Příspěvky

2656

Server / Re:Jak se připojit k serveru z Windows?

« kdy: 15. 03. 2019, 19:58:51 »

autor se nehadal a ma sudo prava, pouze nepovoleneho root pro ssh, reseni jeho dotazu uz padlo:
Reseni: https://forum.root.cz/index.php?topic=20897.msg308104#msg308104

„Řešení“, které je identické se stavem, který popisoval tazatel, a tudíž vede ke stejnému výsledku (se kterým tazatel není spokojen), bych nenazýval řešením.

Vy řešíte problém „sudo vyžaduje heslo“, který tazatel nemá, protože má povolené sudo bez hesla. Tazatel má problém v tom, že sudo -i vypisuje do konzole něco, s čím WinSCP nepočítá. Pokud to vypisuje přímo sudo, a tazatel se nechce moc vrtat v systému, nic s tím neudělá. Pokud to vypisuje až výchozí shell roota, pomůže spustit jiný shell nebo shell s jinými parametry tak, aby nic nevypisoval.

2657

Software / Re:Stahování na řádce a CAPTCHA

« kdy: 15. 03. 2019, 14:28:57 »

hladal som (zrejme som zle hladal), ale wget podla mna captchou neprejde, curl som velmi nestudoval. Nejake skripty som sice videl, ze sa pouzila audio captcha a kod sa pouzil s audia.

wget ani curl CAPTCHA neprojdou, jsou to jen nástroje pro použití protokolu HTTP.

Chcel som vediet, ci to ma niekto realne otestovane (ako som spominal vyssie, moze to byt len terminalova aplikacie).

Můžete zkoušet CAPTCHA překonat (tj. strojově ji přečíst), to záleží na kvalitě CAPTCHA. Nebo můžete použít nástroj, který vám umožní CAPTCHA vyplnit ručně.

FatRat jsem uváděl proto, že jde o český produkt, autor už před lety plánoval podporu uloz.to i jejich CAPTCHA. Navíc se dá používat vzdáleně, takže by mělo fungovat to, že CAPTCHA vyplníte u sebe na pracovní stanici, ale stahování vám poběží někde jinde, kde nejsou žádné X. Nevím, v jakém stavu je FatRat dnes, ale určitě stojí za to se na něj podívat, protože podle mne FatRat vznikal přesně s tím záměrem, s jakým podobný nástroj hledáte vy.

2658

Vývoj / Re:Ako zmenit Javascript - onclick

« kdy: 15. 03. 2019, 13:25:18 »

Kód: [Vybrat]

document.onreadystatechange = function () {
  if (document.readyState === 'complete') {
    printButton.click();
  }
}

To zajistí, že se na tlačítko klikne, až bude stránka kompletně načtená a zpracovaná prohlížečem.

A nebo můžete ten kód z té funkce přiřazované do printButton.onclick zkusit vložit rovnou na konec stránky (samozřejmě do elementu <script>). Záleží na tom, co přesně dělá, zda je potřeba čekat až na kompletní zpracování stránky, nebo zda se to dá spustit dřív.

2659

Sítě / Re:Captive portal / http:80 redirect to localhost

« kdy: 15. 03. 2019, 07:02:18 »

To ovsem predpokladate, ze klient pouzije DNS server z DHCP odpovedi. Dnes vam hodne systemu bude pouzivat svuj vybrany DNS server. Jde to nastavit i na androidu, aby pouzil cloudflare 1.1.1.1 nebo google DNS.

Princip captive portálu spočívá v tom, že nejprve danému zařízení nedovolíte přístup do internetu, a teprve když uživatel něco odsouhlasí na captive portálu, internet mu zpřístupníte. Pokud v tom zákazu přístupu na internet neuděláte výjimku, nedostane se ani na cizí DNS servery a nezbyde mu, než použít ty vaše.

2660

Software / Re:Stahování na řádce a CAPTCHA

« kdy: 14. 03. 2019, 12:59:50 »

Zkuste FatRat download manager.

