.

При таком сетапе, когда IP-адреса клиентам назначаются явным образом и прописываются на клиентах же в конфиг, нет необходимости что-то делать с динамическим DNS можно всех клиентов статически прописать.

Теперь бы еще разобраться как совместить это дело с SessionType=none (aka -N) и RemoteCommand.

Нашел вот в дистрибутиве пакет libpam-ssh-agent-auth и вот теперь думаю, а повысится ли безопасность моего сервера, если я его буду использовать.

Работает эта штука так - прописывается в /etc/pam.d/sudo и аутентифицирует пользователя желающего сделать sudo, если у него имеется работающий (отфорварженный) ssh_agent с доверенными ключами.

Какому файлу доверять - прописываается в /etc/pam.d/sudo. Можно прописать свой рабочий ~/.ssh/authorized_keys, можно для желающих пользоваться sudo завести отдельный файлик где-нибудь в /etc/.

Оба подхода имеют свои преимущества. Первый - если у меня утек какой-то из приватных ключй ssh, например утерян ноутбук или смартфон, я быстрее вычищу скомпрометированный ключ если он будет лежать в приватном месте. Второй - злоумышленнику недостаточно добраться до моего аккаунта, нужно уже получить рута чтобы прописать свои ключи в этот файлик.

Но главное вообще-то не в этом. Главное в том, что если у нас sudo с паролем, то вообще говоря оно уязывимо к установке keylogger, а вот ssh-вый агент использует криптографию с открытыми ключами, и поэтому не боится перехвата чего либо на стороне сервера.

Но у пароля есть крайне полезное свойство - если на локальной и удаленной машине пароли разные, то когда юзер перепутает окно и наберет не на той машине, пароль не подойдет и команда не выполнится. Вероятность перепутать окно, несмотря на то что prompt-ы разноветные и содержат имя машины - намного выше вероятности хакерской атаки.

Хотя вот на работе жил я с NOPASSWD в sudoers (там было слишком много серверов и контейнеров, чтобы везде пароли расставлять) и ничего.

P.S. Соберетесь настраивать у себя, не забудьте прописать в /etc/sudoers, что environment кирпичом не чистят переменную SSH_AUTH_SOCK из environment удалять не надо. А то не найдет вашего агента.

X-Post to LJ

https://arstechnica.com/security/2025/05/signal-resorts-to-weird-trick-to-block-windows-recall-in-desktop-app/

ТУт Microsoft решила вставить в Windows фичу Windows Recall. Эта штука делает скриншоты каждые три секунды, распознает текст с них и позволяет делать поиск на тему "тут я на днях что-то читал про keyword, что это было?"

Казалось бы штука полезная. Но фактически это приводит к тому, что все, что человек делал на компьютере, где-то сохраняется. И кто-то может получить к этому доступ. Этим кем-то могут быть правоохранительные органы, члены семьи, а то и троян, севший на компьютер.

Поэтому защитники приватности в панике.

Разработчики мессенжера Signal изящно выкрутились - они пометили свои окна как содержащие copyrighted content, и соответственно на скриншотах такие окна изображаются черными прямоугольниками. И на скриншотах, делаемых Recall - тоже.

(помнится было дело, писал покойный Ленский обзор какой-то компьютерной игры, и нужны ему были скриншоты. А игра очень не любила чтобы с нее делали скриншоты и стримы. Пришел Ленский ко мне в гости, запустили мы эту игру то ли в qemu, то ли в dosemu, а против лома нет приема. Если мы делаем скриншоты с эмулятора, то запущенная внутри эмулятора программа про это знать не знает).

На мой взляд наличие у компьютера памяти о действиях пользователя, особенно в сочетании с AI, вещь однозначно полезная. А попытки требовать согласие второго участника разговора на запись этого разговора - несправедливы. Все что видели глаза и слышали уши человека он имеет право сохранить в памяти, биологической ли, технической ли, навечно. И проблема здесь скорее в том, что компьютер недостаточно защищен от проинкновения посторонних людей.

Вообще когда AI в персональьных компьютерах станет нормой, вероятно имеющееся в законодательстве право не свидетельствовать против себя и близких родственников должно быть распространено на компьютеры. И АI должен иметь право не свидетельствовать против хозяина.

