Remote Access Protocols. H gnwmh sas.

[stavrakis1821]

Geia sas paideia, kai me sugxwreite polu gia ta greeklish.

 

Tha hthela na zhthsw thn apopsh sas gia "Remote Control" Linux susthmatwn. Me liga logia anaferomai se makruno elegxo (remote access) kapoiou Linux Box/Shell mesw Internet. An douleuei kaneis tetoia, poia sugkekrimena protocols kai giati.

 

Sas euxaristw polu gia ton xrono sas kai h apopsh sas tha mou einai afantasta xrhsimh, kathws prospathw na vrw to kalutero pithanon meso gia na elegxw ton webserver mou (Apache) otan taksideuw kai den mporw na eimai parwn.

 

Sas parakalw an mporousate na perigrapsete ligo auto pou isws prosferete san katallhlh lush. Na shmeiwsw epishs oti den tha kserw se poio IP tha vriskete o upologisths apo ton opoio tha kanw thn douleia mou. dld WAN me NFS kai SAMBA den einai ethiktes luseis.

 

Prws to parwn, me exoun sumvoulepsei gia autes tis methodous (sshfs sugkekrimena):

http://www.debuntu.org/2006/03/30/11-how-to-mount-a-remote-filesystem-using-ssh-sshfs-and-fuse

http://fuse.sourceforge.net/sshfs.html

An exei kaneis empeiria me SSHFS kai Kubuntu parakalw as mou dwsei peraiterw plhrofories.

 

 

Thanks, na'ste kala.

[apoikos]

Το NFS, το SMB και το sshfs είναι συστήματα αρχείων. Δεν τα χρειάζεσαι για να ελέγξεις τον server σου, παρά μόνο αν θες να κάνεις mount μέρος του συστήματος αρχείων του σε έναν άλλον Η/Υ. Το μόνο πράγμα που χρειάζεσαι για να έχεις έλεγχο πάνω στο server σου, είναι ένας ssh server. Το OpenSSH υπάρχει σχεδόν σε όλες τις διανομές. Από 'κει και πέρα, χρειάζεσαι έναν client για να συνδέεσαι πάνω στο server σου. Αν θες να συνδεθείς από ένα Windows μηχάνημα, τότε η καλύτερη κατ' εμέ λύση είναι το PuTTY, ειδάλλως από ένα linux μηχάνημα απλά δίνεις `ssh username@server-address' και συνδέεσαι ;-)

 

Από εκεί και έπειτα, αν θες να μπορείς να κάνεις mount το σύστημα αρχείων του server σου μέσω internet, η πιο απλή, αξιόπιστη και ασφαλής λύση είναι μάλλον το sshfs που σου έχουν ήδη προτείνει.

[stavrakis1821]

file se euxaristw para polu gia thn apanthsh sou.

 

Vasika ssh einai ontws h statherh kai gnwsth methodos. Prwtou omws anoiksw ports sto firewall mou gia tetoies epikoinwnies, tha hthela na orisw sto ssh daemon na dexete connections mono apo to sugkekrimeno MAC address tou laptop mou. Mhpws gnwrizeis ti epilogh prepei na prosthesw sto sshd_config arxeio? Ginete auto? mhpws prepei na epeksergastw firewalls gia na kataferw kati tetoio?

 

Epishs tha hthela na kanw mount to filesystem tou server, para na douleuw me to scp command. Auto mporei na ginei me to FUSE monaxa opws leei kai to arthro h mhpws uparxoun kai alles methodoi?

 

O logos pou anafera NFS einai giati exw hdh to LAN mou na douleuei me auto to protocol kai kapoios me eixe sumvoulepsei kai palu pio palia an tha ithela WAN me NFS na dhmiourgisw ena VPN channel kai na kanw export to filesystem mesa apo auto. Pollh douleia omws mou fenete kai den vrhka xrono akoma na psaksw gia tetoies efarmoges.

 

kai plu euxaristw polu gia thn apanthsh sou.

[apoikos]

Vasika ssh einai ontws h statherh kai gnwsth methodos. Prwtou omws anoiksw ports sto firewall mou gia tetoies epikoinwnies, tha hthela na orisw sto ssh daemon na dexete connections mono apo to sugkekrimeno MAC address tou laptop mou. Mhpws gnwrizeis ti epilogh prepei na prosthesw sto sshd_config arxeio? Ginete auto? mhpws prepei na epeksergastw firewalls gia na kataferw kati tetoio?