2661

Sítě / Re:Captive portal / http:80 redirect to localhost

« kdy: 13. 03. 2019, 19:45:36 »

Z Vasej odpovedi je zrejme, ze k presmerovaniu nebude potrebovat IPtables, ale postaci mi DNS napr dnsmasq, chapem to spravne?

Ano, uživatel se zeptá na nějaký DNS název, vy mu ho přeložíte na IP adresu vašeho serveru a prohlížeč uživatele pak rovnou naváže spojení s vaším serverem, tj. nemusíte to spojení už nijak unášet.

Jediný problém s tímhle řešením by nastal, pokud by uživatelovo zařízení validovalo DNSSEC a on zkusil v prohlížeči zadat adresu z domény, která DNSSEC používá. Ale pokud požijete vlastní vymyšlenou doménu, s tímhle problém nemáte.

2662

Sítě / Re:Captive portal / http:80 redirect to localhost

« kdy: 13. 03. 2019, 18:58:39 »

Redirect nastane, ak sa uzivatel pripoji na HOST AP, a napise v prehliadaci "google.com", automaticky sa presmetuje na 127.0.0.1:80

Tohle nemá řešení. Teda jedno řešení by to mělo – uživatel by musel použít čerstvě nainstalovaný prohlížeč, jiný než od Google.

Když uživatel zadá do prohlížeče google.com, prohlížeč ví, že tento web má navštěvovat jen přes HTTPS. Takže se vždy bude připojovat protokolem HTTPS na port 443. Vy to spojení sice můžete unést a přesměrovat na libovolný port, ale prohlížeč pořád bude komunikovat protokolem HTTPS, takže i server musí komunikovat přes HTTPS. A první, co takový server musí udělat, je poslat certifikát, který platí pro doménu google.com, a prohlížeč mu bude důvěřovat – a takový certifikát neseženete.

Jediná možnost je použít to, co standardně používají captive portály – když se uživatel (třeba s Androidem) připojí WiFi, systém zkusí oťukat pár adres, které má zadrátované. Zkouší navázat spojení HTTP, a pokud mu tohle spojení přesměrujete správným způsobem, pozná, že jde o captive portál, a zobrazí standardní hlášku, že tato WiFi potřebuje zadat přihlašovací údaje a zda má zobrazit přihlašovací stránku.

Pokud nezafunguje tenhle standardní mechanismus a závisí to na tom, že uživatel musí otevřít nějakou stránku v prohlížeči, musí uživatel zadat adresu, u které si jeho browser určitě nepamatuje, že je dostupná přes HTTPS. Hodí se pro to http://neverssl.com/, ale tu asi uživatelé běžně znát nebudou.

K tomu přesměrování potřebujete zfalšovat DNS odpověď aby směřovala na váš webový server (předpokládám, že to bude s tou detekcí captive portálů fungovat). Pak nepotřebujete žádný NAT. Takže když se uživatel přihlásí k AP, přes DHCP dostane IP adresu a adresu DNS serveru – a DNS server bude ten váš, který pošle tu zfalšovanou odpověď. Akorát uživatele nepřesměrovávejte na 127.0.0.1, ale na IP adresu, kde běží ten váš webserver.

2663

Server / Re:Jak se připojit k serveru z Windows?

« kdy: 13. 03. 2019, 18:46:36 »

sudo su -c /usr/lib/sftp-server

Kdybyste pořád nepsal nesmysly, četl bych i uváděné příkazy pozorně, abych se dozvěděl, že jste od spouštění shellu nenápadně přešel ke spouštění sftp rozšíření (což je samozřejmě závislé na tom, že server protokol SFTP vůbec implementuje jako samostatnou binárku).

