Zmiany w obsłudze komunikacji LDAP - część 5/5

Artykuł jest ostatnią częścią serii „Zmiany w obsłudze komunikacji LDAP”. Odnośniki do poprzednich części znajdziecie na końcu. Dzisiaj pokażę wam przykłady testowania połączeń z usługą LDAP, po jej utwardzeniu, zgodnie z docelowymi ustawieniami Windows Server po zastosowaniu poprawek zaplanowanych na marzec 2020. 

Jakich aplikacji użyć, aby wydajnie weryfikować oraz testować stan zabezpieczeń komunikacji LDAP?

Podstawowa zasada brzmi, użyj znanego sobie oprogramowania, a to z kilku powodów. Prawie na pewno jest już zainstalowane i dozwolone w firmie. Używaliście go już nie raz, więc interfejs i możliwości są wam znane. Można skupić się na pracy, a nie narzędziu do jej wykonania. 

Jeśli do tej pory nie wykonywaliście takich testów lub po prostu jesteście ciekawi, co polecam, zachęcam do zapoznania się z poniższą listą. 

PowerShell – jeśli chcecie zrobić coś wsadowo lub uruchamiać automatycznie, np. z poziomu platformy do monitorowania, to wybór jest dość oczywisty. Koniecznie zapoznajcie się z dokumentacją ADSI adaptera oraz przestrzenią nazw  System.DirectoryServices.

LdapAdmin – darmowy klient oraz narzędzie do administracji katalogami LDAP dla Windows. Pozwala na podstawowe operacje (przeglądanie, wyszukiwania, modyfikację, tworzenie i usuwanie obiektów) oraz bardziej zaawansowane operacje (takie jak kopiowanie i przenoszenie obiektów pomiędzy serwerami).

LDAPExplorerTool – wieloplatformowa przeglądarka i edytor LDAP z graficznym interfejsem użytkownika. Program jest testowany przez twórców w systemach Windows i kilku dystrybucjach Linuksa (m.in. Debian, Red Hat).

JXplorer – wieloplatformowy klient usługi i edytor LDAP napisany w Javie (wymaga JRE). Program jest testowany przez twórców w systemach Windows, Solaris, Linux i OSX, ale gotowe paczki dostępne są także dla HPUX, AIX, BSD i wszystkiego, co uciągnie JRE.  

Jak wyglądają scenariusze testów?

Testy powinny być miarodajne (pokazywać, że coś działa (w ogóle lub w oczekiwany sposób) lub że nie działa). W przypadku naszego ćwiczenia, testowanie ma na celu potwierdzenie, że nowe utwardzone ustawienia kontrolera domeny pozwalają na bezpieczne oraz blokują niebezpieczne metody komunikacji LDAP.

Testy połączeń LDAP

Przetestujmy poszczególne rodzaje połączeń wykorzystując jednego z wcześniej opisanych klientów LDAP. Jeśli testy będą powtarzane, wówczas poszczególne konfiguracje połączeń najlepiej zapisać jako szablon, z którego będziemy mogli skorzystać w przyszłości. 

Logowanie anonimowe (Anonymous)

W oknie kreatora połączenia należy wprowadzić adres docelowego kontrolera domeny oraz port (domyślnie jest to port TCP 389) oraz wskazać Anonymous jako docelowy poziom zabezpieczeń dla połączenia. 

Połączenie do utwardzonego kontrolera domeny powinno zakończyć się niepowodzeniem. A to dlatego, że wymaga on poprawnego uwierzytelnienia, aby przeglądać zawartość katalogu LDAP. 

Pierwszy test zakończony sukcesem. Przeanalizujmy jeszcze ruch sieciowy, co będzie szczególnie użyteczne, gdy klient LDAP (w prawdziwym środowisku) nie oferuje obsługi błędów i wyświetla komunikat w stylu „Połączenie nie powiodło się, skontaktuj się z administratorem”. 

W przypadku dostępu anonimowego, klient bezpośrednio wysyła zapytanie (searchRequest) do wskazanego serwera LDAP. 

O tym nie może być jednak mowy. Uprawnienie odczytu informacji z katalogu (general read, GR) domyślnie posiadają tylko zalogowani użytkownicy.

Odpowiedź serwera może być tylko odmowna - choć informuje on od razu w czym rzecz (errorMessage 000004DC: LdapError: DSID-0C090A37). Większość monitorów sieciowych posiada wbudowane parsery, na załączonym zrzucie ekranu Wireshark dodaje komentarz (comment: In order to perform this operation a successful bind must be completed on the connection). 

Proste uwierzytelniania - Simple bind 

W kreatorze połączenia, ponownie wskazujemy utwardzony kontroler domeny jako cel, wykorzystując przy tym podstawowy port usługi LDAP TCP 389. Wybrany poziom bezpieczeństwa to User + Password, w kreatorze podajemy DN użytkownika oraz jego hasło. 

 I w tym przypadku spodziewamy się zobaczyć błąd połączenia. Klient zostaje poinformowany o konieczności zestawienia połączenia SSL\TLS, aby poświadczenia nie były przesyłane jawnym tekstem. 

Zobaczmy jak wygląda komunikacja zarejestrowana podczas próby połączenia w Wiresharku. 

Klient przesłał nazwę użytkownika oraz jego hasło jawnym tekstem, co pozwoliło na przechwycenie jego poświadczeń. 

Jeśli użytkownik posiada istotne uprawnienia w Active Directory lub firmowych aplikacjach, pozyskane w ten sposób poświadczenia mogą zostać wykorzystane bez jego wiedzy.

Serwer odrzucił żądanie oraz wskazał powód swojego zachowania (errorMessage: 00002028: LdapErr: DSID-0C09023C, comment: The server requires binds to turn on integritychecking if SSL\TLS are not already active on the connection).  

Z tej perspektywy ważne jest, aby utwardzić nie tylko kontrolery domeny, ale także klientów. To, że serwer nie akceptuje połączeń, nie znaczy, że klienci nie będą próbować się nimi posługiwać i narażać poświadczenia na podsłuchanie i przechwycenie. 

Uwierzytelnianie w tunelu SSL/TLS  – LDAPS bind

Testy połączeń SSL/TLS zaczynamy od weryfikacji obecności poprawnych certyfikatów na kontrolerach domeny. W tym celu możemy posłużyć się skryptem Audit-DcTlsCertificate. Skrypt połączyć się z wszystkim dostępnymi kontrolerami domeny na porcie 636, pobierze certyfikaty oraz wyświetli listę w oknie wynikowym (OGV).  

.\Audit-DcTlsCertificate.ps1

Kluczowe jest, aby certyfikaty były poprawne (przede wszystkim, aby zgadzała się nazwa serwera, z którym będziemy się łączyć (FQDN) oraz nazwa podmiotu dla którego wystawiono certyfikat (CN) oraz okres ważności (Valid from i Valid to). Zwróćcie też uwagę, by certyfikat obsługiwał obsługę uwierzytelnienia serwera (Server authentication, 1.3.6.1.5.5.7.3.1).