Ώπα, τα έχεις μπερδέψει λίγο ;-). Κατ' αρχάς το MAC filtering γίνεται μέσω iptables και όχι μέσω του sshd. Κατά δεύτερον δεν έχει νόημα να κάνεις MAC filtering σε συνδέσεις που έρχονται από το internet. Η MAC address χάνεται πάντα μετά το 1ο hop, οπότε ο server σου δε θα βλέπει ποτέ τη MAC του laptop σου. Επίσης δε χρειάζεται να ανησυχείς για το ssh: είναι από τις πιο ασφαλείς υπηρεσίες. Απλά άνοιξέ το στο firewall, και κόψε το root login από το sshd_config. Αν θες να είσαι ακόμα πιο ασφαλής, μπορείς να κόψεις και το login με password και να χρησιμοποιείς public key authentication και παράλληλα να επιτρέψεις μόνο σε συγκεκριμένους χρήστες να κάνουν login. man sshd_config για περισσότερες πληροφορίες ;-)

 

Epishs tha hthela na kanw mount to filesystem tou server, para na douleuw me to scp command. Auto mporei na ginei me to FUSE monaxa opws leei kai to arthro h mhpws uparxoun kai alles methodoi?

Υπάρχουν διάφορες μέθοδοι, αλλά το FUSE/sshfs είναι η πιο αναίμακτη. Εννοείται όμως ότι πρέπει να έχεις Linux στο laptop σου για να το χρησιμοποιήσεις. Αν έχεις Windows, μπορείς να χρησιμοποιήσεις το WinSCP για sftp transfers.

 

O logos pou anafera NFS einai giati exw hdh to LAN mou na douleuei me auto to protocol kai kapoios me eixe sumvoulepsei kai palu pio palia na dhmiourgisw ena VPN channel kai na kanw export to filesystem mesa apo auto. Pollh douleia omws mou fenete kai den vrhka xrono akoma na psaksw gia tetoies efarmoges.

Ναι, αυτός είναι ο μόνος τρόπος να έχεις ασφαλές NFS από απομακρυσμένους υπολογιστές. Αλλά επειδή γενικά το NFS είναι μανούρα, αν δεν έχεις ιδιαίτερο λόγο να μπεις σε αυτή τη διαδικασία, μην το κάνεις. Για να πετάς αρχεία στο server μέσα από μια broadband σύνδεση μια χαρά είναι το sshfs ;-)

[stavrakis1821]

file olo Linux eimai edw (h toulaxisto prospathw). NFS lemen.

 

ontws ta mperdepsa ligo me ta mac addresses. tetoio filtering ontws den tha exei nohma, afou tha einai apo Internet to connection. Auto omws me to public key encryption ontws isws na einai polu kalh lush. To exw koitaksei kai sta man pages. vasika auto zhtw panw katw...n'apofugw auto to username/password login. sugkekrimenoi xrhstes opwsdhpote auto einai aparaithtos anagkaio. Ena account mallon tha epitrepsw monaxa.

 

file thanks. na'se kala. allou sou dinoune ena link kai sou lene des edw kai psaxtou. S'euxarhstw para polu gia tis sumvoules. Tha vevaiwthw oti ola douleuoun ok me FUSE kai se enhmerwnw analogos.

 

btw pou tha evlepes xrhsimo to VPN channel me NFS? einai kati ethikto auto? giati thumamai otan psaxthka ligo pio palia vrhka merika "vareta" keimena tha elega gia meleth kai me apomakrunan ligo. Exw koitaksei ta VPN howto pages kai exw akousei kai gia secvpn kai vtund. Exeis kanena kalo arthro etsi gia ligh meleth? Sigoura tha fanei xrhsimh tetoia gnwsh kai as mhn xrhsimeusei kai se tipota sugkekrimeno.

 

Anyway, million thanks gia ola.

[apoikos]

file olo Linux eimai edw (h toulaxisto prospathw). NFS lemen.

Υπάρχει NFS client και για Windows :-P

 

btw pou tha evlepes xrhsimo to VPN channel me NFS? einai kati ethikto auto? giati thumamai otan psaxthka ligo pio palia vrhka merika "vareta" keimena tha elega gia meleth kai me apomakrunan ligo. Exw koitaksei ta VPN howto pages kai exw akousei kai gia secvpn kai vtund. Exeis kanena kalo arthro etsi gia ligh meleth? Sigoura tha fanei xrhsimh tetoia gnwsh kai as mhn xrhsimeusei kai se tipota sugkekrimeno.

Γενικά θεωρώ το NFS άσχημο πρωτόκολλο. Αν και είναι πολύ γρήγορο γενικά, είναι σχεδόν απαγορευτικό για χρήση έξω από LAN's για τους εξής λόγους:

• Είναι insecure εγγενώς: δεν υποστηρίζει ούτε authentication ούτε κρυπτογράφηση και τα permissions καθορίζονται απλά βάσει IP's.
  