tak pouziti "sudo -i" jako shell pro SCP spojeni v WinSCP musi fungovat

Nemusí. WinSCP musí umět s tím shellem komunikovat. Může třeba načítat vstup, pokoušet se přeskočit nějaké úvodní zprávy a čekat, až se objeví prompt. No a pokud ty úvodní zprávy budou delší, než čeká, nebo bude ten prompt vypadat jinak, prostě tomu nebude rozumět a vyhodí nějakou chybovou hlášku. Třeba: „Nepodařilo se přeskočit počáteční hlášení. Shell je pravděpodobně nekompatibilní s tímto programem (doporučuje se BASH)“. No a zrovna sudo občas bývá nakonfigurované tak, že vypisuje hlášení o tom, že je jeho použití je monitorováno a pokusy o spuštění příkazů, ke kterým uživatel nemá práva, jsou bonzovány.

Na další nemoderované diskuse nemám náladu. Howgh.

2664

Server / Re:Jak se připojit k serveru z Windows?

« kdy: 13. 03. 2019, 16:46:43 »

Hmmm jestli je heslo opravdu ten problem a vypada to, ze asi jo....

Nevypadá to, že by heslo byl problém. Ale pokud by byl, pomohlo by prostě v sudoers nechat nastavit (když to nechce udělat sám) sudo pro daného uživatele bez hesla. Příčetný admin toho počítače, když už mu dal roota, radši to NOPASSWD nastaví na požádání sám, než aby čekal, až se v sudoers bude tazatel vrtat sám a něco tam rozbije.

Tak by mohla pomoct jeste tahle prasarnicka:

Kód: [Vybrat]

echo <password> | sudo -Si

Další důvod, proč povolit dotyčnému přihlášení přímo na roota, nebo aspoň sudo bez hesla, pokud by ho neměl. Tahle diskuse je sbírka příkladů, co všechno nedělat – budu jí používat jako odstrašující příklad, když někdo navrhuje „tak mu dáme roota, ale aby to bylo bezpečnější, dáme mu jenom neomezené sudo“. Bezpečnost musí jít ruku v ruce s použitelností, jakmile uděláte něco „v zájmu bezpečnosti“ nepoužitelné, buďte si jist, že někdo tu nepoužitelnost obejde, a výsledek bude naprostá bezpečnostní katastrofa.

2665

Server / Re:Jak se připojit k serveru z Windows?

« kdy: 13. 03. 2019, 16:37:56 »

„Opět jste špatně četl.“ + spatne koukal na screenshot tazatele

Opět jste špatně četl vy, já jsem psal o fungování protokolu SFTP. Ještě jednou připomínám, že SFTP je něco jiného, než SCP. Takže pokud jste psal o SCP, buď jste špatně četl můj komentář, nebo jste reagoval na něco jiného, než na můj komentář.

tzn. ja overil ze PRESNE to co tazatel resi, mu nejde JEN proto ze v sudoers NEMA povolene "bez hesla", tedy overila se ma domenka na kterou si arogantne(aneb zamet si u sebe) reagoval tim ze jsi napsal nesmyslnej elaborat aby jsi vyvratil ze moje uvaha je nesmysl, co napises ted kdyz uvaha byla resenim? kdyz v #0 dotazu ma tazatel screenshot s SCP?

Ale houby, jenom jste zase doplatil na to, že neumíte číst. Pokud sudo vyžaduje heslo, skončí pokus o přihlášení přes scp okamžitým ukončením spojení, protože příkaz vrátí návratový kód 1. Ostatně je to vidět na vašem screenshotu.

Tazateli se ale zobrazuje jiná chyba, která znamená, že má sudo bez hesla, ale WinSCP se nepodařilo použít předaný příkaz jako shell, přes který by mohl volat scp příkazy. Možná by pomohlo zkusit přímo spouštět jiný shell, ale upřímně řečeno, i když se to podaří rozchodit, vždycky to bude vachrlaté a náchylné na samorozbíjení, protože je to prostě scp.