Jeśli testy chcemy ograniczyć do pojedynczego serwera (np. tylko testowo utwardzonego kontrolera domeny), możemy użyć skryptu Retrieve-ServerCertFromSocket. Pozwoli pobrać certyfikat z wskazanego kontrolera domeny, a także zweryfikować bezpośrednio na kliencie. 

Retrieve-ServerCertFromSocket pfe-dc1.pfe.academy 636 | Export-Certificate -FilePath C:\temp\test.cer ; start c:\temp\test.cer

Test-Certificate $(Retrieve-ServerCertFromSocket pfe-dc1.pfe.academy 636)

Windows ufa tylko certyfikatom wydanym przez urzędy, których certyfikaty są zintegrowane z systemem (wbudowane lub zostały doinstalowane, na przykład w czasie dodawanie do domeny Active Directory). 

W naszym przypadku, certyfikat pochodzi z zaufanego, wewnątrzorganizacyjnego centrum certyfikatów oraz spełnia pozostałe kryteria. 

Możemy zatem przystąpić do testów połączeń w programie JExplorer. Tutaj jednak czeka nas rozczarowanie, bo aplikacje Java (oraz kilku innych bibliotek lub platform) nie wykorzystują systemowego magazynu certyfikatów. Zatem podczas próby połączenia zobaczmy błąd.

Wystarczy dodać certyfikat serwera (np. gdy ten jest samopodpisany (self-signed) lub całego urzędu certyfikatów (np. gdy wewnętrznie dostępne serwery używają certyfikatów wydanych przez organizacyjne CA). 

W tym celu należy przejść do Security > Trusted Servers and CAs, aby w pierwszej kolejności przekonać się o zaufanych certyfikatach (i braku tych związanych z usługą LDAP). 

A następnie dodać stosowny certyfikat (najlepiej root-ca).

Jeśli certyfikat pochodzi z zaufanego głównego lub podrzędnego urzędu certyfikatów, odpowiednia informacja znajdzie się w jego właściwościach. 

Teraz możemy przejść do właściwych testów połączeń LDAP. 

W kreatorze połączenia wskazujemy utwardzony kontroler domeny na porcie 636 oraz poziom zabezpieczeń SSL + User + Password. 

Nazwa użytkownika oraz hasło w dalszym ciągu przesyłane są tekstem, ale informacje są zenkapsulowane w bezpiecznym tunelu SSL/TLS, przez co nie da się ich podsłuchać w sieci. Połącznie dochodzi do skutku. 

Rzućmy jeszcze okien na przebieg komunikacji zarejestrowany w Wiresharku. 

W pierwszej kolejności zestawiane jest połączenie TLS. Klient żąda zestawienia sesji, którą należy uzgodnić. Przesyła więc komunikat Client Hello, a w nim pożądana wersję protokołu (TLS 1.2) oraz zestaw wspieranych przez siebie algorytmów kryptograficznych, w postaci uporządkowanej listy (od najbardziej preferowanego).

W odpowiedzi na żądanie, serwer wysyła odpowiedź Server Hello dostarczając klientowi klucz publiczny swojego certyfikatu. Pierwsza część komunikacji w tunelu TLS szyfrowana jest asymetrycznie (z wykorzystaniem pary kluczy, prywatnego oraz publicznego - komunikaty zaszyfrowane jednym mogą być odszyfrowane tylko drugim). 

Kiedy obie strony mogą wymienić się kluczem, sesja przechodzi na szyfrowanie symetryczne (co zmniejsza zużycie czasu procesora po obu stronach komunikacji). 

Dalsza część komunikacji odbywa się w przygotowanym tunelu SSL\TLS. 

Poświadczeń, zapytań oraz odpowiedzi LDAP nie da się podsłuchać. Integralność i poufność komunikacji są zapewnione dzięki opakowaniu połączenia protokołu LDAP w tunelu TLS.

Uwierzytelnianie z użyciem bibliotek SASL 

Simple Authentication and Security Layer (SASL) to metoda dodania warstwy uwierzytelniania użytkownika m.in. dla protokołu LDAP. Ciężar uwierzytelniania oraz zabezpieczania komunikacji LDAP przesuwa się na jeden z wspieranych przez SASL mechanizmów. 

W pierwszej kolejności sprawdźmy jakie mechanizmy SASL są obsługiwane przez Active Directory. 

Get-ADRootDSE | select rootDomainNamingContext,supportedSASLMechanisms |ft -AutoSize

Wygląda obiecująco, sprawdźmy, z czego może skorzystać klient. 

Generic Security Service Application Program Interface (GSSAPI, czasami nazywany też GSS-API) to interfejs programistyczny pozwalający aplikacjom uzyskiwać dostęp do usług bezpieczeństwa, za pośrednictwem których realizowane jest uwierzytelniania, np. z użyciem protokołu Kerberos.

Oznacza to, że nie musimy tunelować połącznia i używamy standardowego portu 389. 

Po wytypowaniu tego poziomu zabezpieczeń w kliencie, otrzymujemy pytanie o nazwę użytkownika oraz jego hasło. Posłużą one do pozyskania biletów kerberosowych. 

Utwardzony kontroler domeny bez problemowo obsługuje żądanie klienta.

Tutaj przebieg komunikacji sieciowej jest zdecydowanie najciekawszy, rzućmy okiem na ruch przechwycony za pomocą Wireshark. 

Na początek klient ustala właściwy serwer, który obsłuży uwierzytelnianie domenowe. W tym celu odszukuje za pomocą zapytań dns-owych właściwy dla swojej podsieci kontroler domeny (rekord SRV dla nazwy _kerberos._udp.pfe.academy). 

Następnie wysyła żądanie uwierzytelnienia użytkownika, co pozwoli pozyskać bazowy bilet kerberosowy (ticket granding tickets, TGT). 

Poświadczenia użytkownika nie są wysyłane tekstowo, zamiast tego (w dużym uproszczeniu) klient szyfruje skrótem swojego hasła informację, którą z użyciem tego samego skrótu zapisanego w bazie AD kontroler rozszyfrowuje. 

Jeśli użytkownik podał poprawne hasło (udało się z niego wyliczyć właściwy skrót do zaszyfrowania komunikatu), kontroler domeny wydaje tiket TGT.

To jednak dopiero połowa drogi, użytkownik jest uwierzytelniony w domenie. Tymczasem usiłuje dostać się do konkretnej usługi na kontrolerze domeny. W tym celu musi zażądać od kontrolera domeny tiketu TGS. 

W żądaniu klient jasno precyzuje nazwę usługi i serwer, co pozwala wydać poprawny bilet, zaszyfrowany skrótem hasła wskazanego serwera, tak aby tylko on mógł otworzyć jego zawartość.

Dopiero teraz klient jest uzbrojony i żąda uwierzytelnienia w usłudze LDAP z użycie posiadanego już biletu. 

Kontroler domeny poprawnie obsługuje żądanie, a nazwa użytkownika oraz członkostwo w grupach zabezpieczeń zawarte w tikecie TGS wyznaczają kontekst po stronie serwera LDAP.