• Ανοίγει συνδέσεις από τυχαίες θύρες και παίζει με τα νεύρα σου όταν ρυθμίζεις firewalls
  

Υποτίθεται ότι όλα αυτά τα προβλήματα έχουν αντιμετωπιστεί στο NFSv4, αλλά ακόμα δεν το έχω δοκιμάσει για να σου πω. Οπότε τη λύση του NFS over VPN τη θεωρώ λύση έσχατης ανάγκης, όταν δεν μπορείς να χρησιμοποιήσεις κάποιο άλλο networked filesystem. Στην προκειμένη περίπτωση το sshfs είναι zero-configuration από την πλευρά του server (δε χρειάζεται να τρέχεις τίποτα άλλο εκτός από τον sshd), είναι κρυπτογραφημένο και υποστηρίζει όλα τα authentication schemes που υποστηρίζει ο sshd σου, οπότε είναι σαφώς προτιμότερο. Από την άλλη πλευρά ενδεχομένως δεν έχει το throughput που θα είχε το NFS σε ένα 100άρι δίκτυο, αλλά δε νομίζω ότι σε απασχολεί στην παρούσα.

 

Από 'κει και πέρα, γενικά VPN έχει νοήμα να κάνεις σε 2 περιπτώσεις: είτε για να βάλεις έναν υπολογιστή σε ένα απομακρυσμένο δίκτυο, ούτως ώστε να είναι στο ίδιο «trust level» με τους υπόλοιπους του δικτύου, είτε για να φτιάξεις ένα ασφαλές κανάλι και να περάσεις περισσότερες από μια υπηρεσίες μεταξύ δύο υπολογιστών. Αν π.χ. εσύ δεν ήθελες μόνο ένα filesystem, αλλά ήθελες να μπορείς να έχεις πρόσβαση σε 10 υπηρεσίες που τρέχει το μηχάνημα, τότε θα σου έλεγα να στήσεις ένα VPN. Στην περίπτωση αυτή θα ήταν σαφώς προτιμότερο από το να φτιάχνεις κανόνες στο firewall κάθε φορά που μπαίνεις από διαφορετική IP ;-)

 

Όσον αφορά την υλοποίηση, προσωπικά έχω δοκιμάσει αρκετές διαφορετικές υλοποιήσεις, και έχω καταλήξει στο OpenVPN, το οποίο και θεωρώ μακράν το ευκολότερο στο στήσιμο και πληρέστερο δυνατοτήτων απ' όλα. Ρίξε μια ματιά, έχει και κάποια howto's.

 

Anyway, million thanks gia ola.

Δεν κάνει τίποτα. Καλή συνέχεια

[stavrakis1821]

wpa. thanks! apsogo info.

 

ontws autes einai oi entupwseis pou akousa apo pollous. edw me voleuei ligo omws, mias kai mphka kai ston kopo na to doulepsw ligo. kai den agkiksa ta GUIs tou Ubuntu gia filesharing "automation". Old-Fashion NFS-HowTo kai Agios o Theos. Mporeis omws sxetika na to ruthmiseis kai me encryption, an psostheseis ssh vevaia. Kaneis export me nfs sto loopback/localhost kai meta forward ports me ssh kai mount apo client klp. Fusika den to efarmwsa edw giati den eixa kai sugkekrimeno logo. vrhka 2-3 diaforetikes methodous omws pou to katorthwnoun auto alla oles se kanoun na dierwtase poios o logos. zori einai. Mou fenete sto telos apla prospatheis na mimhtheis auto pou legame gia FUSE & sshfs. Isws apodosh opws les omws na einai kapoios logos pou isws to protimhsoun kapoioi?

 

Proswpika apla m'aresei na pedeuomai ligo me tetoia. Oso paramenei kai logikh h prospathia omws. Einai omws polu endiaferwn gnwseis.

 

Auto me to NFS client gia Windows idea den eixa oti uparxei tetoio.

 

Se euxaristw polu kai gia to link me to OpenVPN, tha to koitaksw kai ta leme kai gia auto an thes. na'se kala.

[apoikos]

Isws apodosh opws les omws na einai kapoios logos pou isws to protimhsoun kapoioi?

Χμ, όχι. Μην ξεχνάμε ότι το sshfs είναι σχετικά νέο: το FUSE ενσωματώθηκε σχετικά πρόσφατα στον πυρήνα του Linux. Πριν από αυτό δεν είχες και πολλές εναλλακτικές αν ήθελες κάποιο networked filesystem, ουσιαστικά θα έπαιζες ή με SMB/CIFS ή με NFS.