Помнится покойный Куздра некогда развивал мысль, что для наведения порядка в финансовой сфере надо всего лишь разделить организации, занимающиеся обслуживанием расчетной деятельности людей и организаций, и организации, занимающиеся кредитованием и инвестированием.

Все равно ж сволочи комиссию за аквайринг берут. Вот пусть те кто берут, на нее и живут.

Сейчас я что-то аналогичное подумал про мессенжеры, прочитав что одной из претензий Роскомнадзора к Вайберу было "распространение ложной информации". Ну не дело мессенжеру работать СМИ. Это средство для коммуникации точка-точка. Ну может быть группового чата.

Вот если н путать средство общения межу людьми с каналами распространения информации у всяких крупных игроков - что государств с их цензурой, что корпораций с их копирайтом и деловой репутацией будет куда меньше желания вмешиваться в их работу.

Чеширнет я некогда позиционировал только как средство распространения информации, считая личную переписку там лишней. Но не взлетело. С точки зрения конечного пользовтеля ему нужен гибрид ужа с ежом, который почему-то оказывается вдвойне уязвим.

На слэшдоте пишут, что китайские спецслужбы на протяжении месяцев подклчюались к американскому аналогу СОРМ.

(ну то что российский СОРМ читает NSA я уже давно писал.)

А эксперты по компьютерной безопасности уже десятилетия талдычат, что не бывает бэкдоров, которые кого надо бэкдоры. Если дыра есть, то вражеская спецслужба обязательно до нее доберется.

Правда, как мы знаем, в США есть глубокое убеждение что они одни умные, а весь остальной мир - дураки. Поэтому можно продавать наружу 40-битную криптографию, а у себя использовать 128-битную, как это было в конце прошлого века. Оказалось, конечно, что остальной мир не лыком шит, и просто разработка криптософта уехала с территории США.

Теперь аналогичная ситуация с государственными бэкдорами. Это не только американцы могут следить за окружающими "дикарями", это и другие технологически развитые страны могут следить за американцами.

NIST тут опубликовал Digital Identity Guidelines. В этом документе (обязательном к исполнению для правительственных служб США и их контракторов) явным образом запрещаются наиболее идиотские политики работы с паролями, распространенные в корпоративном мире.

Так, например, запрещается требовать регулярной смены паролей. Требовать смены пароля можно и нужно только если есть подозрение на компрометцию.

Нельзя требовать наличие в пароле символов из каких-то определенных наборов. Типа чтобы обязательно присутствовала хотя бы одна цифра или хотя бы один знак препинания. Это up to user, как обеспечить требуемую энтропию.

Зато требуется длина не менее 8 символов (а лучше не менее 15) и иметь возможность использовать как минимум 64 символа.

В общем, фашиствующие сисадмины, которые своим security theater реально снижают безопасность, стали настолько реальной проблемой, что в США приходится с ними бороться посредством государственного регулирования.

См также на слэщдоте и arstechnica.

Прочитал тут на слешдоте про две проблемы, возникшие у федеральных органов США.

1) https://yro.slashdot.org/story/24/04/28/2140203/bezos-other-amazon-execs-used-signal---a-problem-for-ftc-investigators FTC занялось расследованием деятельности Амазона. А тамошние начальники, гады такие, оказались компьютерно-грамотными и для конфиденциальной переписки пользовались мессенджером Signal, который действительно умеет обеспечивать конфиденциальность, да еще и пользовались правильно. Нету теперь этой переписки, и использовать ее в расследовании не получится.

2) https://yro.slashdot.org/story/24/04/28/2235258/americas-commerce-department-is-reviewing-chinas-use-of-risc-v-chips US Departament of Commerce взволновался, что китайцы активно развивают процессоры с архитектурой RISC-V, и боится теперь, что Китай лишит америку технологического доминирования в области SoC, процессоров для смартфонов и тому подобного. А делать непонятно что - RISC-V это не ARM, все спецификации OpenSource, и не прижать китайцев никак.

