Возвращаясь к вопросам удалённого доступа и бастардов xmpp

IM развелось слишком много, ставить кучу левого ПО на свой ноут или на телефон нет желания. Первая мысль - найти готовый мультипротокольный клиент. Облом. Вторая мысль - найти проект, который будет работать с локально установленными IM-клиентами, выдавая удалённому пользователю общий интерфейс. Опять нет (хотя многие в этом направлении работают).

После того, как я понял что не программист, и реализовать обёртку над IM-клиентами не осилю, решил пойти админским методом - устанавливать IM-клиенты в отдельную ВМ. У большинства IM есть веб-морда, поэтому для начала хватит браузера. При необходимости можно смело ставить родные клиенты, даже если не доверяешь им - максимум что они смогут утащить из пустой ВМ - логи и контакты других IM.

Оставался лишь вопрос удалённого доступа. Google убрал код NeatX в архив. FreeNX после закрытия исходников nomachine nx зачах и работает криво. Зато в Fedora развивается очень интересный проект --x2go.

x2go, как и его предшественники, позволяет подключаться по ssh к удалённой машине. При этом создаётся графическая сессия, не привязанная к реальной консоли. Можно отключаться и подключаться. При этом на обоих сторонах ssh работает агент, который сжимает и кэширует трафик. А события иксов старается обрабатывать локально, не гоняя по сети. Получается высокая скорость и резкая экономия трафика (~ 0.5 КБ/сек в простое вместо ~ МБ/сек). В результате вполне можно работать удалённо, не выбиваясь в лидеры биллинга на рабочем прокси ;) Есть и недостаток - x2go использует старую библиотеку для работы с ssh, поэтому он не будет работать с KEX ecdh-*. Но опять же это решается админскими методами - выносом в изолированный vlan и доступом только из доверенной среды.

То, что нужно. Итак, в ВМ ставим debian в минимальной конфигурации. Зачем ставим x2go из его реп. Остаётся только добавить графический менеджер по вкусу и x11-xkb-utils для переключения раскладки. Я остановился на fluxbox, добавив в ~/.fluxbox/startup

/usr/bin/setxkbmap -layout "us,ru" -option "grp:caps_toggle,grp:alt_shift_toggle,grp:ctrl_shift_toggle,grp_led:scroll" -rules xfree86

Если x2go установлен на debian jessie, а подключаться пытаемся из древней ОСи, нужно будет разрешить на сервере ssh использование старого KEX diffie-hellman-group1-sha1 (man sshd_config, /KexAlgorithms).

Итак, на скриншоте ноут с дефолтным gnome shell. Запущены две x2go-сессии к разным ВМ, рядом для примера pidgin. Тема fluxbox - frenzy graphite, утянутая из одноимённого дистрибутива. Вместо привычного firefox запустил google chromium, т.к. он меньше грузит процессор.

>>> Просмотр (1920x1200, 259 Kb)

Доброго времени суток.

Свежеустановленныей Debian 7.2 ( wheezy ).

Недефолт отмечен рамкой. Да, это selinux в enforcing mode. Из коробки он будет работать только на сервере, но если глаза ещё горят красным, можно чуть допилить политику selinux, чтобы можно было её использовать на ноуте.

После сборки и включения в политику собственного модуля, работают gdm3, pulseaudio, fglrx. На скриншоте minicom подключен к management module p5 520; spice консоль virt-manager'а к одной из ВМ на домашнем сервере; java консоль к kvm домашнего сервера; подмонтировал диск по sshfs и смотрю с него фильм.

Тонкий момент, который редко упоминается в руководствах по selinux: в targeted политике есть такое понятие, как unconfined, «не ограниченный». Жёстко ограничены только демоны, работающие с сетью. А большая часть ПО относятся к домену unconfined_t и в пределах unconfined доменов может делать почти всё. Ближайшая аналогия - сеть крупной организации. Отдельные домены для демонов можно сравнить с DMZ, который ограничен по самое небалуйся, а unconfined_t домен - с обычной офисной сетью в пределах одного vlan'а

Не так страшен MAC и RBAC, как те кто действительно умеют этот треш настраивать :)

>>> Просмотр (1920x1200, 701 Kb)