Bilety kerberosowe pozyskane przez oprogramowanie, które wykorzystuje biblioteki systemowe można podejrzeć za pomocą programu klist. 

klist

Pamiętajcie, że raz otrzymane bilety mają określoną ważność i przy następnym połączeniu do tego samego serwera LDAP nie będzie konieczności ich ponownego pozyskania. 

Jeśli ominęły was poprzednie części z serii poniżej znajdziecie odnośniki. 

Zmiany w obsłudze komunikacji LDAP - część 1/5

Zmiany w obsłudze komunikacji LDAP - część 2/5

Zmiany w domyślnych ustawieniach komunikacji LDAP (PDF) - część 3/5

Zmiany w domyślnych ustawieniach komunikacji LDAP (wideo) - część 4/5

Ma href="https://blog.pfe.academy/post/190408395313/zmiany-w-obs%C5%82udze-komunikacji-ldap-cz%C4%99%C5%9B%C4%87-55">Zmiany w obsłudze komunikacji LDAP - część 5/5

Udanych testów!

Good proxy

The 922proxy version enhances security and provides three authentication methods: No authentication: No authentication is required to connect to the proxy server. Account Password authentication: Login details are required to connect to the proxy server. GSSAPI authentication: The Generic Security Services Application Program Interface (GSSAPI) is used to authenticate clients and proxy servers.

Burn for mac dvd restriction

#Burn for mac dvd restriction for mac os x

#Burn for mac dvd restriction full

#Burn for mac dvd restriction code

#Burn for mac dvd restriction code

SDE supports the latest UML notation, code generation.

#Burn for mac dvd restriction full

SDE supports full software development life-cycle - analysis, design, coding, testing and deployment.

#Burn for mac dvd restriction for mac os x

SDE for IBM WebSphere (PE) for Mac OS X v.4.2 SDE for IBM WebSphere is an easy-to-use UML tool seamlessly integrated with IBM WebSphere.

SDE supports full software development life-cycle - analysis, design, implementation, testing and deployment.

SDE for IBM WebSphere (CE) for Mac OS X v.4.2 SDE for IBM WebSphere is a full-featured UML CASE tool seamlessly integrated with IBM WebSphere.

It is not restricted to any style of music, having been used for many years in the creation of classical, pop, techno.

Csound for Mac OS X v.5.15.0 Csound is a sound and music synthesis system, providing facilities for composition and performance over a wide range of platforms.

SDE supports the latest UML notation, incremental.

SDE for NetBeans (CE) for Mac OS X v.4.3 SDE for NetBeans is a full-featured UML CASE tool seamlessly integrated with NetBeans.

SDE supports the latest UML notation, code generation (model to.

SDE for JBuilder (PE) for Mac OS X v.4.3 SDE for JBuilder is an easy-to-use UML tool seamlessly integrated with JBuilder.

SDE for JBuilder (CE) for Mac OS X v.4.3 SDE for JBuilder is a full-featured UML CASE tool seamlessly integrated with JBuilder.

SDE for IntelliJ IDEA (PE) for Mac OS X v.4.3 SDE for IntelliJ IDEA is an easy-to-use UML tool seamlessly integrated with IntelliJ IDEA.

SDE for IntelliJ IDEA (CE) for Mac OS X v.4.3 SDE for IntelliJ IDEA is a full-featured UML CASE tool seamlessly integrated with IntelliJ IDEA.

SDE for Eclipse (PE) for Mac OS X v.4.3 SDE for Eclipse is an easy-to-use UML tool seamlessly integrated with Eclipse.

SDE for Eclipse (CE) for Mac OS X v.4.3 SDE for Eclipse is a full-featured UML CASE tool seamlessly integrated with Eclipse.

SDE for NetBeans (PE) for Mac OS X v.4.3 SDE for NetBeans is an easy-to-use UML tool seamlessly integrated with NetBeans.

SecureFX for Mac v.9.2.2 A highly configurable secure file transfer client for SFTP, FTP/TLS, SCP and FTP with advanced features like site synchronization, a scriptable command-line utility for unattended file transfers and public-key and Kerberos v5 (GSSAPI) authentication.

TOP Video Cutter for Mac v.1.0.0.6 cut videos to segments you prefer by setting begin and end time, convert video to formats you like by selecting output formats, customize the output settings, perfectly compatible with Mac OS.

Ximian Evolution for Mac OS X v.1.4.6 Binary package of Ximian (Novell) Evolution (X11 version) for Mac OS X, with native Mac OS X.

Works with local, network or removable files and folders as well cloud storage like FTP, SFTP, WebDAV, and S3 servers.

GoodSync for Mac v.1.5.5 GoodSync for Mac automatically synchronizes and backs up all your important Mac files and folders like photos, mp3's, and iTunes.

Multimedia Software Toolkit for Mac v.7.2.42 Aiseesoft Multimedia Software Toolkit for Mac is comprised of Mac Video Converter Ultimate, DVD Creator for Mac, Mac Blu-ray Player, 3D Converter for Mac, Mac FoneLab, Mac FoneTrans and iPhone Ringtone Maker for Mac.

TOP DVD Clone for Mac v.1.0.0.5 Perfectly compatible with Mac OS, TOP DVD Clone for Mac supports copying your DVDs to common blank DVDs (including DVD-9, DVD-5).

10 best ssh clients for windows

10 BEST SSH CLIENTS FOR WINDOWS PC

10 BEST SSH CLIENTS FOR WINDOWS LICENSE

10 BEST SSH CLIENTS FOR WINDOWS FREE

10 BEST SSH CLIENTS FOR WINDOWS FREE

The free edition supports up to 12 sessions and two SSH tunnels at a time. MobaTek is another company that has developed a free tool to replace PuTTY with modern interface and management features. Solar-PuTTY makes finding a particular session from dozens of session profiles simpler by integrating with Windows Search.įinally, if you reuse the same command scripts, Solar-PuTTY can save and invoke them for you. It’s one of their free tools that adds a better interface and productivity features compared to PuTTY.Ī tabbed interface makes multiple sessions more practical, and logging into accounts is automated with saved credentials. Solar-PuTTY is Solarwinds’s answer to the need for an SSH client that automates today’s complex network admin tasks. KiTTY also saves time with automated commands, providing an interface for saving common commands with a User Command menu. It helps with managing multiple sessions by adding a filter interface that saves them in folders.Ī session launcher is added that can launch one or more sessions using the details you’ve saved. KiTTY is a fork of PuTTY that adds features to make it more efficient for handling multiple sessions and logging into accounts with saved credentials. If you think PuTTY is a great emulator that’s lacking modern automation features, KiTTY may be an alternative to consider.

10 BEST SSH CLIENTS FOR WINDOWS LICENSE

This is a commercial SSH client tool and a single-user license costs $99. If security is important, Xshell supports state-of-the-art encryption schemes like GSSAPI and PKCS#11. Xshell’s draft & send interface makes writing complex scripts more convenient, too. Xshell is the SSH client portion of that suite, and it’s designed with complex management tasks in mind.Ī session manager helps you handle multiple connections, and Xshell’s tabbed GUI interface makes it easy to switch between them.