pokud by preci jen chtel i rezim SFTP, tak pri prepnuti protoklu z SCP na SFTP se v nastaveni_spojeni/advanced zobrazi navic sekce "SFTP" a v te nastavi"SFTP Server: sudo su -c /usr/lib/sftp-server" (cesta k sftp-server zavisi na distru, tohle napr je pro *buntu 18.04) => opet reseni, prihlaseni jako user a ziska takto prava roota

Ano, získá tak práva roota v shellu, ale nikoli v sftp spojení. Nechápu, proč tady píšete nesmysly, místo abyste si to jednoduše vyzkoušel. Předpokládám, že i na vašem systému má práva na adresář /root jenom uživatel root, tak si zkuste ten váš postup a zkuste si protokolem sftp vypsat obsah adresáře /root.

Mimochodem, děkuji za krásnou ukázku, jak by vypadal návrat zpět k nemoderovaným diskusím. A děkuji, ale nemám zájem. Od prvního vašeho komentáře šla diskuse do kytek, okamžitě se přidal Vilith a další, něco z toho už je promazané. Za celé dvě další stránky jsou tu asi dva komentáře, kde je něco k tématu a neopakuje to věci, které už byly řečené dřív. Tazatel už to předpokládám dávno vzdal.

2666

Server / Re:Jak se připojit k serveru z Windows?

« kdy: 13. 03. 2019, 07:24:32 »

zmenit SCP/Shell-Shell na "sudo -i"

scp je jiný protokol, než sftp, je zastaralý a místo něj se používá právě sftp. Je otázka, zda tazatel může a chce scp používat.

2667

Server / Re:Jak se připojit k serveru z Windows?

« kdy: 13. 03. 2019, 07:21:08 »

prave, porad si psal o AndroidOne ze neco neresi v reakci na ProjektTreble kterej to naopak resi...

Dovolte, abych vás citoval: „Opět jste špatně četl.“ Nepsal jsem o ProjectTreble.

z tveho komentare vyznelo ze su pro prepnuti na root proste pouzit v Ubuntu nelze

Vzhledem k vašim notorickým problémům s chápáním textu bych „vyznělo“ nahradil za „zase jsem nepochopil“.

2668

Server / Re:Jak se připojit k serveru z Windows?

« kdy: 12. 03. 2019, 22:09:52 »

mas (spravcem) nastavene (v sudoers) aby jsi pri "sudo -i" nemusel zadavat heslo? protoze pokud ho kdyz jdes pres SSH k mcedit musis zadavat mozna WinSCP ma proto problem, resp. WinSCP nepouzivam, tak nevim zda se pri prihlasovani dokaze zobrazit terminal pro interakci...

O žádný terminál vůbec nejde.

Dovolte, abych připomenul, jak funguje přenos souborů „přes ssh“. Dnešní protokol ssh (verze 2; to, co používáme na portu 22), je šifrovaný kanál, uvnitř kterého se může nezávisle na sobě přenášet několik spojení, přičemž ta spojení mohou přenášet různé protokoly. Některé protokoly umožní forwardovast spojení, ta nás teď nezajímají, a jeden z protokolů je tzv. shell, který umožňuje provádět různé příkazy a mimo jiné spustit aplikaci a přesměrovat její vstup a výstup.

To, čemu se běžně říká „ssh“ a je to vzdálený terminál, znamená, že s na serveru spustí tím protokolem shell spustí shell  (třeba Bash) a jeho vstup a výstup se přesměruje tím spojením ssh. Něco napíšete u sebe na klávesnici, přenese se to tím ssh spojením a ten Bash to dostane na svém standardním vstupu. Když Bash něco vypíše na výstup, přenese se to zase k vám. Podstatné ale je, že na tom serveru běží normální proces Bashe, který má prakticky jen přesměrovaný vstup a výstup. No a v tomhle shellu samozřejmě můžete spouštět su, sudo nebo cokoli, co vás napadne, a bude to tam normálně fungovat. Třeba když spustíte sudo, spustí se normálně suid root binárka, Bash na ní přesměruje vstup a výstup a sudo změní efektivního uživatele a nahradí se jiným procesem. Že ten původní Bash byl spuštěn z ssh serveru a že celý ten vstup a výstup je přesměrován do ssh spojení v tom nehraje vůbec žádnou roli.

