Sign your scripts

Sun 30 June 2013 by admin

Remote command execution from one host to another is nothing new in more complex infrastructure. It is usually going to happen at low user level privilege and it's also password less ssh communication based on ssh keys. But what happens when ssh keys leaked or this account was compromised, now it gives us ability to escalate privileges on remote hosts. One way to prevent from happening this scenario is to allow execute only specific commands by entering them in authorized_keys file by command statement. Another way is to use PKI and signed all scripts (the same way as in MS Powershell). How it can be done is mentioned in:

https://www.usenix.org/system/files/login/articles/105516-Schaumann.pdf

you can download bash wrapper command from

https://github.com/jschauma/sigsh

and put them into command statement in authorized_keys just like that:

command="/usr/local/bin/sigsh.sh -p /bin/bash -c /usr/local/etc/cert.tmp"

Now you can post command to execute on remote system by:

ssh -tt witalis@<host>  < /home/witalis/test.sh_signed

it will be interpreted as bash commands.

So now I could review all commands that should be executed on remote site by signing them, each modification won't be executed.


tar diff

Sun 26 May 2013 by admin

Easy way to find out if something changed since my last tar backup:

tar -df mylastbackup.tar.gz
read more

Postfix - optymalizacja wysyłki

Sun 07 August 2011 by admin

Postfix często wybierany jest jako serwer pocztowy, jednym z argumentów na jego korzyść jest wydajność. Optymalnie zrealizowana kolejka active predestynuję go do wyboru w roli smarthost'a. W jaki jeszcze inny sposób możemy wpłynać na wydajność naszej konfiguracji ?

Przede wszystkim przy wysyłce dużej ilości poczty np. maillingu reklamowego możemy zrezygnować ...

read more

Dwuetapowe uwierzytelnienia dla SSH

Thu 23 June 2011 by admin

Za pomocą usługi SSH możemy się uwierzytelnić za pomocą hasła badź klucza. To drugie rzecz jasna jest bardziej bezpieczne, dodatkowo gdy wzmocnimy je hasłem na klucz. W porządku jednak klucza z reguły nikt się nie uczy na pamięć czyt. trzeba go mieć przy sobie. Istnieje jednak jeszcze jeden - dwuetapowy - mechanizm ...

read more

Sposób na powiadomienia w konsoli

Sun 30 January 2011 by admin

Śledzenie komunikatów w konsoli SSH, zwłaszcza gdy mamy otwarte kilka połączeń jest dość nudnym zajęciem. Sprawę uprościć możemy sobie w przypadku stosowania  popularnego klienta putty i bash'owego ASCII bell. Wystarczy w konsoli, która np.  śledzi logi z pliku wydać następujące polecenie:

tail -n 0 -f foo | awk '{if(/bar ...
read more