- バックアップ一覧
- ソース を表示
- ネットワーク/FWで遮断されたホストからsshトンネルをはらせるCGI は削除されています。
- 1 (2006-11-03 (金) 07:52:17)
- 2 (2006-11-03 (金) 07:55:18)
背景 †
- 次のようなサーバー構成
+--------+ | +---------+ | target | -- FW-----> | my_host | +--------+ | +---------+
- targetからmy_hostにのみアクセス可能。
- my_hostからtargetにsshできるようにしたい。
- targetからmy_hostに対してsshトンネルを作成すれば可能。
- sshトンネルはたびたび落ちる。
- 落ちたらまトンネルを作成したいのだが、targetにログインできないから、できない。
んで、このCGI †
- target上のapacheユーザーの秘密鍵をパスフレーズ空で作成。
- my_hostのrootの.ssh/authorized_keysに、target側で作成した秘密鍵と対応する公開鍵を設定
- target上にこのCGIを設置し、アクセスする。
#!/usr/bin/perl $my_host = "111.222.333.444" $my_port = "33333"; print "Content-type: text/html\n\n"; exec("ssh -f -R 22:localhost:$my_port root\@$my_host ping -i 60 localhost");
注意
- このCGIが攻撃者にアクセスされないように考慮すること。
- targetが外部からの攻撃に対して十分に安全である場合のみ使用すること。でないとtargetのapacheユーザー経由でmy_hostのrootになられてしまう。
- 上記CGIはGPL 2とします。なので、自己責任でお願いします。
tag: ネットワーク?