10 BEST SSH CLIENTS FOR WINDOWS PC

Xshell is a tool developed by Netsarang as part of their suite of PC X apps designed to streamline the interface between UNIX, Linux, and Windows computers. If you’re looking for features like dynamic port forwarding and support for proxy servers, Bitvise SSH Client includes them along with the security of encryption technology.īitvise also build common tasks like Remote Desktop forwarding into the GUI to streamline the connection process. It also implements sophisticated tunnelling features. It’s a modern terminal emulator that provides a GUI as well as command-line interface to support SFTP, SSH, SCP and tunnelling connections. The SSH client works on Windows OS and is free for ever. The Bitvise SSH Server is free for up to 30 days. Bitvise’s SSH Client is a free Windows tool that complements the Bitvise SSH Server, but it also functions as a standalone application.

Ssh tunnel manager tutorial

#Ssh tunnel manager tutorial install

#Ssh tunnel manager tutorial password

#Ssh tunnel manager tutorial download

#Ssh tunnel manager tutorial free

When supported and enabled in both the client and server, obfuscation makes it more difficult for an observer to detect that the protocol being used is SSH. In the graphical SSH Client, this is configured in Proxy settings, on the Login tab. SSH jump proxy: Connect to a final destination SSH or SFTP server by connecting through an SSH jump server. Support for ECDSA, RSA and DSA public key authentication with comprehensive user keypair management.Įncryption and security: Provides state-of-the-art encryption and security suitable as part of a standards-compliant solution meeting the requirements of PCI, HIPAA, or FIPS 140-2 validation. Support for corporation-wide single sign-on using SSPI (GSSAPI) Kerberos 5 and NTLM user authentication, as well as Kerberos 5 host authentication. State-of-the-art terminal emulation with support for the bvterm, xterm, and vt100 protocols. One of the most advanced graphical SFTP clients. Our SSH and SFTP client for Windows incorporates:

#Ssh tunnel manager tutorial free

Our client is free for use of all types, including in organizations. Our SSH client supports all desktop and server versions of Windows, 32-bit and 64-bit, from Windows XP SP3 and Windows Server 2003, up to the most recent – Windows 11 and Windows Server 2022. Et voila, a secure POP3 connection.Bitvise SSH Client: Free SSH file transfer, terminal and tunneling The connection will then be redirected over the encrypted SSH connection to your POP3 service. You can then connect your e-mail client to your localhost.

#Ssh tunnel manager tutorial install

However there is another way, without having to install additional services: an SSH tunnel.The way it works is, you connect to your router/firewall through ssh and set up a portredirect over it (ie. One solution would be to install pop3s or better yet, imaps. Obviously, on your private LAN this isn’t a problem, however you might want to read your mail over the internet one day…

#Ssh tunnel manager tutorial password

Hypothetically this means any ‘man-in-the-middle’ is able to read your username, password and e-mail content. If you are running a POP3 service on your *nix router/server you are probably aware of the fact POP3 is an unencrypted, plain-text protocol. Second and most important, you don’t want the Remote Desktop ports open for the world to see… for obvious security reasons. First of all you don’t want to create a port-forward for every desktop you want to reach. Although Remote Desktop supports some degree of encryption itself and you can easily create a port-forward in your firewall. Remote Desktop to various Windoze servers in the private LAN. Once you click on ok you should see the following screen if you want to connect to SSH tunnel select your host and click on start it should start connecting to your host If you want to add a port redirection you need to select add under portforwarding in the above screen Once you click ok you can see the following screen here you need to fill all the required detailed for your host and click ok If you want to add ssh tunnel you need to click on add now you should see the following screen here you need to enter the name of the tunnel and click ok Once it opens you should see the following screen If you want to open this application go to Applications->Internet->gSTM Once you have the gstm_1.2_b package you need to install this using the following command deb package from here using the following command

#Ssh tunnel manager tutorial download

Install Gnome SSH Tunnel Manager in Ubuntuįirst you need to download the. It is useful for anyone wanting to securely access private services over an encrypted tunnel. The tunnels, with local and remote port redirections, can be created, deleted, modified, and individually started and stopped through one simple interface. It stores tunnel configurations in a simple XML format. GSTM, the Gnome SSH Tunnel Manager, is a front-end for managing SSH-tunneled port redirects.

Permissions 0777 for '秘密鍵' are too open.（中略）Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

体調がマシになってきたので昨日の続き。

エラーの中身

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @         WARNING: UNPROTECTED PRIVATE KEY FILE!          @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ Permissions 0777 for '秘密鍵' are too open. It is required that your private key files are NOT accessible by others. This private key will be ignored. Load key "秘密鍵": bad permissions ID@通信先: Permission denied (publickey,gssapi-keyex,gssapi-with-mic). lost connection

対策

１．秘密鍵を自分の��ームディレクトリに置く。

ホームディレクトリが何だかすら思い出せず、ググった。cd と打つとたどりつけた。pwd でパスを確認。

> cp <秘密鍵> /home/home directory

でホームディレクトリに秘密鍵をコピーし、ふたたびデータを送信するためのコマンドを入力。

>  scp -i /home/home directory/秘密鍵 <送りたいFiles> <D-way Login ID>@ftp-private.ddbj.nig.ac.jp:~/<DRA Submission ID>

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @         WARNING: UNPROTECTED PRIVATE KEY FILE!          @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ Permissions 0755 for ' /home/home directory/秘密鍵 ' are too open. It is required that your private key files are NOT accessible by others. This private key will be ignored. Load key " /home/home directory/秘密鍵 ": bad permissions

<D-way Login ID>@ftp-private.ddbj.nig.ac.jp: Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

lost connection

ダメでした。

２．秘密鍵の権限の変更

> chmod 0600 秘密鍵

>  scp -i 秘密鍵 <送りたいFiles> <D-way Login ID>@ftp-private.ddbj.nig.ac.jp:~/<DRA Submission ID>

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @         WARNING: UNPROTECTED PRIVATE KEY FILE!          @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ Permissions 0777 for '秘密鍵' are too open. It is required that your private key files are NOT accessible by others. This private key will be ignored. Load key "秘密鍵": bad permissions [email protected]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic). lost connection

なんで～と思ってネットをさまよっていたら以下の記事が。

SSHのid_rsaファイルがchmodで権限変更できない@WSL

Windowsのファイルシステムではchmodで権限を変えられないらしい！

上記でchmod を使って権限を変更しようとしていたのは、ホームディレクトリに送っていない元の鍵だったので、それで権限が変更できていなかったらしい。

ためしにホームディレクトリに送ったほうの鍵で同様に権限を変更し、そちらの鍵で送信用コマンドを実行すると

> scp -i /home/home directory/秘密鍵 <送りたいFiles> <D-way Login ID>@ftp-private.ddbj.nig.ac.jp:~/<DRA Submission ID>

>> Enter passphrase for key '/home/home directory/秘密鍵 ':

あとはパスワードを打てば完了。

Prezentacja na temat zakresu zmian w domyślnych ustawieniach zabezpieczeń komunikacji LDAP w systemach Windows Server, jakie dystrybuowane będą od marca 2020 w zbiorczych pakietach poprawek.

