Yop

Aller au contenu | Aller au menu | Aller à la recherche

vendredi, 27 décembre 2013

Mise à dispostion rapide de screenshots

J'utilise généralement Shutter pour prendre des screenshots.

J'évite de stoquer ces screenshots sur les sites publics, donc jusqu'à présent, quand je voulais ensuite partager ce screenshot, en gros:
- je l'enregistrais localement
- je faisais un scp du fichier dans le répertoire qui va bien sur un serveur web
- Je faisais des copier/coller de l'URL avec le nom du fichier pour communiquer l'URL.

On peut faire des variantes avec sshfs, scripter quelques trucs.. etc.. mais c'est pas forcément l'idéal.

Mais ce coup ci, j'en avais plusieurs à faire et j'ai donc cherché un truc "propre" pour simplifier le process.

Au bout de quelques secondes de recherche, je suis tombé sur le bien nommé shutter-scp (voir aussi ici. Et c'est exactement ce que je voulais.

Pour l'installation, il suffit de copier un fichier dans le bon répertoire de Shutter (voir le README).
Pour la configuration, il suffit de renseigner où faire le scp (Serveur:Répertoire) ainsi que l'URL qui sera communiquée (à saisir dans le champs "Mot de Passe").

Une fois le screenshot réalisé dans Shutter, un clic pour exporter, un autre pour valider le scp, puis un dernier pour copier l'URL complète.
Avec ma clé SSH chargée en mémoire, pas besoin de mot de passe, en 3 secondes, tout est fait.

ShutterScp1.png

ShutterScp2.png

Merci Christian Weiske

J'avais testé Screencloud qui supporte le SFTP.. Mais il ne supporte pas (encore) l'authentification par clé publique... donc pas possible pour moi.

vendredi, 6 décembre 2013

Backup incrémental avec le Rasp - rdiff-backup


  • Introduction

J'avais lu cet article de Benjamin concernant des sauvergardes distantes chiffrées.

Disposant désormais moi aussi d'un "site distant" où placer un Raspberry (celui avec la chaudière, j'ai pu me lancer également il y a quelques mois.. Mais en utilisant quelques variantes des outils.

- rdiff-backup (au lieu de rsync)
- LoopAES (au lieu de TrueCrypt )

Les raisons principales qui m'ont fait choisir rdiff-backup (par rapport a rsync ou à Duplicity ou encore rsnapshot ou certaines autres solutions sont principalement:

- Incrémental
Donc ne transfère que les modifications.

- Le backup est toujours le mirroir de la dernière version (hormis le répertoire additionel "rdiff-backup-data" qui contient les changements (et suppression).
En gros, il suffit de recopier le répertoire de backup pour repartir comme si de rien n'était si on veut juste restaurer la dernière version de la sauvegarde.

- Conserve les modifications (et suppressions).
Si un fichier est supprimé par erreur de la source, on ne veut PAS qu'il le soit aussi coté backup après synchronisation. Comme il y a bien quand même un "mirroir", le fichier "supprimé" est déplacé dans le répertoire additionel "rdiff-backup-data"

- Permet de restaurer un fichier/répertoire dans sa version à une date donnée.

- Permet de supprimer les anciennes versions de + de XX jours (ou de XX backups) afin de ne pas saturer le disque de backup.

  • Chiffrement

J'ai choisi LoopAES au lieu de Truecrypt uniquement pour des raisons de vitesse d'accès.

Des 2 cotés les données sont chiffrées et rendues accessible dans le répertoire /mnt/.data/

Les passphrases pour déchiffrer les données sont saisient manuellement une fois les Rasps démarrés.
Vu qu'un Rasp ne consomme qu'environ 4€ d'électricité par an, est silencieux et ne chauffe pas, ils restent allumés en théorie en permanence (en + j'ai un petit onduleur).
Les données sont accessible ensuite tout le temps que le Rasp reste allumé.
Mon but est principalement de restreindre l'accès aux données en cas de vol du Rasp/Disque dur. (Le voleur, même geek, à des chances de débrancher le Rasp/disque dur pour le voler ;) )

  • Configuration

- Installation de rdiff-backup des 2 cotés

$ sudo apt-get install rdiff-backup

- Principe

L'authentification SSH se fait par une clé SSH spécifique à la tâche de backup, ce qui permet d'automatiser la connexion et de restreindre les commandes utilisables par cette clé.

