#sshuttle - le #VPN du pauvre
▻https://github.com/sshuttle/sshuttle
à noter, le créateur du script semble l’avoir abandonné depuis 2012, et brew utilise sa vieille version qui ne marche plus avec les OSX récents ; bref il faut l’installer depuis l’URL ci-dessus ; cela s’utilise comme suit :sshuttle -r user@machine-relay.tld 0/0
(où user@machine-relay.tld est un compte ssh)
et bien sûr ▻http://api.ipify.org pour vérifier que ça marche. Il y a aussi une petite GUI si l’on préfère.
En fait je n’aime pas cette expression « VPN du pauvre », car ça a surtout l’intérêt d’être simple et rapide à déployer, aors qu’un VPN c’est toujours un peu compliqué.
Ils essaient de faire (entre autres choses) un VPN facile à utiliser : ►https://bitmask.net
linux - #ssh access problem: debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY - Server Fault
▻http://serverfault.com/questions/210408/ssh-access-problem-debug1-expecting-ssh2-msg-kex-dh-gex-reply/676026#676026
2 bidouilles possibles pour se essayer de se connecter sur un #serveur qui ne répond plus sur le port SSH
Why we don’t use a CDN: A story about SPDY and SSL
▻https://thethemefoundry.com/blog/why-we-dont-use-a-cdn-spdy-ssl
Last week we moved to a new SSL everywhere setup for this website. We were really excited to implement SSL across the board, but nervous about the impact on site performance. Therefore, we made it priority to focus on performance during the transition. Using a CDN (content delivery network) for the new site was a forgone conclusion, as we assumed it would help us speed things up. But, after testing with a few different CDNs, we uncovered some surprising results.
#openSSH #sftp #chroot() with ChrootDirectory
▻http://www.debian-administration.org/article/590/OpenSSH_SFTP_chroot_with_ChrootDirectory
Utiliser la directive ChrootDirectory de OpenSSH et son #serveur SFTP interne pour réaliser un chroot des utilisateurs sans avoir à gérer toute la complexité d’un chroot classique (voir commentaire 24 pour l’utilisation d’un rep utilisateur pas dans /home). Non compatible avec l’utilisation du protocole SCP (cf ▻http://undeadly.org/cgi?action=article&sid=20080220110039)
#keychain : Set Up Secure Passwordless #ssh Access For #backup Scripts
▻http://www.cyberciti.biz/faq/ssh-passwordless-login-with-keychain-for-scripts
OpenSSH offers RSA and DSA authentication to remote systems without supplying a password. keychain is a special #bash script designed to make key-based authentication incredibly convenient and flexible. It offers various security benefits over passphrase-free keys.
The Digital Arms Race: NSA Preps America for Future Battle
By Jacob Appelbaum, Aaron Gibson, Claudio Guarnieri, Andy Müller-Maguhn, Laura Poitras, Marcel Rosenbach, Leif Ryge, Hilmar Schmundt and Michael Sontheimer, in Der Spiegel
More documents revealed.
Welcome to D weapons in addition of ABC weapons (atomic, biological, chemical).
►http://www.spiegel.de/international/world/new-snowden-docs-indicate-scope-of-nsa-preparations-for-cyber-battle-a-10134
The NSA’s mass surveillance is just the beginning. Documents from Edward Snowden show that the intelligence agency is arming America for future digital wars — a struggle for control of the Internet that is already well underway.
[...]
According to top secret documents from the archive of NSA whistleblower Edward Snowden seen exclusively by SPIEGEL, they are planning for wars of the future in which the Internet will play a critical role, with the aim of being able to use the net to paralyze computer networks and, by doing so, potentially all the infrastructure they control, including power and water supplies, factories, airports or the flow of money.
[...]
NSA agents aren’t concerned about being caught. That’s partly because they work for such a powerful agency, but also because they don’t leave behind any evidence that would hold up in court. And if there is no evidence of wrongdoing, there can be no legal penalty, no parliamentary control of intelligence agencies and no international agreement. Thus far, very little is known about the risks and side-effects inherent in these new D weapons and there is almost no government regulation.
Edward Snowden has revealed how intelligence agencies around the world, led by the NSA, are doing their best to ensure a legal vacuum in the Internet. In a recent interview with the US public broadcaster PBS, the whistleblower voiced his concerns that “defense is becoming less of a priority than offense.”