Naproti tomu sftp (což je ten protokol pro přenos souborů, který se běžně používá uvnitř ssh 2) jsou další příkazy,které jsou formou rozšíření implementovány nad tím shell spojením. Jsou to ale příkazy implementované přímo sftp serverem (který je součástí ssh serveru nebo jeho rozšířením), není to univerzální shell nebo spouštění procesů. Jsou tam příkazy jako „vypiš adresář“, „přenes soubor“ atd. Ale není tam žádný příkaz su nebo sudo. I kdybyste si v tom ssh spojení otevřel to shell spojení s terminálem (WinSCP něco takového umí), a tam byste udělal su, nijak to neovlivní to sftp spojení. Prostě byste v tu chvíli měl tím ssh TCP/IP spojením vedená dvě „shell“ spojení, jedno s přesměrovaným vstupem a výstupem, kde by vám běžel shell a v něm třeba su nahrazené jiným shellem, a druhé „shell“ spojení, ve kterém by se přenášely sftp příkazy – a které by běželo pořád pod tím uživatelem, který navázal to ssh spojení.

Stručně řečeno, příkazy prováděné v shellu neovlivní (z hlediska oprávnění apod.) to, co se děje v sftp spojení. Takže tazatel má následující možnosti, všechny už tu byly zmíněné:

• Připojit se na vzdálený server do shellu a editovat soubory přímo na serveru místním editorem.
• Editovaným souborům nastavit jako vlastníka svého uživatele, ideálně je mít ve svém domovském adresáři a editovat je tam. Pro otestování je může spouštět pod rootem rovnou a na závěr, až vše bude mít hotové, pod rootem ty soubory přesunout do finálního umístění a nastavit jim jako vlastníka roota. Existují na to různé variace, jako ponechat soubory v původním umístění a jenom jim změnit vlastníka a měnit je rovnou tam. Nebo nějak zautomatizovat zkopírování souborů z domovského adresáře, kde je bude editovat, do cílového umístění.
• Když má na serveru roota, přidat rootovi svůj klíč a povolit přihlášení pod rootem přes ssh. Pokud admin dá roota někomu, kdo se ptá na takovéhle věci, je kaskadér, a snaha možná to zachránit nějakou ústní dohodou, že se nebude přihlašovat přímo na roota ale bude se používat sudo, možná aby byla alespoň nějaká evidence, kdo co udělal, je dost marná. Ale klidně je také možné, že ta nemožnost přihlášení na roota je jenom nezamýšlený vedlejší efekt, a když adminovi řeknete, že je pro vás kvůli editaci pohodlnější přihlašovat se tam přímo pod rootem, bez problémů vám to nakonfiguruje – protože si bude dobře vědom, že byst si to tak klidně mohl nakonfigurovat sám.

Já osobně bych volil prostřední variantu, je to nejbezpečnější – ty soubory budete editovat pod běžným uživatelem a jenom je spouštět pod rootem, což je předpokládám potřeba. Navíc ty soubory budete editovat někde jinde, než je jejich finální umístění, tj. budete mít jejich zálohu, kterou oceníte, až tam něco pokazíte. Pokud ty soubory budete do finálního umístění kopírovat častěji, napište si na to jednoduchý skriptík, který je zkopíruje, nastaví jim správné vlastníky a práva, a máte to vyřešené. Stejně se tam pak přihlašujete, abyste ten skript otestoval, tak jenom spustíte navíc tenhle kopírovací skriptík. I to by se dalo zautomatizovat, kopírovat to třeba při změně souboru, ale to už by byl trochu kanón na vrabce.

2669

Server / Re:Jak se připojit k serveru z Windows?

« kdy: 12. 03. 2019, 21:24:22 »

co je arogantiho oznacit FUD za FUD?