Il y a 2 choix possibles dans le sens des connexions.
- Le serveur qui envoit ses données à backuper sur le serveur de backup.
- Le serveur de backup qui vient récupérer les données sur le serveur à backuper.

J'ai choisi la 2ème option:

En cas de compromission du serveur à backuper, aucun accès possible sur le serveur de backup.
En cas de compromission du serveur de backup, un accès restreint à la commande rdiff-backup en lecture seule sur le serveur à backuper (pas d'accès au shell).

command="rdiff-backup --server --restrict-read-only...."

En cas de compromission de la clé privée. Celle ci ne peux pas être utilisée depuis une machine autre que celle déclarée sur le serveur à backuper.

from="1.2.3.4"

- Mise en place des clés SSH

Sur le serveur de backup:

$ ssh-keygen

pas de passphrase car on veut ensuite que la connexion puisse se faire automatiquement

on appelle ces clés par exemple:
id_rsa.backup
id_rsa.backup.pub

dans le fihier .ssh/config du serveur de backup

host ServeurABackuper
hostname host.example.org
user yop
identityfile /home/user/.ssh/id_rsa.backup
port 80

Ajout de la clé publique sur le serveur à backuper dans authorized_keys.
Pensez pour les tests à ne pas utiliser de "SSH Agent Forwarding" ;)
Tester avec une connexion SSH "normale"
Si ok, sécuriser en ajoutant les restrictions suivantes devant la clé:

from="1.2.3.4",command="rdiff-backup --server --restrict-read-only /",no-port-forwarding,no-X11-forwarding,no-pty ssh-rsa AAAABCDxxxx

Tester à nouveaux avec une connexion SSH "normale" (et sans "SSH Agent Forwarding"), la connexion doit être refusée (car seulement la commande rdiff-backup est authorisée avec cette clé)

PTY allocation request failed on channel 0

- Backup

Sur le serveur de backup:

$ rdiff-backup ServeurABackuper::/mnt/.data/ /mnt/.data/backup/ServeurABackuper

Le contenu de /mnt/.data/ du serveur à backuper se retrouve donc dans /mnt/.data/backup/ServeurABackuper/ du serveur de backup.

Est créé en plus, un répertoire propre à rdiff-backup "rdiff-backup-data"

Pour plus d'infos, utiliser les options:

$ rdiff-backup -v5 --print-statistics

- Exemple de suppression d'un fichier

On supprime un fichier sur le serveur à backuper.
On relance un backup.
Le fichier est bien "supprimé" coté répertoire de backup MAIS une copie (compressée en gz et renommée avec la date) est conservée dans le répertoire rdiff-backup-data/increments/

On peut voir les différentes "versions" d'un fichier

rdiff-backup --list-increments file

- Restaurer

Pour une restauration, on peut soit passer par une bête copie classique (cp / scp etc.. ), soit utiliser les options suivantes

rdiff-backup -r now host.net::/remote-dir/file local-dir/file
rdiff-backup -r 10D host.net::/remote-dir/file /tmp/file

10D étant bien entendu la version du fichier "file" d'il y a 10 jours.

Exemple pour restaurer un fichier qui a été supprimé du serveur à backuper hier, puis un backup a eu lieu cette nuit., dans ce cas le fichier a été supprimé le l'image "mirroir", mais est toujours présent dans rdiff-backup-data/increments:

rdiff-backup -r 2D SrvDeBackup::/mnt/.data/backup/xxxxx/yyyyy/file localrep/file

La commande ici est lançée depuis le serveur à backuper. On ne peut pas utiliser "now" car le fichier n'est déjà plus dans le mirroir à cause de la synchro de la nuit. Le fichier zzz n'est en fait plus présent dans /mnt/.data/backup/xxxxx/yyyyy/ mais la commande fonctionnera et ira chercher le fichier en réalité dans rdiff-backup-data/increments/

- Supprimer les anciennes versions de fichiers.