MySQL Connector/NET 8.0.24 has been released

Dear MySQL users, MySQL Connector/NET 8.0.24 is the latest General Availability releaseof the MySQL Connector/NET 8.0 series. This version supports .NET 5.0and the X DevAPI, which enables application developers to write codethat combines the strengths of the relational and document modelsusing a modern, NoSQL-like syntax that does not assume previousexperience writing traditional SQL. To learn more about how to write applications using the X DevAPI, see http://dev.mysql.com/doc/x-devapi-userguide/en/ For more information about how the X DevAPI is implemented inConnector/NET, see http://dev.mysql.com/doc/dev/connector-net NuGet packages provide functionality at a project level. To get thefull set of features available in Connector/NET such as availabilityin the GAC, integration with Visual Studio’s Entity Framework Designerand integration with MySQL for Visual Studio, installation through theMySQL Installer or the stand-alone MSI is required. Please note that the X DevAPI requires at least MySQL Server version8.0 or higher with the X Plugin enabled. For general documentationabout how to get started using MySQL as a document store, see http://dev.mysql.com/doc/refman/8.0/en/document-store.html To download MySQL Connector/NET 8.0.24, see http://dev.mysql.com/downloads/connector/net/ Installation instructions can be found at https://dev.mysql.com/doc/connector-net/en/connector-net-installation.html Changes in MySQL Connector/NET 8.0.24 (2021-04-20, GeneralAvailability) Functionality Added or Changed    * The IgnorePrepare connection-string option was deprecated     in the Connector/NET 8.0.23 release and removed in the     Connector/NET 8.0.24 release.     The removed option instructed Connector/NET to ignore all     calls to MySqlCommand.Prepare() that were made using the     classic MySQL protocol. (Bug #31872906)    * Improved server disconnection handling of X Protocol     connections now creates a log entry and returns an error     message, as needed, after Connector/NET receives a     connection-close notice from the server. Connector/NET     detects three new types of warning notices.      Connection idle notice.  This notice applies to a server     connection that remains idle for longer than the relevant     timeout setting. Connector/NET closes the connection when     it receives the notice in an active session or while a     new session is being created. An attempt to use the     invalid session returns the “Connection closed. Reason:     connection idle too long” error message.      Server shutdown notice.  If a connection-close notice is     received in a session as a result of a server shutdown,     Connector/NET terminates the session with the “Connection     closed. Reason: server shutdown” error message. All other     sessions that are connected to the same endpoint are     removed from the pool, if connection pooling is used.      Connection killed notice.  If the connection being killed     from another client session, Connector/NET closes the     connection when it receives the notice in an active     session or while a new session is being created. An     attempt to use the invalid session returns the     “Connection closed. Reason: connection killed by a     different session” error message.    * If a classic MySQL protocol connection experiences a     server timeout, Connector/NET now reports more precise     disconnection information to affected .NET applications     when the server provides improved error messages.    * Previously, Connector/NET added client support for the     MySQL Enterprise Edition SASL LDAP authentication plugin     with SCRAM-SHA-1 and SCRAM-SHA-256 as authentication     methods. Connector/NET now also supports GSSAPI/Kerberos     as an alternative authentication method for classic MySQL     protocol connections. SASL-based LDAP authentication does     not apply to clients running macOS.    * The SSH Tunneling (port forwarding) feature, which was     added to support MySQL products in making secure     connections on Windows, is no longer needed by other     products. Now, using an alternative such as OCI or     SSH.NET to create a tunnel is preferred. The related     connection options (SshHostName, SshKeyFile,     SshPassPhrase, SshPassword, SshPort, and SshUserName) are     no longer valid when making Connector/NET connections,     starting with this release. Bugs Fixed    * Pound symbols in JSON columns were interpreted improperly     when using accent-sensitive collation. (Bug #32429236)    * Several data types could not be mapped by running     Scaffold-DbContext on valid MySQL tables. This fix     upgrades Microsoft Entity Framework libraries to the     latest and also adds all previously excluded mappings to     the EFCore and EFCore5 projects. (Bug #32424742, Bug     #102381)    * Constructing a regular expression for each read     diminished the performance of Connector/NET. This fix     limits the construction to one instance, which now is     reused. (Bug #32386454, Bug #101714)    * A data table declared using valid database.table syntax     within an Entity Framework model could have extra     database names in the generated query (for example,     database.database.table). (Bug #32358174, Bug #101236)    * Incomplete GUID mapping in the Entity Framework Core     implementation caused an error when the Contains method     was used to filter records. (Bug #32173133, Bug #93398)    * Additional error codes now prevent unexpected exceptions     after a query. Thanks to Stanislav Revin for the patch.     (Bug #32150115, Bug #101592)    * An exception was thrown if any CHAR(36) columns     containing a NULL value were referenced in a query. New     validation now checks for NULL values when the     MySqlDbType member is Guid. (Bug #32049837, Bug #101252) On Behalf of Oracle/MySQL Engineering Team,Tvarita Jain https://insidemysql.com/mysql-connector-net-8-0-24/

Как построить свой OAuth с аутентификацией и авторизацией для Kafka: кейс BlackRock

Чтобы сделать наши курсы по Apache Kafka еще более полезными, сегодня мы поговорим про базовые и расширенные возможности обеспечения информационной безопасности этой Big Data платформы. А в качестве практического примера разберем кейс международной финтех-компании BlackRock, которая разработала собственное security-решение для Kafka на базе протокола OAuth и серверов единого доступа KeyCloak.

Еще раз о безопасности Apache Kafka: 3 базовых возможности

На практике Apache Kafka часто используется в качестве внутреннего промежуточного средства обмена данными между разными системами в реальном времени. При настройках по умолчанию все пользователи и приложения может записывать сообщения в любой топик, а также считывать их из любого топика. Однако, это вариант без разделения доступа к данным неприемлем в случае совместного использования одного Kafka-кластера несколькими командами или приложениями. Кроме того, при работе с критически важной и конфиденциальной информацией, также необходимо обеспечить санкционированным пользователям и приложениям доступ только к тем данным, которые им нужны в соответствии с выполняемыми ролями и решаемыми задачами. Основными функциями, которые отвечают за безопасность Kafka, явля��тся следующие [1]: SSL/TLS-шифрование данных на лету, позволяющий шифровать данные между отправителями (producer) и потребителями (consumer) Kafka. Это шифрование решает проблему атаки «человек посередине», защищая данные по умолчанию в PLAINTEXT от прочтения маршрутизаторами по пути передачи данных в сети интернет. При использовании SSL только первая и последняя машина могут расшифровать отправляемый пакет. Побочным эффектом этой безопасности является незначительное снижение производительности, т.к. теперь ЦП клиентов и брокеров Kafka теперь также используется для шифрования и дешифрования пакетов. Примечательно, что применение более поздних версий Java и самой Apache Kafka существенно снижают эти накладные расходы.  SSL/SASL-аутентификация, которая обеспечивает проверку продюсеров и потребителей в Kafka-кластере, что необходимо для предоставления им соотв��тствующих прав (авторизаций) для доступа к данным. Суть двухсторонней SSL-аутентификацией в том, что брокеры Kafka проверяют подлинность клиентов по наличию сертификатов, подписанных центром сертификации. SASL (Simple Authorization Service Layer) механизм аутентификации отделен от протокола Kafka и поддерживает несколько вариантов (PLAINTEXT, SCRAM, GSSAPI на базе Kerberos, SASL-расширение с конфигурацией обратных вызовов, OAUTHBEARER). О особенностях SSL/SASL-аутентификация в Apache Kafka мы писали здесь на примере кейса тревел-площадки Booking.com.  ACL-авторизация, когда после проверки подлинности клиентов брокеры Kafka обращаются к спискам управления доступом (ACL, Access Control Lists), чтобы определить, допущен (авторизован) ли конкретный клиент на запись или чтение в какой-либо топик. Подробнее о том, как работает ACL-авторизация в Apache Kafka мы рассказывали здесь и здесь. Итак, по умолчанию служба безопасности Kafka использует цифровые сертификаты аутентификации и проприетарные ACL-списки для авторизации. Но эти базовые возможности не покрывают всех потребностей современного бизнеса и не соответствуют последним стандартам корпоративной безопасности. Поэтому инженеры данных и администраторы Big Data кластеров международной финтех-компании BlackRock разработали собственное комплексное и масштабируемое решение для обеспечения безопасности Apache Kafka с минимальной нагрузкой на разработчиков. О том, что именно оно собой представляет, мы поговорим далее.

