Компания Gravitational объявила о доступности нового свободного SSH-пакета Gravitational Teleport (Teleport), предлагающего клиент и сервер SSH, оптимизированные для упрощения работы персонала, обслуживающего кластеры с большим числом узлов. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Реализация SSH обратно совместима с OpenSSH и построена с использованием библиотеки Golang SSH.

Teleport пытается автоматизировать работу и повысить безопасность инфраструктур, в которых группам людей требуется доступ к различным серверам в кластере. Вместо применяемой в OpenSSH аутентификации по ключам, чтобы избежать необходимости копирования ключа каждого пользователя на узлы, в Teleport используются централизованные серверы аутентификации, выполняющие функции локального удостоверяющего центра (CA). При успешной аутентификации, для обеспечения входа сервер аутентификации генерирует временный сертификат, заверенный цифровой подписью CA. Достоверность узлов также подтверждается при помощи сертификата, подписанного CA.

Помимо проверки сертификата при каждом входе обязательно применяется двухфакторная аутентификация, требующая подтвердить намерение входа альтернативным путём (поддерживаются Google Apps и клиенты OAuth2). Не допускается прямое обращение к конечным узлам, для доступа требуется подключение через специальный прокси-сервер.

Другие особенности Teleport:

( читать дальше... )

>>> Подробности

Можете объяснить как работает система электронных подписей? Задача - получение реестра блокировок Роскомнадзора. В Интернете об этом написано много. Я так понимаю общий принцип - я формирую xml-файл запроса, потом вычисляю хэш этого файла, потом применяю к хэшу закрытый ключ и получаю файл отсоединённой электронной подписи, потом отправляю xml-файл запроса и файл отсоединённой электронной подписи в Роскомнадзор, там электронную подпись расшифровывают открытым ключом, вычисляют хэш, убеждаются что он совпадает, потом смотрят в файл запроса где указаны ИНН и ОГРН, убеждаются что я действительно представляю компанию, имеющую лицензию оператора связи и высылают мне реестр.
Вопрос, как это делается практически. Ключи получаются в любом из аккредитованных удостоверяющих центров. Наша компания пользуется услугами «Контура». Как-то всё это работает, но как именно не расколдую. Есть скрипт на perl, запускающийся по cron и есть usb-токен от «Контура». Через пару месяцев срок действия ключа должен истечь. Я так понимаю «Контур» выдал нам токен с закрытым ключом и одновременно с этим передал открытый ключ в Роскомнадзор? Вопрос как скопировать ключ с токена на жёсткий диск и как подписывать, используя открытое ПО? В основном первый вопрос.

Как сделать ip-калькулятор при помощи bash? Нужна такая функция - в качестве аргумента указываешь адрес подсети, например 192.168.0.0/24, а он тебе через пробел выдаёт все адреса, в эту подсеть входящие.

Что-то много о меня на сегодня вопросов. Потому как много задач встаёт.
Вот как подключаться к «рабочему столу» linux? Вот в этой теме GUI удалённо но не локально разбиралось как поднять X-сессию в TigerVNC. Мне это удалось. Теперь хочу разобрать как прицепить TigerVNC к уже работающей X-сесии. Или может быть TigerVNC тут не нужен? Уходя с работы, оставил открытыми несколько окон, теперь понадобилось на них взглянуть. Рабочая среда - XFCE, хотя подозреваю, это не столь важно. ssh-доступ к рабочему компу есть.

Допустим нужно зайти по ssh на железку 128.0.0.3, логин:пароль root:root. Железка аутентификацию по ключу не поддерживает, только по паролю. Но клиент openssh не умеет передавать пароли открытым текстом, а хочется всё же автоматизировать, чтобы руками не вводить. Как сделать?

Как в Fedora 23 настраивается звук, извините за тупняк? Тут используется pulseaudio, к которому я ещё не привык.
Если alsa, то тут всё ясно: добавляешь юзера в группу audio, потом alsaconf или alsactl - и всё само настраивается автоматически, потом alsamixer или любой GUI-микшер, я обычно использовал xfce4-mixer.
А как быть с pulseaudio? Короче у меня в xfce4-mixer отображаются ползунки «HDA Intel PCH», а в xfce4-pulseaudio-plugin их нет. Как это настраивать?

Можно ли добавить сетевой принтер HP в cups без использования админпанели localhost:631? Когда админпанель предлагает ввести логин и пароль, можно как-то сделать, чтобы обойтись без ввода пароля рута?