Comme on a pas non plus un espace illimité pour garder 10 000 versions de tous les fichiers (ou les fichiers supprimés) , il est nécessaire de supprimer régulièrement les "vielles" versions.

Ceci est réalisé par la commande suivante:

rdiff-backup --remove-older-than 2W host.net::/remote-dir

Ici les anciennes versions de plus de 2 semaines seront supprimées.
Bien ententu, ceci n'efface PAS les fichiers de la sauvegarde, même s'il datent de 10 ans, uniquement les anciennes versions.

rdiff-backup --remove-older-than 20B host.net::/remote-dir

Ici seules les modifications des 20 dernières sessions de Backups sont conservés.

J'aurais bien vu aussi une option qui aurait pris une taille en paramètre. Par exemple, "tu me supprimes les modifications de sessions de sorte que je n'utilise pas plus de 10Gio d'anciennes sessions"... Mais ceci n'existe pas. Il y a peut être une bonne raison ?

Dans mon cas, la commande est lancée en "local" dans le script tournant sur le serveur de backup

rdiff-backup --remove-older-than 12M --force /mnt/.data/backup/ServeurABackuper

  • Script et mise en cron

Mon script tourne sur le serveur de backup et fonctionne ainsi dans une cron chaque nuit:

- Vérification que le répertoire chiffré est bein accessible en clair et si oui:
- Backup
- Supression des anciennes versions
- Un petit mail récaptulatif

Sinon, petit mail d'alerte, car il y a du avoir un reboot.

  • Conlusion

La solution permet donc d'avoir à moindre frais (Un Rasp + un Disque dur + 4€ d'électricité par an + des beaux parents pour héberger le Rasp ;) ) une solution de backup:

- Discrète (ne prend pas trop de place et est silencieux)
- Incrémental (Optimisation bande passante et temps de backup)
- Securisé (Chiffré + SSH + pas dans le Cloud de la NSA + site distant)
- On peut restaurer tout notre backup facilement. Même en copiant simplement le répertoire.
- On conserve les anciennes versions des modifications/supressions que l'on peut restaurer facilement également.

dimanche, 28 juillet 2013

sshuttle - VPN / SSH

sshuttle est a mi-chemin entre le VPN et le port forwarding SSH.
Il permet en gros, de faire une sorte de VPN avec juste un serveur SSH en face.

Concrètement, je l'utilise surtout lorsque je suis connecté à des réseaux type "Wifi Hotel".
Je connecte sshuttle vers mon Raspberry chez moi, en écoute en SSH (port 80 et authentification uniquement par clé).
De cette manière tout ce qui sort de mon pc est chiffré quand il passe sur le réseau Wifi, y compris mon trafic Internet, qu'il soit fait par mon navigateur, ou même un simple apt-get.

Il remplace donc avantagement un tunnel SSH avec l'option -D ainsi que l'utilisation de tsocks

Il n'encapsule pas exactement TCP dans TCP, ce qui évite des problèmes de performances réseau.
La partie DNS est "tunnelisée" avec l'option --dns
/!\ UDP (autre que DNS) et ICMP ne passent pas dans le tunnel.

sshuttle est dispo dans les dépots debian, mais pour moi l'authentification par clé ne fonctionnait pas.
Si c'est toujours le cas, passez donc par github pour l'installation de la dernière version:

$ git clone git://github.com/apenwarr/sshuttle
$ cd ./sshuttle

$ curl ip.uggy.org
x.x.x.x
$
$ ./sshuttle --dns -r y.y.y.y:80 0/0
Connected.

On ouvre par exemple un autre terminal

$ curl ip.uggy.org
y.y.y.y
$

Avec la commande sshuttle ci-dessus, toutes les connexions (0/0) DNS et TCP passent par le tunnel SSH (OpenSSH ouvert sur le port 80).
Pas besoin donc de configurer son navigateur pour passer par un proxy Socks, ni d'activer l'option network.proxy.socks_remote_dns, ni d'utiliser tsocks.

On peut utiliser aussi utiliser par exemple:
- l'option -D pour le faire tourner en démon.
- l'option -x pour exclure des réseaux.