Arogantní je to, že si něco vymyslíte, tváříte se, že to napsal někdo jiný, a pak se do toho navážíte. O to více ta arogance vynikne, když jste buď 1) špatně pochopil celkem jasný komentář nebo 2) to překroutil schválně.

kde jsi mi "vkladal do ust" co jsem nenapsal

Prohodil jste osoby a obsazení, vkládat někomu něco do úst je vaše specializace. Já jsem v tom druhém vlákně zareagoval jedním odstavcem na jednu vaši větu, a dál jsem psal o souvisejících věcech, které ale už žádným způsobem nereagovaly na váš komentář.

dokola motal "AndroidOne" a "ProjectTreble"

To jste pořád dokola motal vy, já jsem o Project Treble nepsal nic, psal jsem jen o Androidu One.

neslo o nic arogantniho, kdyz sem te upozornoval ze reagujes ocividne na neco comu nerozmusi

Jenže problém je v tom, že jste nereagoval na to, co jsem napsal, ale jen na vaše výmysly. Arogantní je to, že hned vystartujete a předpokládáte chybu jen u druhého a ne u sebe. O to více to vynikne, když ta chyba je doopravdy u vás.

take neni pravda, pokud nekdo chce root, tak si ho (v Ubuntu resp, v kazde sudo based) aktivovat tim ze mu nastavi heslo:

Napíšete „také není pravda“, a pak napíšete to samé, co já. Ano, v Ubuntu distribucích se opravdu ve výchozím nastavení nedá uživatel root přímo používat, nepřihlásíte se na něj ani z terminálu, ani přes ssh, ani nezměníte uživatele na roota pomocí su. Můžete příkazy pod rootem provádět pomocí sudo, a nebo můžete uživatele root „aktivovat“ tím, že mu nastavíte heslo.

2670

Server / Re:Jak se připojit k serveru z Windows?

« kdy: 12. 03. 2019, 17:03:29 »

to je FUD, sudo "Initial release: Around 1980" https://en.wikipedia.org/wiki/Sudo

Proč se pořád musíte vyjadřovat tak arogantně v reakci na komentář, který jste nepochopil? Já jsem nepsal o sudo obecně, psal jsem o konceptu, že uživatel root ani nemá heslo, nelze se na něj přihlásit (ani změnit přes su) a tudíž se veškerá práce s oprávněními roota dělá tak, že se na každý jednotlivý příkaz volá sudo. To v Ubuntu asi také nevymysleli, ale každopádně tak distribuci nastavili a teprve s Ubuntu se tohle masově rozšířilo.

Bezpečnosti to nijak nepomohlo, když se dneska podíváte na různé návody na internetu, každou chvíli tam najdete příklady, kde je před každým příkazem automaticky sudo, aniž by někdo přemýšlel, zda jsou tam potřeba práva roota nebo ne. Je to samozřejmě úplně špatně, v návodu by maximálně mělo být napsané, pro které příkazy je potřeba root, a je pak na uživateli, aby si svým způsobem zajistil, že to pustí pod rootem. Někdo použije sudo, někdo jiný terminál, kde bude přihlášen pod rootem atd. Dříve se pro to rozlišení používala výzva shellu, výchozí nastavení spousty distribucí bylo takové, že výzva $ znamenala běžného uživatele a výzva # znamenala shell roota.

Mimochodem, používat sudo pro veškerou správu je zneužití toho příkazu – ten vznikl z přesně opačného důvodu, totiž aby daný uživatel mohl vybrané příkazy spouštět s právy roota. Pokud má mít veškerá práva roota, k tomu slouží příkaz su, sudo vzniklo právě proto, abych někomu nemusel dávat celého roota, ale aby pod rootem mohl spustit třeba jedinou binárku. (Což je sice také obrovské riziko, protože většina binárek není nijak speciálně chráněná a ze spousty se tak dá uniknout a získat plného roota, ale je to pořád lepší, než dát toho roota někomu rovnou na stříbrném podnose.)