Вопрос, из windows-программы, запущенной в wine вызвать linux-программу можно?
Вот у меня работает в wine программа для мониторинга The Dude, из неё можно вызывать различные инструменты для управления элементами сети. По умолчанию вызывается windows-клиент putty. А вот могу ли сети вызывать linux-клиент раз уж в linux работаю, например вызвать запустить ssh в эмуляторе терминала, учитывая что в wine пути другие, команда должна выглядить вроде

Z:\usr\bin\xfce4-terminal -x /usr/bin/ssh root@128.0.0.3

Хочу сделать VPN-доступ из дома на работу. Решил отказаться от openvpn, решать через суровый pptp. Начал настраивать, понял что что-то недопонимаю. Вот pptpd установлен и запущен как сервис,
содержание /etc/pptpd.conf такое:

option /etc/ppp/options.pptpd
logwtmp
localip 192.168.199.1
remoteip 192.168.199.2-254

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd

192.168.0.0/24 gw 192.168.199.1
192.168.212.0/24 gw 192.168.199.1

Оказалось виндовое ПО для MikroTik отлично работает в wine: и winbox и The Dude. Но вопрос не об этом.
У меня рабочая среда - XFCE, вот я установил The Dude, потом хочу создать значёк запуска на рабочем столе XFCE.
Кликаю на рабочем столе правой кнопкой, выбираю «Создать значёк запуска»,
вбиваю в поле «Рабочий каталог» - «/home/iskatel/.wine/drive_c/Program Files (x86)/Dude»,
в поле «Команда» - «wine dude.exe» в поле «Имя» пытаюсь написать «The Dude» и тут у меня появляется выпадающий список в котором пункт «Создать значёк запуска The Dude» - выбираю его, и о чудо, у меня на рабочем столе XFCE появился значёк The Dude,
в содержимом появившегося desktop-файла есть такая стока «Icon=232D_dude.0» То есть удалось выловить виндовый значёк.
А вот для других программ такое не прокатывает. Научите вылавливать виндовые значки. Может для этого инструмент какой есть?

Как создать виртуальную машину в KVM с архитектурой x86 для запуска 32-битной Windows? virt-manager позволяет создавать только с архитектурой x86_64. И вообще, имеет ли смысл это делать для экономии ресурсов? Параметры хостовой машины - Intel Core i3 3.30GHz, 2 Гбайт RAM.

Объясните мне такую вещь. Вот есть управляемые коммутаторы D-link, в основе прошивки которых лежит ядро linux. И есть на этих коммутаторах одна из самых простейших команд, позволяющая увидеть mac-адреса всех слинкованых с ним устройств, это «show fdb». Так если это так просто на свитчах, в основе которых linux - так значит оно возможно и на десктопно-серверном линуксе? Спрашивал несколько раз на ЛОРе - меня отсылали к командам arp и arp-scan, но это не совсем то - show fdb позволяет увидеть mac устройства через несколько секунд после того как оно было слинковано, а arp и arp-scan покажут mac только если с этим устройством был длительный обмен ip-трафиком, и вообще причём тут arp - протокол сопоставления ip-адресов mac-адресам, если об ip-адресах разговора вообще не было, речь чисто о взаимодействии на 2 уровне tcp/ip. Сразу после линкования в обе стороны должны пройти управляющие кадры и их mac-адреса сохраниться в буфере или я не так что понимаю? То же самое касается не только десктопно-серверного линукса, но и операционной системы для маршрутизаторов MikroTik RouterOS, в основе которой - тоже ядро linux и в котором тоже нет инструмента для просмотра mac-адресов слинкованых устройств. Подскажите, пожалуйста, что-нибудь по этому вопросу, может какой-то модуль ядра включать надо?

С момента моей прошлой темы я нормально виртуализацию так и не освоил. Но продолжаем копать, что же это такое.
Вот, задача - запустить Microsoft Edge, это типа такой вариант оффтопика, который мелкомягкие предоставляют совершенно бесплатно. Для загрузки предлагаются варианты для VirtualBox (внутри архива - образ в формате ova) и для Vargant (внутри архива - образ в формате box). Но я хочу запустить под QEMU-KVM. Что мне для этого нужно?
Ну я так понимаю, нужен конвертер образа ova или box в формат qemu. Какой?
Дальше мне нужен libvirt, чтобы не пришлось заморачиваться скриптом, запускающим ВМ. Когда последний раз ковырял пакет libvirt, видел что в его состав входит сервис libvirtd.service отвечающий за автоматический запуск ВМ и взаимодействие с администратором. А конфигурации самих ВМ хранятся в xml-файлах. Дальше, честно говоря, ковырять стало лень, потому что хотелось бы не морочиться редактированием xml-файлов, а иметь инструмент, который будет работать из коробки, но в то же время будет достаточно прозрачным и ничего не будет делать у тебя за спиной.
А для этого мне нужны такие инструменты как virt-manager или vagrant, если я правильно понял смысл викистатей, то и первое и второе - фронтенды для libvirt с удобным интерфейсом. Тогда как понять то, что образ для загрузки предназначен для vargant, как может быть образ для фронтенда?

У сервера, где стоит Apache нет доменного имени. Как сделать, чтобы обращения к виртуальным хостам без домена работали?