Snowden finds that concerning. "What we need to do," he said, “is we need to create new international standards of behavior.”
backup link:
▻https://web.archive.org/web/20150120121452/http://www.spiegel.de/international/world/new-snowden-docs-indicate-scope-of-nsa-preparations-for-cyber-battle-a-
Great review of how to tighten #SSH configuration
▻https://stribika.github.io/2015/01/04/secure-secure-shell.html #sysadmin
SSHFS inversé (rsshfs) – ®om’s blog
▻http://blog.rom1v.com/2014/06/sshfs-inverse-rsshfs
Reverse SSHFS
En me basant sur la commande donnée en exemple, j’ai donc écrit un petit script Bash (rsshfs, licence GPLv3) qui permet le #reverse_SSHFS :
(disponible également sur github)
git clone ▻http://git.rom1v.com/rsshfs.git
cd rsshfs
sudo install rsshfs /usr/local/bin
Les paquets sshfs et fuse doivent être installés sur la machine distante (et l’utilisateur doit appartenir au groupe fuse). Le paquet openssh-sftp-server doit être installé sur la machine locale ainsi que vde2 (pour la commande dpipe). (plus maintenant)
Son utilisation se veut similaire à celle de sshfs :
rsshfs /répertoire/local serveur :/répertoire/distant
Comme avec sshfs, /répertoire/distant doit exister sur serveur et doit être vide.
Il est également possible de monter le répertoire en lecture seule :
rsshfs /répertoire/local serveur :/répertoire/distant -o ro
Laravel Envoy : Exécutez des #commandes #SSH en #PHP - La Ferme du web
▻http://www.lafermeduweb.net/billet/laravel-envoy-executez-des-commandes-ssh-en-php-1707.html
Lorsque vous créez des applications PHP complexes nécessitant de manipuler le filesystem de votre serveur ou encore supprimer des fichiers de cache, il peut être intéressant de pouvoir exécuter des commandes console en PHP.
Laravel Envoy est une bibliothèque indépendante (pas besoin d’utiliser Laravel) permettant d’exécuter facilement des tâches, à la fois sur un serveur en local ou sur un serveur distant.
Screencast :
▻https://laracasts.com/lessons/your-laravel-task-runner
Ça a l’air bien cool et facile. Et ça utilise lui aussi le composant « Console » de Symfony pour gérer la mécanique.
Authentification #ssh avec plusieurs clés privées - Linux
▻http://dev.petitchevalroux.net/linux/authentification-ssh-avec-plusieurs-cles-privees-l.256.html
Comment utiliser des clés privées différentes pour chaque serveur ssh
Mosh : the mobile shell
►http://mosh.mit.edu
Remote terminal application that allows roaming, supports intermittent connectivity, and provides intelligent local echo and line editing of user keystrokes.
Mosh is a replacement for #SSH. It’s more robust and responsive, especially over Wi-Fi, cellular, and long-distance links.
#mosh – A replacement for #ssh | Ubuntu Geek
▻http://www.ubuntugeek.com/mosh-a-replacement-for-ssh.html
Très utile, notamment quand on se connecte à un wifi instable à la fac et qu’entre une connection et une autre, il ne te donne pas la même IP publique…(Permalink)
Lorsqu’on parle de #fracture_numérique en Afrique, on pense souvent à l’absence de connectivité Internet dans certains endroits. Mais, une fois que le réseau marche, la fracture n’est pas réparée. Il reste le problème de la qualité et notamment de la fiabilité de ce réseau. Une supervision automatique de la connectivité de l’Université de #Yaoundé montre l’ampleur du problème.
Le second lien icinga a une majuscule qui génère une 404.
J’aime bien ton commentaire dans la config icinga
# L’Afrique est loin...
@fil Excellente question, qui mériterait une vraie étude. A priori, tous les logiciels fondés sur TCP (rsync, dropbox) auront à peu près les mêmes problèmes (mais certains les géreront mieux).
Ceci dit, comme me l’avait fait remarquer un twittos, 50 % de pertes, cela rend quasiment tout service inutilisable. Je n’avais accepté cette valeur que pour ne pas être trop dérangé par les alarmes.