Комбо аутентификации и авторизации на корпоративном уровне: security-библиотека OAuth

Изначально потребность в расширенных настройках безопасности Apache Kafka у BlackRock возникла в рамках проекта Cachematrix - веб-платформы управления ликвидностью, одобренной 25 крупными глобальными банками и компаниями по управлению активами. Проект имеет многопользовательскую архитектуру, которая требует строгой изоляции обработки данных и контроля доступа к функциям и ресурсам со стороны клиента. Для этого необходимо комплексное и масштабируемое решение с минимальной нагрузкой на разработчиков, включая следующие возможности [2]: детальный контроль безопасности для всех ресурсов системы и приложений в Kafka; прозрачность элементов управления для разработчиков;  централизованное управление элементами во время развертывания или в процессе эксплуатации реальной системы (production) с разделением обязанностей;  поддержка срока действия и обновления учетных данных для длительных процессов без простоев. Для реализации этих требований специалисты BlackRock разработалии собственную библиотеку на базе стандартной структуры безопасности OAuth, которое обладает следующими функциями и характеристиками: поддержка детальной авторизации и аутентификации для ресурсов Kafka в многопользовательской или однопользовательской среде;  изоляция обработки данных разных клиентов в мультитенантном приложении или отделение одного приложения от другого в общем экземпляре;  прозрачность для кода приложения с возможностью добавления к существующему коду при минимальной конфигурации;  возможность повторного использования в различных Kafka-приложениях. Основой OAuth-библиотеки BlackRock является SASL-платформа самой Кафка и технология единого входа в open-source сервере KeyCloak, который обеспечивает регистрацию пользователей, авторизацию через соцсети, выдачу JSON веб-токенов подлинности аккаунтам, двухфакторная аутентификацию, интеграцию со службами каталогов (LDAP-сервером), брокер Kerberos и другие функции безопасного управления доступом [3]. Apache Kafka предоставляет платформу на основе SASL OAUTHBEARER, который входит в Kafka для реализации пользовательской аутентификации и позволяет разработчикам подключать более сложные службы безопасности корпоративного уровня. OAuth - это общепринятый протоколом безопасности, позволяя сторонним приложениям получать токен для доступа к службе ресурсов. Срок действия токена истекает в течение определенного срока. Когда токен истекает, приложение должно запросить новый токен, чтобы оставаться аутентифицированным. Таким образом, OAuth соответствует требованиям BlackRock для ��утентификации и авторизации на корпоративном уровне. Серверы OAuth позволяют использовать несколько типов учетных данных для защиты приложения. В решении BlackRock используется тип предоставления учетных данных клиента, который обрабатывает взаимодействие между сервисами. Клиент OAuth - это приложение, зарегистрированное на сервере OAuth, например, приложение Kafka с запущенным продюсером, который отправляет данные в топик. В этом случае санкционированный доступ предоставляется следующим образом [2]: идентификатор и секрет клиента позволяют получить ему токен с сервера OAuth;  клиент делает запрос к ресурсу и передает этот токен вместе с запросом;  ресурс аутентифицирует запрос, проверяя токен на сервере OAuth;  после аутентификации ресурс определяет разрешения на доступ в токене для авторизации, отправляя токен авторизатору для проверки разрешений;  для авторизации библиотека переопределяет Authorizer для использования разрешений на доступ OAuth;  гибкая авторизация выполняется с использованием механизма ACL-списков и возможностей KeyCloak. Таким образом, решение BlackRock объединяет аутентификацию и ACL-авторизацию в едином рабочем процессе на централизованном сервере OAuth. Исходный код этой security-библиотеки доступен для всеобщего использования на Github [4].

Больше подробностей по обеспечению безопасности, разработки распределенных приложений потоковой аналитики больших данных и администрирования кластеров Apache Kafka вы узнаете на специализированных курсах в нашем лицензированном учебном центре обучения и повышения квалификации для разработчиков, менеджеров, архитекторов, инженеров, администраторов, Data Scientist’ов и аналитиков Big Data в Москве: Apache Kafka для разработчиков  Администрирование кластера Kafka  Источники 1. https://medium.com/@stephane.maarek/introduction-to-apache-kafka-security-c8951d410adf 2. https://medium.com/blackrock-engineering/utilizing-oauth-for-kafka-security-5c1da9f3d3d  3. https://ru.wikipedia.org/wiki/Keycloak  4. https://github.com/kafka-security/oauth Read the full article

PostgreSQL 12 正式發布 性能與功能全面提升

PostgreSQL 除了持續對 PostgreSQL 系統的可擴展性、穩健性進行開發外，還更多地在本地化、授權控制以及更加容易的管理進行增強。這個版本也引入了 可插撥的表存取接口，來允許開發者在表的創建和使用時使用不同的存取方式。具體如下：

全面的性能提升

PostgreSQL 12版本在性能和易維護性方面有了顯著的增強，尤其是對索引和分區子系統。

PostgreSQL 12 對標準索引類型B樹索引進行了優化，以使其可以可以更好地處理索引更新頻率較高類型的負載的的總體性能，使用最常使用的TPC-C 性能測試，PostgreSQL 12 平均可以提升約40% 的空間利用率和查詢性能。

對分區表的查詢也得到了較大改進，特別是對那些有數千個分區的表，而結果只需從幾個有限的分區提取數據的查詢。 PostgreSQL 12 對通過 INSERT 和COPY指令將數據加入分區表的操作，也有加強，包括現在可以在不阻塞查詢的情況下增加新的分區。