Allez voir le README pour toutes les informations.


dimanche, 19 septembre 2010

GNU Screen et SSH Agent forwarding

Faire en sorte que GNU Screen utilise le SSH Agent forwarding

Trouvé sur superuser.com

  • Dans le fichier .profile, on créé un lien symbolique avec un nom "fixe"

test $SSH_AUTH_SOCK && ln -sf "$SSH_AUTH_SOCK" "/tmp/ssh-agent-$USER-screen"


  • Dans le fichier .screenrc, on utilise le nom fixe

setenv SSH_AUTH_SOCK "/tmp/ssh-agent-$USER-screen"

jeudi, 29 juillet 2010

Tunnels TCP à travers proxy HTTP - Corkscrew et Proxytunnel


  • Introduction

Présentation des 2 outils Corkscrew et Proxytunnel:

Ils permettent donc de créer des tunnels TCP à travers un proxy HTTP (via la méthode CONNECT)...
On sera donc par exemple en mesure de monter une connexion SSH... Cette connexion SSH pourra être ensuite elle-même un tunnel chiffré dans lequel faire passer d'autres connexions... Je ne vous fait pas un dessin (option -D d'openSSH, tsocks...etc.. ;) )


  • Présentation

corkscrew is a simple tool to tunnel TCP connections through an HTTP proxy supporting the CONNECT method. It reads stdin and writes to std‐out during the connection, just like netcat. It can be used for instance to connect to an SSH server running on a remote 443 port through a strict HTTPS proxy.


proxytunnel is a program that open a tunnel through a HTTPS proxy.


  • Fichier '~/.ssh/config'

$ man ssh_config
ProxyCommand
Specifies the command to use to connect to the server.[...]


- Pour Corkscrew

Host mon.serveur.ssh
Port 443
ProxyCommand corkscrew mon.proxy.intra 8080 %h %p loginpassfile

- Pour Proxytunnel

Host mon.serveur.ssh
Port 443
ProxyCommand proxytunnel -p mon.proxy.intra:8080 -F loginpassfile -d %h:%p

On peut constater que le principe est le même.. et que la syntaxe est très proche.


  • Syntaxe du fichier loginpass

- Pour Corkscrew

superLogin:superPass

- Pour Proxytunnel

proxy_user = superLogin
proxy_passwd = superPass


  • Création de connexion SSH à travers le proxy avec par exemple:

$ ssh -p 443 mon.serveur.ssh

ou

$ ssh -D 1111 -p 443 mon.serveur.ssh

etc...


  • Différences

Je n'ai pas trouvé beaucoup de différence entre les 2...pour mon utilisation:

- Proxytunnel affiche une petite ligne lors de la connexion SSH

Via mon.proxy.intra:8080 -> mon.serveur.ssh:443

- La dernière version de Corscrew semble dater de 2001.. et la dernière de Proxytunnel de 2008.

- Proxytunnel semble avoir une option pour chaîner 2 proxys (non testé).

- Proxytunnel semble avoir une option pour chiffrer la connexion entre le client et le proxy. (Non testé.. le proxy à dispo ne le supporte pas).

- Corkscrew à un logo plus sympa ;)

- Proxytunnel semble avoir une option pour faire du NTLM (non testé).



  • Divers

- PuTTY a une option pour faire passer la connexion dans un Proxy...

- On peut ajouter la ligne suivante dans le '~/.ssh/config' pour maintenir le tunnel si besoin

ProtocolKeepAlives 30

- On peut aussi faire du SCP de la même manière (dans les 2 sens)

$ scp -P 443 file mon.serveur.ssh:/tmp
Via mon.proxy.intra:8080 -> mon.serveur.ssh:443
file 100% 171 0.2KB/s 00:00
$ scp -P 443 mon.serveur.ssh:/tmp/file .
Via mon.proxy.intra:8080 -> mon.serveur.ssh:443
file 100% 171 0.2KB/s 00:00

- N'oubliez pas que ce n'est pas parceque vous arrivez à vous connectez en SSH, que l'admin est forcément bigleux...
Il lui est tout à fait possible de voir qu'il s'agit d'un tunnel SSH et non d'une banale connexion HTTPS... méfiance :)


- page 1 de 4