/etc/httpd/conf/httpd.conf:

ServerRoot "/etc/httpd"
Listen 127.0.0.1:80
Listen 192.168.0.208:80
User apache
Group apache
AddDefaultCharset UTF-8
EnableSendfile on


<Directory />
    AllowOverride none
    Require all denied
</Directory>
<Directory "/var/www">
    Require all granted
</Directory>


ServerAdmin admin@localhost
DocumentRoot "/var/www/zaglushka"
ErrorLog "/var/www/zaglushka/error_log"
LogLevel warn
<Directory "/var/www/zaglushka">
    Options All
</Directory>

Include conf.modules.d/*.conf
<IfModule dir_module>
    DirectoryIndex index.html
</IfModule>
<IfModule log_config_module>
    LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
    LogFormat "%h %l %u %t \"%r\" %>s %b" common
    <IfModule logio_module>
       LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %I %O" combinedio
    </IfModule>
    CustomLog "logs/access_log" combined
</IfModule>
<IfModule mime_module>
    TypesConfig /etc/mime.types
    AddType application/x-compress .Z
    AddType application/x-gzip .gz .tgz
    AddType text/html .shtml
    AddOutputFilter INCLUDES .shtml
</IfModule>
<IfModule mime_magic_module>
    MIMEMagicFile conf/magic
</IfModule>


IncludeOptional conf.d/*.conf

/etc/httpd/conf.d/mediawiki.conf:

<VirtualHost *:*>
   ServerName mediawiki
   ServerAdmin admin@localhost
   DocumentRoot "/var/www/mediawiki"
   ErrorLog "/var/www/mediawiki/error_log"
   <Directory "/var/www/mediawiki">
      Options All
   </Directory>
</VirtualHost>

Нужно, чтобы виртуальный хост mediawiki был доступен по url http://192.168.0.208/~mediawiki, или http://192.168.0.208/mediawiki, где-то видел такое.

Какой из этих однострочников для копирования из каталога в каталог более верный?

for fl in dir1/*; do cp -R "$fl" dir2; done

find dir1 -true | while read fl; do cp "$fl" dir2; done

find dir1 -true -exec cp '{}' dir2 \;

find dir1 -type f -exec cp '{}' dir2 \;

Можно ли сделать так, чтобы GUI был доступен только удалённо, но не локально? VNC-сервера x11vnc и TigerVNC это ведь по сути X-сервера? Вобщем, если я в содержимое скрипта startx запишу:

#!/bin/sh
/usr/bin/xinit /usr/bin/startxfce4 -- /usr/bin/x11vnc

В моих недавних темах этой и этой про исследование сервера и сканирование сети мне сказали, что я хочу странного. Но недавно я таки признался чего хочу знать, но стесняюсь спросить. Короче, я ищу шпионское ПО и шпионское железо в своей сети.
Тему со шпионским железом пока отложим с сторону, начнём с ПО. Представьте, что вы админ сервера на Linux, который через неделю у вас отберут. И вот вы делаете некую настройку, чтобы продолжать иметь доступ к серверу даже после того как новый админ поменяет все пароли. Мотивация может быть разная: возможно вы работаете на конкурентов, или вынашиваете гнусный план крашануть базу за день до сдачи отчётности, а потом потребовать выкуп или просто потешить своё ЧСВ, или просто с детства любили подглядывать в замочную скважину. Вопрос такой: куда вы будете прятать закладку, чтобы новый админ месяц её не мог найти? Принимаются ответы от очень простых до сложных.

Пишу вопрос в Development потому что задача скорее на программирование, а не на сисадминство.
Короче есть сеть провайдерская на управляемых свитчах D-Link, централизованного управления свитчами нет, есть система мониторинга «The Dude v.4», заморачиваться со сложными системами вроде zabbix не хочу пока, на первое время можно обойтись и простенькими костылями.
Все свитчи доступны по telnet с одной и той же связкой логин-пароль и модели одни и те же. Допустим у меня есть текстовый файл с ip-адресами свитчей. Нужен скрипт, который на всех свитчах запустит команду «show vlan» (ну самая элементарная задача для первого раза) и распарсит вывод. Программировать ни на чём не умею, ну на bash чуть-чуть. В какую сторону копать?

Пытаюсь на CentOS сбросить пароль root и не получается.
Гружусь с флешки, открываю /etc/passwd, убираю «х» из второго поля записи root, оставляю поле пустым, чтобы авторизация без пароля шла (в Убунте такой финт работает) - и фигушки.
Пробую другой способ. гружусь с флешки, чтутюсь, задаю новый пароль командой passwd - снова фигушки.
Чую, что собака зарыта в /etc/pam.d/system-auth-ac. В нём записано такое:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

Интересуюсь инструментами для сканирования сети. Есть продвинутые штуки: tcpdump, arp-scan и nmap, есть фронтенд для nmap под названием zenmap, а если ли какая-нибудь прога для тупых, чтобы не заморачиваться, а просто нажал кнопку и она сама всё просканирует, всё обнаружит.
У меня новая работа, мне бы тут грамотно инвентаризацию сети провести, нужно программно обнаружить все компы, на каких линукс, на каких винда, какие порты открыты, и не только компы, но и управляемые свитчи...