另外，PostgreSQL 12 對索引的優化也提升了總體的性能，包括生成 GiST、GIN 或 SP-GiST 索引的 WAL 日誌的負載顯著減少，在 GiST 類型索引上創 建INCLUDE選項的包含索引，SP-GiST 索引現在支持距離操作的 K-NN（即相鄰最近）查詢，以及CREATE STATISTICS指令現在支持最常用值 MCV 的統計來幫助那些字段值非均勻分佈的查詢生成更優化的查詢計劃。

通過使用 LLVM，從 PostgreSQL 11 版引入的 JIT 即時編譯，在 PostgreSQL 12 中缺省已是啟用狀態，JIT 即時編譯對帶有 WHERE 條件、對象列表、 聚合以及一些內部操作都會提供性能上的幫助。當然，用戶在安裝或是編譯時需要包含 LLVM 模塊。

對 SQL 標準一致性和功能的增強

PostgreSQL 一直以來以其對 SQL 標準符合性而著稱，這也是其名稱由 POSTGRES 改為 PostgreSQL 的一個小原因。 PostgreSQL 12 又增加了幾個新特性 來持續實現對 SQL 標準的符合性的強化。

PostgreSQL 12 加入了對 JSON 文檔進行查詢時使用 JSON 路徑表達式的功能，這也是 SQL/JSON 中定義的規範。對使用 JSONB 格式保存的文檔，這些查 詢可以利用已有的索引機制來高效地提取數據。

公共表達式，也稱之為 WITH 查詢，在 PostgreSQL 12 中可以實現非物化操作處理，這對很多現在已有的查詢有很大幫助。目前在這個版本中，WITH 查詢的前提條件是非遞歸查詢並且僅可被外層查詢引用一次。

PostgreSQL 12 也引入了“生成列”功能，這也是 SQL 標準中的要求，這些字段值是通過同一表中其它列計算而來的。在這一版本中，PostgreSQL 支持“保存生成列值”的功能，即將這些計算出來的數據存儲在磁盤上。

本地化

PostgreSQL 12 擴充了對 ICU 排序規則的支持，允許用戶自行定義非標準的排序方式，比如允許大小寫不敏感或是按口音不敏感的比較規則。

授權控制

PostgreSQL 通過再次擴展了一些的安全方面的功能來強化了它本來就很穩健的權限控制。這個版本中通過 GSSAPI 接口支持客戶端和服務端的雙向加密， 如果在編譯時加入 OpenLDAP 模塊，PostgreSQL 也支持搜索 LDAP 服務器的功能。

另外，PostgreSQL 12 現在支持多約束的授權方式。如在使用scram-sha-256的授權方式，PostgreSQL 服務器現在可以強制一個客戶端在提供用戶名、使用clientcert=verify-full選項，再必須提供有效的 SSL 證書的方式來強化安全授權。

系統管理

PostgreSQL 12 的REINDEX CONCURRENTLY指令可以在不影響新的索引寫入的前提下讓用戶執行重那建索引操作，這有助於用戶實現不停機對 較大索引的重建。

還有，PostgreSQL 12 通過使用pg_checksums指令對停機的 PostgreSQL 來開啟或關閉頁校驗功能，該功能有助於檢查已寫入磁盤的數據一致性， 而以前版本中該操作僅允許在 initdb的階段來執行。

發佈公告：

https://www.postgresql.org/about/news/1976/

訪問:

阿里雲 – 最高1888元通用代金券立即可用

.

from PostgreSQL 12 正式發布 性能與功能全面提升 via KKNEWS

Session ManagerでSCPとかSSH Portforwardもできる！

from https://qiita.com/taishin/items/25d91e1037d1bc80fb39?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items

何の話？

以前、うちのエンジニアの人たちに、EC2に接続するときはSSHやめて、セッションマネージャーすすめてみたんですが、SSHでのターミナルだけでなく、SCPでのファイルコピーとか、インスタンス内でサービス立ち上げてアクセスするためにPortforwardとか頻繁に使うってことであまりセッションマネージャーは使っていなかったんですが・・・

こんなアナウンスが。 Session Manager launches tunneling support for SSH and SCP

これはもしや！

セットアップ

https://aws.amazon.com/jp/about-aws/whats-new/2019/07/session-manager-launches-tunneling-support-for-ssh-and-scp/

クライアント側

セッションマネージャープラグイン

1.1.22.0 が必要なのでアップデートしましょう。 https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html

$ session-manager-plugin --version 1.1.23.0

SSH Config

~/.ssh/config に下記を追加します。

~/.ssh/config

# SSH over Session Manager host i-* mi-* ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"

i-* はインスタンスIDを指定したとき、 mi-* はオンプレのサーバをSSMで管理している場合に使うIDです。 つまり、インスタンスIDに対してSSHアクセスしたときには、ssmでトンネル張って、その中をSSH接続するということですね。

EC2インスタンス側

SSMエージェント

2.3.672.0 以上が必要ですのでRunCommandでアップデートしてください。

EIP

SSM使うので不要です。

セキュリティグループ

もちろん外部からのSSHへのアクセス許可は不要です。

SSH Key

前述のとおり、セッションマネージャーのトンネル内でSSH接続するので、keyの付与は必要になります。 ない場合、SSHの鍵が違う場合はこんな感じ。

Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

なので、EC2にsshdは必要ってことですね。

接続

普通にSSH

普通にSSHコマンドでインスタンスID指定して接続できました。

$ ssh ec2-user@i-xxxxxxxxxxxxxxx -i ~/.ssh/id_rsa ast login: Wed Jul 10 03:23:25 2019 from localhost

__| __|_ ) _| ( / Amazon Linux 2 AMI ___|\___|___|

https://aws.amazon.com/amazon-linux-2/ No packages needed for security; 6 packages available Run "sudo yum update" to apply all updates. [ec2-user@ip-10-0-1-104 ~]$

おお！ 普通にOSのユーザーで使えますね。

トンネル張ってるので、ログ的にはlocalhostから接続されていることになってます。

/var/log/secure

Jul 10 03:08:19 ip-10-0-1-104 sshd[4173]: Accepted publickey for ec2-user from 127.0.0.1 port 49148 ssh2: RSA SHA256:aHEcVcQEixW0amxNSFVjabsst2Jglm7KDbYr+Tyb3Zjko Jul 10 03:08:19 ip-10-0-1-104 sshd[4173]: pam_unix(sshd:session): session opened for user ec2-user by (uid=0) Jul 10 03:08:38 ip-10-0-1-104 sshd[4207]: Received disconnect from 127.0.0.1 port 49148:11: disconnected by user Jul 10 03:08:38 ip-10-0-1-104 sshd[4207]: Disconnected from 127.0.0.1 port 49148 Jul 10 03:08:38 ip-10-0-1-104 sshd[4173]: pam_unix(sshd:session): session closed for user ec2-user Jul 10 03:14:29 ip-10-0-1-104 sshd[4253]: Accepted publickey for ec2-user from 127.0.0.1 port 49216 ssh2: RSA SHA256:aHEcVcQEixW0amxNSFVjJyt2Jglm7KDbYr+Tyb3Zjko Jul 10 03:14:29 ip-10-0-1-104 sshd[4253]: pam_unix(sshd:session): session opened for user ec2-user by (uid=0) Jul 10 03:14:35 ip-10-0-1-104 sudo: ec2-user : TTY=pts/0 ; PWD=/home/ec2-user ; USER=root ; COMMAND=/bin/tail /var/log/secure