 

Όσον αφορά την απόδοση, το NFS over SSH περιμένω ότι θα είναι ίσως πιο αργό από το sshfs. Γενικά το bottleneck σε οτιδήποτε περνάει από SSH με μεγάλους ρυθμούς τείνει να είναι η επεξεργαστική ισχύς που απαιτείται για την κρυπτογράφηση του TCP stream. To sshfs μπορεί να έχει ένα μικρό penalty επειδή είναι userspace filesystem, όμως έχω την εντύπωση ότι θα είναι ταχύτερο από NFS over SSH. Αν βρω χρόνο θα το δοκιμάσω.

[nske]

- Ένα performance-related patch για το openssh που κάνει μεγάλη διαφορά σε γρήγορα δίκτυα (i.e. ethernet):

http://www.psc.edu/networking/projects/hpn-ssh

 

 

- Stavrakis, ειδικά για συνδέσεις πάνω από το internet που δεν φημίζονται ούτε για τη σταθερότητά τους ούτε για το υψηλό bandwidth, αν δεν απαιτούν οι ανάγκες σου real-time πρόσβαση σε απομακρισμένα αρχεία θα ήταν καλύτερα να μην χρησιμοποιήσεις σύστημα filesharing (NFS, SMB, SSHFS, ..) αλλά κάποιο απλό πρωτόκολλο με λογική sessions, π.χ. ftp (over ssl αν χρειάζεται).

[stavrakis1821]

nske, FUSE & sshf mallon mou parexoun oti xreiazomai gia remote access. Vasika mou einai anagkaio kati tetoio giati eimai ekswteriko prws to paron kai thelw na exw arketh prosvash ston upologisth me ton web server otan erxomai Ellada gia diakopes.

 

Gia FTP over SSL, kai auto xreiazete opwsdipote. ena guide pou exw vrei gia efarmogh me SSL einai auto: http://doc.gwos.org/index.php/FTP_Server An exeis kapoia sugkekrimenh empeiria me auto mou les se parakalw. thanks.

 

Kai to OpenVPN pou mou exei susthsei o filos apoikos thelw polu na to koitaksw. to kalokeri skeftomouna na anoiksw kati gia 2 members se ena project pou douleuw sto savannah, gia na epikoinwnoume kalutera. katanthse h olh katastash na stelnoume code me e-mails klp 2-3 fores thn hmera. kapoio vpn me prosvash se ola mas ta tools tha htan polu kalh lush. twra ksekopsame ligo logo sxolwn klp, alla otan epanerthoume sto project tha ithela kapoia kaluterh epikoinwnia isws.

 

Tha koitaksw kai to patch, tha koitaksw kai to OpenVPN. sas euxaristw para polu. tha sas enhmerwsw.

[stavrakis1821]

kamia apopsh gia auta uparxei re paidia? (LUFS & SHFS) poia h sxesh tous me sshfs an gnorizei kaneis?

http://www.ma.utexas.edu/users/stirling/computergeek/lufs.html

 

Ap'oti diavasa to SHFS douleuei san kernel module kai oxi se "user space". kalo auto? lene pio grigoro.

[apoikos]

Το sshfs του FUSE είναι εμπνευσμένο από το αντίστοιχο του LUFS και σαφώς πιο βελτιωμένο, υποστηρίζει για παράδειγμα multithreading ενώ το lufs όχι. Τώρα για το shfs δεν έχω δει και πολλά, αλλά έχω ακούσει ότι έχει κάποια ψιλοπροβλήματα (δεν ξέρω περισσότερες λεπτομέρειες).

 

Από 'κει και πέρα το ότι το ένα είναι user-space και το άλλο είναι kernel-space, δε σημαίνει απαραίτητα ότι το 2ο είναι πιο γρήγορο. Έχει τις προϋποθέσεις ενδεχομένως για να γλιτώσει κάποια latencies, αλλά εξαρτάται σε πολύ μεγάλο βαθμό από τη δουλειά που έχουν κάνει οι προγραμματιστές. Σε κάθε περίπτωση - γιά να έχεις μια αίσθηση μεγέθους - στο 100άρι δίκτυό μου με sshfs πιάνω κάτι παραπάνω από 8 MB/s, και το Bottleneck είναι η CPU του ενός υπολογιστή (PIII 733 MHz), που βαράει 100άρες για να κρυπτογραφήσει την κίνηση. Έχω την αίσθηση ότι και με LUFS και με SHFS την ίδια ταχύτητα θα έπιανα πάνω-κάτω.

[stavrakis1821]

Endiaferwn. thanks.

 

Ki'egw kati tetoio akousa gia shfs ma den thumamai giati den eixa dwsei shmasia tote. Vasika, an den kanw lathos, den uparxei logos na psaxtei kaneis parapera apo to sshfs mou fenetai. An tous doulepsei vevaia, ennoeite.