Jdoe’s Throwaway

Tempo fa installai openssh5 sul mio server perchè necessitavo della nuova feature introdotta in quella versione, che permette in pochi passi e senza troppi problemi di avere un chroot selettivo per alcuni utenti, in modo da poter abilitare SFTP e disabilitare il login. Veniva (e viene) usato per bzr e devo dire che è molto comodo: si abilita in un attimo

Una volta installato openssh5 (io ho openssh-5.0_p1) basta aggiungere le seguenti righe al file /etc/ssh/sshd_config

Match group bzrsftp
    ForceCommand internal-sftp
    ChrootDirectory /srv/bzr/%u

e questo limita tutti gli utenti che fanno parte del gruppo bzrsftp a usare sftp (i tentativi di login per avere una shell falliscono) e esegue il chroot nella loro directory: in questo modo vedono solo i loro file (il repo) e tutti vissero felici e contenti :p

Oggi avevo bisogno invece di avere un utente che potesse loggarsi per fare un reverse tunnel (per esporre un servizio hostato nella rete fastweb… discorso lungo, cmq nulla di che ).
Solo che non volevo che questo utente (che si connette con la chiave ma senza passphrase) avesse accesso a tutti i file e a tutti i programmi sul server…

Per prima cosa vi conviene creare l’account e testare il login con chiavi (mettendo la chiave pubblica nel file ~/.ssh/authorized_keys) e quando tutto funziona pensare al chroot.

Dopo un po’ di smattamenti sono arrivato alla conclusione.. intanto serve la conf di sshd
(sempre in /etc/ssh/sshd_config)

Match User tunnel
    ChrootDirectory /home/%u
    GatewayPorts clientspecified
    AllowTcpForwarding yes

Quindi è necessario copiare un po’ di eseguibili dentro la sua home directory
E’ un po’ noioso (andrebbe scriptato, ma non credo che mi ricapiti), assumiamo che la home dell’utente sia /home/tunnel:


# cp -rp /bin /home/tunnel/
# cp -rp /lib /home/tunnel/
# mkdir -p /home/tunnel/usr/{bin,lib} /home/tunnel/{etc,proc,dev} /home/tunnel/home/tunnel
# cp /usr/bin/{id,dircolors,ssh} /home/tunnel/usr/bin
# cp /usr/lib/{libcrypto.so.*,libssl.so.*} /home/tunnel/usr/lib
# cp -rp /home/tunnel/.ssh /home/tunnel/home/tunnel/.ssh
# cp -rp /etc/{bash*,resolv.conf} /home/tunnel/etc
# mount -t proc none /home/tunnel/proc
# mount -o bind /dev /home/tunnel/dev


Forse non è minimale come avrei voluto, ma è sufficente a far loggare l’utente e dargli qualche comando base… in più è possibile per l’utente fare i tunnel, e grazie alla direttiva GatewayPorts clientspecified può bindare i reverse tunnel su indirizzi diversi da 127.0.0.1 (in particolare mi l’ip pubblico del server)
Ricordatevi che i due comandi mount vanno dati all’avvio della macchina, se riavviate, quindi o li mettete nello script di avvio “local” o mettete le relative entry in /etc/fstab

Edit 20081116

C’è da aggiungere una cosa: le sessioni ssh vanno in timeout se non ci sono dati scambiati tra il client e il server.. E ovviamente quindi il tunnel cade se non ci sono dati che lo attraversano.

La soluzione è aggiungere

ClientAliveInterval 60

Che manda un keepalive al minuto che tiene su il tunnel. 60 è indicativo, potete anche aumentarlo o diminuirlo. ClientAliveInterval non può essere aggiunto (anche se mi sarebbe piaciuto) nel “blocco” di configurazioni per il nostro utente (Match User tunnell) ma va aggiunto nelle conf globali.