Для меня, конечно, RISC-V тоже проблема. Портироваться туда надо, а из поддерживаемых нами дистрибутивов Linux эту архитектуру умеют полторы штуки. В смысле Ubuntu уже умеет как следует, а Debian и Alt - на четвертушку каждый. В смысле в sid и Sisyphus оно есть, но про выход стабильных релизов пока молчок. Пока это привело только к тому, что у нас на серверах появился третий дистрибутив. Кроме Debian (на x86 и arm) и Alt (на эльбрусах) теперь у нас есть сервер с Ubuntu.

Но вообще если так дело пойдет, то американцам не Китая бояться надо, а появления независимых ни от какого импорта мощностей по производству процессоров у Росссии, Северной Кореи и Ирана.

Тут возникла идея для защиты от блокировки openvpn посредством dpi использвать openvpn-xor патч. Поглядел я на этот патч и у меня возникло устойчивое впечатление что от данной поделки надо держаться подальше

Обсуждение патча на сайте людей которые его распростнаяют со своим продуктом содержит следующие моменты

1) As the OpenVPN developers point out, the patch has never been through a thorough review for security, coding, etc. However, a Tunnelblick developer has reviewed the patch, found some problems, and modified it in Tunnelblick to resolve those problems. The problems that were found and fixed involved insufficient parameter validation, null pointer dereferences, division by zero errors, and a buffer overflow. Some defensive programming was also added to the modified version of the patch to increase its robustness.

2) The original post proposing the patch claims that using the patch is sufficient to secure communications and that no other encryption is necessary:

"With this obfuscate option, I think that it is ok to use "cipher none", because working out the method used would take a lot of cryptoanalysis. The obfuscate option is also much easier on the CPU than any cipher options This is incase you are using ddwrt or openwrt or have a low speed cpu."

Do not take this advice! The obfuscation provided by this patch appears to be extremely rudimentary. Beware of cryptographic advice from amateur cryptographers!

Сам патч при этом близок к тривиальному см исправленную версию. При этом попатчить man-страницу, добавив описание опции scramble не осилил ни оригинальный автор, ни разработчики tunnelblick.

Разработчики openvpn сказали авторам патча "ребята вы охренели, используйте лучше obfsproxy". Правда, основной их резон "мы не хотим играть в кошки-мышки с Великим Китайским Файрволлом".

Основной мой резон, почему мне не нравится идея применить этот патч - это правило 13-удара часов. "Если часы бьют 13 раз, то это заставляет сомневаться не только в 13 ударе, но и в остальных 12".

Если автор сумел насажать буфер оверфлоу в таком простеньком патче, то может ну его всё-таки нафиг, пользоваться его творчеством. Хотя говорят, Великий Китайский Файрволл пробивает по-прежнему, несмотря на то, что патчу уже больше 10 лет.

X-Post to LJ

Рассказ Азимова "Хоровод" где описаны роботы, неспособные сдвинуться с места без человека на плечах, опубликован в марте 1942 года.

Больше 80 лет прошло и теперь опять приводят как "одно из базовых правил информационной безопасности - в учётки людей могут ходить только люди, в учётки программ/ботов могут ходить только программы/боты. Именно для этого принято разделять логины по user/password и secret id." (цитата из нашего корпоративного чата).

Что характерно, всякие яндексы теперь требуют специальных аксесс-токенов даже от робота с человеком на плечах, например от интерактивного почтового клиента.

Я уж не говорю что это очень удобно, когда ты можешь завести робота, который по крону будет выносить корзину с удаленными письмами из твоего imap-аккаунта, качать vcard-ы из корпоративного лдапа в твою записную книжку и т.д.

X-Post to LJ

Тут некоторое время назад я писал про появление белого списка VPN. Что до наших контрлоирующих органов наконец дошло что не все VPN предназначеные для обхода цензуры, а некоторые - для обслуживаниея критичной инфраструктуры.

Вчера в нашем корпоративном чате можно было наблюдать в реальном времени репортаж о применении этого нововведения. Как наши сисадмины добивались от Билайна при посредстве Роскомнадзора чтобы они не создавали препятствий для работы наших удаленных сотрудников. Добились. Но ближе к концу рабочего дня.

В процессе был момент, когда письма на билайновские адреса поддержки стала возвращаться по причине переполненности ящика. Видимо мы не одни такие успели вписаться в белый список, и очередная попытка блокировать openvpn, вызвала волну писем "а нашу ВПН вы блокировать не имеете права, у нас пайцза есть".