“Ist die eingesetzte Technik auch in der Lage, verschlüsselte Kommunikation (etwa per #SSH oder #PGP) zumindest teilweise zu entschlüsseln und/oder auszuwerten?”
“Ja, die eingesetzte Technik ist grundsätzlich hierzu in der Lage, je nach Art und Qualität der Verschlüsselung”
▻http://www.golem.de/news/bundesregierung-deutsche-geheimdienste-koennen-pgp-entschluesseln-1205-92031.h #security #GPG
My translation :
„Are the current techniques capable of at least partially deciphering encrypted communications such as SSH or PGP ?“
„Yes, the current techniques is basically capable ot that, depending on the type and quality of the encryption“
▻http://serendipity.ruwenzori.net/index.php/2013/06/15/german-intelligence-agencies-claim-pgp-ssh-deciphering-capabi
Après avoir installé #surefox et péniblement « rooté » mon #android, j’ai enfin pu obtenir ce que je voulais : un mode kiosque complet, vraiment fullscreen (masquant les boutons du bas), rapide, et utilisant 1Go de fichiers locaux.
Notes :
Pour rooter, je suis passé par CF-Auto-root (▻http://forum.xda-developers.com/showthread.php?t=2025268) ; il a fallu faire divers essais et des incantations magiques (cliquer 7 fois sur le numéro de version pour activer le mode développeur………), mais on y arrive.
En installant #BusyBox, puis #DropBearServerII, j’ai pu obtenir un accès #ssh et installer mes fichiers (wget, unzip, vi…).
▻http://www.busybox.net
J’aurais pu installer #kWS si j’avais eu besoin d’un serveur http local, mais dans mon cas (fichiers statiques), autant appeler directement file :///sdcard/www/madmeg/index.html
Et pour le navigateur en mode kiosque, j’ai pris #surefox :
▻http://www.42gears.com/surefox/surefoxandroid.html
OUF !
Annexe A : Foire Aux Questions de PuTTY
▻http://marc.terrier.free.fr/docputty/AppendixA.html
FAQ Putty en français
#putty #configuration #aide #ssh #faq
How to Secure #SSH with Google Authenticator’s Two-Factor Authentication - How-To Geek
►http://www.howtogeek.com/121650/how-to-secure-ssh-with-google-authenticators-two-factor-authentication
Google Authenticator - #Android Apps on #Google Play
►https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
Enable 2-step verification to protect your account from hijacking.
Google Authenticator generates 2-step verification codes on your phone.
Une appli android (mais ça existe aussi pour iOS apparemment) qui permet de faire de l’#authentification multifacteur. Pour se connecter à son compte Google, on doit saisir son identifiant et son mot de passe comme d’habitude, mais on doit également renseigner un code personnalisé qui apparaît sur l’appli de son téléphone et qui change toutes les 30 secondes.
Le code de l’application est disponible :
►https://code.google.com/p/google-authenticator
Ça repose sur un standard nommé TOTP :
►http://tools.ietf.org/html/rfc6238
Et du coup ça peut s’utiliser à différents endroits : pour l’instant j’ai pu tester Google et AWS (Amazon Web Services). Le même type de système existe pour ebay et Paypal par exemple, mais avec une appli à part nommée VIP Access, et qui m’inspire moins, l’app de Google ayant l’avantage d’être open source et de ne demander aucune permission particulière.
►https://play.google.com/store/apps/details?id=com.verisign.mvip.main
►https://vipmobile.verisign.com/home.v
Enfin, il existe même un module PAM :
►http://code.google.com/p/google-authenticator/wiki/PamModuleInstructions
ce qui permet de l’utiliser pour de l’authentification utilisateur sous #Linux (en #SSH par exemple) :
►http://www.mnxsolutions.com/security/two-factor-ssh-with-google-authenticator.html
Pour ceux qui auraient peur d’être bloqué en cas de perte ou d’indisponibilité de son téléphone, plusieurs mécanismes permettent d’éviter ce genre de désagréments :
– sauvegarde de la clé permettant de générer les codes temporaires
– génération de plusieurs « scratch-codes », mots de passe fixes à usage unique pouvant être utilisés en cas d’urgence
– sélection de certains ordinateurs comme étant « de confiance » pour les comptes Google, et donc avec une authentification « simple » pendant trenete jours