Fórum Root.cz
Hlavní témata => Software => Téma založeno: smartass 01. 08. 2015, 19:48:39
-
V navaznosti na hledani chytreho telefonu pro pouziti jako terminalu (http://forum.root.cz/index.php?topic=11568.0) jsem zacal premyslet o nasazeni webove aplikace, ktera by emulovala terminal s prihlasovanim na danem serveru a pripadne umoznila ssh spojeni i s jinym serverem. Cilem je ale najit takovou aplikaci, ktera poskytuje dostatecnou emulaci terminalu s minimem modernich a narocnych webovych featur, aby to slo pouzivat i v oklestenych browserech na malych zarizenich, idealne mobilni telefon Nokia C3-00 s Opera Mini 8. Zatim jsem zkousel tyto aplikace
- Gate One (https://github.com/liftoff/GateOne/) - daemon, HTML5 s websockety, velmi verny, rychly (ve smyslu odezvy) a spolehlivy emulator a SSH klient, jde v tom velmi pohodlne pouzivat i Emacs. SSL sifrovani komunikace. Bohuzel, HTML5 a websockety jsou uz dost moderni a pokrocile veci pro Opera Mini. Jinak to je ale fakt uzasna aplikace (umi i multiplexovat vic terminalu, skoro jako screen), asi si ji necham i tak, kdybych nekdy potreboval SSH za firewallem dovolujici jen porty 80 a 443.
- shellinabox (https://code.google.com/p/shellinabox/) - o neco jednodussi aplikace (taky bezi jako daemon), predevsim javascript, o neco pomalejsi odezva, ale zvladnou to i horsi prohlizece. SSL sifrovani. Bohuzel, Opera Mini nevidi vstup jako text input field.
- ajaxterm (http://antony.lesuisse.org/software/ajaxterm/HEADER.html) - podobne jako shellinabox, ale python daemon bezi a pres Apache proxy je umozneno SSL sifrovani. Opera Mini opet nevidi vstup jako text input field.
Zatim mi pripada, ze budu potrebovat nejakou aplikaci, kde vstup prikazoveho radku je vlastne webovy formular (aby Opera Mini detekovala text input field), neco jako skryty webovy shell co maji nektere TP-Link routery (http://websec.ca/advisories/view/root-shell-tplink-wdr740).
Nevite nekdo o necem takovem? Idealni by samozrejme bylo, kdyby to bylo aspon rozumne bezpecne a udrzovane. Nebo jsem prehlednul nejake nastaveni jiz zminenych aplikaci?
-
este raz si prejdi terminalove aplikacie
tieto weby nikdy plnohodnotne nenahradia ssh
-
asi si ji necham i tak, kdybych nekdy potreboval SSH za firewallem dovolujici jen porty 80 a 443.[/li][/list]
Mimo téma: pokud potřebuješ ssh za restriktivním firewallem, nejjednodušší je na tom https portu prostě pustit sshčko. Inspekce provozu, která by to poznala, není běžná. V různých kavárnách, hotelech a veřejných wifinách si s tím bohatě vystačíš.
-
Mimo téma: pokud potřebuješ ssh za restriktivním firewallem, nejjednodušší je na tom https portu prostě pustit sshčko. Inspekce provozu, která by to poznala, není běžná. V různých kavárnách, hotelech a veřejných wifinách si s tím bohatě vystačíš.
Ano, to se mi už taky několikrát osvědčilo. Tohle by ale mělo přežít i sofistikované firewally. Dřív jsem kvůli nim měl ssh přes stunnel, aby se to opravdu tvářilo jako HTTPS.
este raz si prejdi terminalove aplikacie
Pro kterou platformu? Pro Nokia C3-00 jsem nic takového neviděl.
tieto weby nikdy plnohodnotne nenahradia ssh
Nepotřebuji úplně plnohodnotnou náhradu, jen aby skrz to šel editovat texťák (přinejhorším přes sed nebo ex, ideálně Emacs) a spouštět příkazy.
-
Jestli je tam Java, zkus midpssh.
-
Jestli je tam Java, zkus midpssh.
Děkuji, vyřešeno :)
Použil jsem tedy verzi k dispozici na boostapps (http://boostapps.com/apps/midpssh/), protože originální stránka http://www.xk72.com/midpssh/ (http://www.xk72.com/midpssh/) má redirect na již neexistující doménu http://www.midpssh.org/. Na sf.net to už také nění. Zdrojáky jsou ale i na GitHubu (https://github.com/GuntherDW/midpssh).
Dokonce v tom jde i používat ViM :)
Zatím se mi tedy nepodařilo zprovoznit klíče, ale bez toho přežiju.
-
Zatím se mi tedy nepodařilo zprovoznit klíče, ale bez toho přežiju.
Tak nakonec i klíče fungují, ale na novějších serverech (s openSSH 6.7 a novější) je třeba povolit starší šifru 3des-cbc, protože to v logu psalo
fatal: no matching cipher found: client 3des-cbc server aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com [preauth]Poté mi to v logu psalo fatal: Unable to negotiate a key exchange method [preauth] a podobně jako v této stackoverflow otázce (http://stackoverflow.com/questions/26577494/aptana-sftp-key-exchange) jsem zjistil, že ještě musím povolit starší algoritmus diffie-hellman-group1-sha1 pro výměnu klíčů.
Chápu, že tyto algoritmy nejsou považovány za tak bezpečné. Existuje nějaký způsob, jak jejich použití omezit jen na některé klienty nebo alespoň uživatele? Podle manuálové stránky Ciphers nelze použít v Match bloku.
Ale i tak bych rád pokračoval v tématu, protože takový web terminál by se hodil alespoň pro čtečku. Je to PocketBook 624 Basic Touch, má to nějaký no-name browser, který kupodivu zvládne i částečně HTML5, na Gate One to ale nestačí. shellinabox zobrazí, ale už v tom nerozpozná textové pole a nenabídne SW klávesnici. Jednou to dokonce rozpoznal, když jsem dostal timeout a pak kliknul na Connect, pak se mi podařilo přihlásit a zadat pár příkazů, ale pak když jsem se to snažil odscrollovat, input ztratil focus a už se mi znova neobjevila klávesnice.
-
> Existuje nějaký způsob, jak jejich použití omezit jen na některé klienty nebo alespoň uživatele?
Já bych to neřešil, ostatní uživatelé snad budou používat klienta který je dost chytrý na to aby si vybral silnější algoritmus.
S tím omezeným prohlížečem ve čtečce nevím, leda si udělat stránku s jedním inputboxem a handler který spustí bash 2>&1 > /tmp/outfifo < /tmp/infifo. Samozřejmě nepůjde používat celoobrazovkové aplikace, takže na editování souborů se budeš muset naučit ed, a bude potřeba vyřešit zadávání escape sekvencí a divných znaků.
-
asi si ji necham i tak, kdybych nekdy potreboval SSH za firewallem dovolujici jen porty 80 a 443.[/li][/list]
Mimo téma: pokud potřebuješ ssh za restriktivním firewallem, nejjednodušší je na tom https portu prostě pustit sshčko. Inspekce provozu, která by to poznala, není běžná. V různých kavárnách, hotelech a veřejných wifinách si s tím bohatě vystačíš.
jeste dnes uz casto funguji porty pro postu smtp pop imap vcetne tls verzi