Usando bzr come VCS preferito, ho sempre trovato scomodo il file distribuito insieme al pacchetto su gentoo per abilitare la bash-completion. Infatti lo script completa solo qualche comando, non tutti, mentre io spesso non mi ricordo il nome preciso del comando e sono sempre a dare bzr help commands :p

E sicome sono pigro, mi sono riscritto lo scriptino: non so se funziona per voi, per me si. Beh, più che riscritto me lo sono “esteso” con i comandi che mancavano.

Lo script lo potete trovare qua: http://jdoe.asidev.com/files/bzr-autocompletion-20081103

per usarlo, basta che lo mettiate nella directory

~/.bash_completion.d/

con nome

bzr

Ah, ovviamente dovete avere bash-completion abilitata!

Io sono assuefatto a gentoo, però ultimamente per qualche server sto usando debian.. una cosa che mi è sempre mancata (che gentoo ha di default) è il poter cercare nella history quando ho scritto metà comando..

ad esempio, se io scrivo

# ls -lad /home/jdoe/

e dopo un tot di tempo voglio ridare il comando, con gentoo semplicemente scrivo “ls” e quindi con pageUp e pageDown scorro tra gli ultimi comandi che iniziano con ls…. e lo trovo comodo a bestia :p

Se volete abilitare questa cosa su debian, basta abilitare bashcomp

$> vim /etc/bash.bashrc

e decommentate le righe

if [ -f /etc/bash_completion ]; then
    . /etc/bash_completion
fi

quindi

$> vim /etc/inputrc

e decommentate le righe

"\e[5~": history-search-backward
"\e[6~": history-search-forward

Parlando con Leonardo approposito del suo blog sui gdr mi sono ricordato di averne uno

molto… molto trascurato.

Ora, ecco il buon proposito: tra un po’ dovrò (yum) tirare su un clusterino HA per la virtualizzazione… avevo pensato di scrivere le varie tappe e i problemi con cui mi imbatterò.. anche per tenere uno storico mio del perché certe decisioni saranno prese (e ci giuro che nel mio caso non è una cazzata, spesso mi chiedo “ma perchè strac***o ho fatto così?!???” solo perché mi sono dimenticato quali problemi avevo avuto…

altra cosa: tra meno di 5 giorni c’è l’ora X (che ho paura sarà terribilmente noiosa…)

Si, alla fine anche jdoe.biz non andava più bene, c’era da ripagare e non mi faceva loggare sul sito di supanet… quindi.. sticazzi, ora tengo ’sto qua che di sicuro non scade :p

A presto

Ultimamente c’ho giocherellato un po’.. in verità lo uso per testare il cluster xen (si, faccio gentoo -> kvm->ubuntu->xen->gentoo, qualche problema? )

kvm è fantastico, se usato con lvm anzichè le immagini qcow per i file è anche piuttosto veloce. Più o menoc come virtualbox, che magari è più semplice da far andare per i più (cliky-clicky-cliky-kab00m) però non supporta PAE, e io ci devo far girare dentro centos o ubuntuserver, che hanno PAE nel kernel xen.. quindi it’s a no-go :p KVM, invece per ora non fa una piega

L’howto è finalizzato a configurare kvm per andare con le schede di rete in bridged mode, ovvero è come se la macchina virtuale fosse sulla lan insieme al resto dei pc di casa e al router.

In più, una seconda rete, tutta virtuale, per connettere le macchine tra loro (yum )

Lo trovate qua

Appena finito… trovate maggiori info (in inglese) nella sua paginetta

l’ho fatto una settimanina fa e per ora mi funziona… cosa che nn significa che a voi debba necessariamente funzionare.

Cmq, se a qualcuno interessa, è li

Per parigi  Mi son fatto un listone dei jazz-club che meritano, quando torno (martedi 25) farò un resoconto..sempre che il freddo polare e piogge che i vari siti di meteo millantano per questo w-e pasquale non si mettano di mezzo tra me e la gloria e dire che i francesi mi stan proprio sul c****… vediamo, gli do un’ultima possibilità

ma alla fine mi sono comprato una cravatta.

ok, di scarso interesse per la popolazione mondiale, ma non era mai successo e per chi mi conosce suonerà strano…