SCPしてみる

$ scp test.txt ec2-user@i-xxxxxxxxxxxxxxx:test.txt test.txt 100% 191 11.2KB/s 00:00 $ ssh ec2-user@i-xxxxxxxxxxxxxxx ls test.txt

おおお！

SSH PortForwardしてみる

$ ssh ec2-user@i-xxxxxxxxxxxxxxx sudo yum -y install httpd $ ssh ec2-user@i-xxxxxxxxxxxxxxx sudo systemctl start httpd

$ ssh -fNL 8080:localhost:80 ec2-user@i-xxxxxxxxxxxxxxx $ curl -I localhost:8080 HTTP/1.1 403 Forbidden Date: Wed, 10 Jul 2019 03:24:08 GMT Server: Apache/2.4.39 () Upgrade: h2,h2c Connection: Upgrade Last-Modified: Thu, 04 Apr 2019 18:08:00 GMT Accept-Ranges: bytes Content-Length: 3630 Content-Type: text/html; charset=UTF-8

おおおお！！！

残念ながら・・・

セッションマネージャーには出力をS3や、CloudWatch Logsに送信する機能がありますが、この接続の場合は出力されないようです。 出力はSSHになるので当然かもしれないですが・・・

まとめ

今度こそSSHするためのアクセス許可は考えなくていいことになりそう！

Putty Version 0.61 and Putty Connection Manager

I wanted to update this post. Putty Connection Manager is no longer active. I have switched to SuperPuTTY. It is available here SuperPuTTY. SuperPuTTy does not use "login scripts". For SSH connections you can pass username and password, however you can not do this for telnet. Here is a SuperPuTTY new session configuration using SSH and passing username and password.

I use Putty for telnet, SSH, and serial connections to. Putty is an excellent terminal program. I also use Putty Connection Manager for Tabbed windows and login scripts. Putty Connection Manager is a Free Putty Client add-on. http://puttycm.free.fr/cms/index.php Simon Tatham has released version 0.61 of Putty. Putty 0.61 can be downloaded at: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html 2011-07-12 PuTTY 0.61 is released PuTTY 0.61 is out, after over four years (sorry!), with new features, bug fixes, and compatibility updates for Windows 7 and various SSH server software.These features are new in beta 0.61 (released 2011-07-12): Kerberos/GSSAPI authentication in SSH-2.Local X11 authorisation support on Windows. (Unix already had it, of course.)Support for non-fixed-width fonts on Windows.GTK 2 support on Unix.Specifying the logical host name independently of the physical network address to connect to.Crypto and flow control optimisations.Support for the [email protected] SSH-2 compression method.Support for new Windows 7 UI features: Aero resizing and jump lists.Support for OpenSSH AES-encrypted private key files in PuTTYgen.Bug fix: handles OpenSSH private keys with primes in either order.Bug fix: corruption of port forwarding is fixed (we think).Bug fix: various crashes and hangs when exiting on failure,Bug fix: hang in the serial back end on Windows.Bug fix: Windows clipboard is now read asynchronously, in case of deadlock due to the clipboard owner being at the far end of the same PuTTY's network connection (either via X forwarding or via tunnelled rdesktop). Putty Connection Manager Features Features Tabs and dockable windows for PuTTY instances.Fully compatible with PuTTY configuration (using registry).Easily customizable to optimize workspace (fullscreen, minimze to tray, add/remove toolbar, etc...).Automatic login feature regardless to protocol restrictions (user keyboard simulation).Post-login commands (execute any shell command when logged).Connection Manager : Manage a large number of connections with specific configuration (auto-login, specific PuTTY Session, post-command, etc...).Quick connect toolbar to quickly launch a PuTTY connection.Import/Export whole connections informations to XML format (generate your configuration automatically from another tool and import it, or export your configuration for backup purpose).Encrypted configuration database option available to store connections informations safely (external library supporting AES algorithm used with key sizes of 128, 192 and 256 bits, please refer for the legal status of encryption software in your country).Standalone executable, no setup required.Localizable : English (default) and French available (only when using setup version, standalone is english only).Completely free for commercial and personal use : PuTTY Connection Manager is freeware.

MySQL Connector/J 8.0.23 has been released

Dear MySQL users, MySQL Connector/J 8.0.23 is the latest General Availability release of the MySQL Connector/J 8.0 series. It is suitable for use with MySQL Server versions 8.0, 5.7, and 5.6. It supports the Java Database Connectivity (JDBC) 4.2 API, and implements the X DevAPI. This release includes the following new features and changes, also described in more detail on https://dev.mysql.com/doc/relnotes/connector-j/8.0/en/news-8-0-23.html As always, we recommend that you check the “CHANGES” file in the download archive to be aware of changes in behavior that might affect your application. To download MySQL Connector/J 8.0.23 GA, see the “General Availability (GA) Releases” tab at http://dev.mysql.com/downloads/connector/j/ Enjoy! Changes in MySQL Connector/J 8.0.23 (2021-01-18, General Availability) Deprecation and Removal Notes * As an implementation of the MySQL Terminology Updates (https://mysqlhighavailability.com/mysql-terminology-updates/), connection properties and public method names have been adjusted in the following manners: Changing “master” to “source”: For example, the connection property queriesBeforeRetryMaster becomes queriesBeforeRetrySource, and the method isMasterConnection() becomes isSourceConnection() Changing “slave” to “replica”: For example, the connection property allowSlavesDownConnections becomes allowReplicaDownConnections, and the method getSlaveHosts() becomes getReplicaHosts() Changing “blacklist” to “blocklist”: For example, the connection property loadBalanceBlacklistTimeout becomes loadBalanceBlocklistTimeout. Old names have been deprecated—though they are still usable for now, they are to be removed eventually in future releases; users are therefore encouraged to switchto the new names. See the MySQL Connector/J 8.0 Developer Guide(https://dev.mysql.com/doc/connector-j/8.0/en/), the Connector/J API documentation (generated by Javadoc), andthe MySQL Connector/J X DevAPI Reference for informationon any new property and method names. Functionality Added or Changed * While a java.sql.TIME instance, according to the JDBC specification, is not supposed to contain fractional seconds by design, because java.sql.TIME is a wrapper around java.util.Date, it is possible to store fractional seconds in a java.sql.TIME instance. However, when Connector/J inserted a java.sql.TIME into the server as a MySQL TIME value, the fractional seconds were always truncated. To allow the fractional seconds to be sent to the server, a new connection property, sendFractionalSecondsForTime, has been introduced: when the property is true (which is the default value), the fractional seconds for java.sql.TIME are sent to the server; otherwise, the fractional seconds are truncated. Also, the connection property sendFractionalSeconds has been changed into a global control for the sending of fractional seconds for ALL date-time types. As a result, if sendFractionalSeconds=false, fractional seconds are not sent irrespective of the value of sendFractionalSecondsForTime. (Bug #20959249, Bug #76775) * Connector/J now supports the following authentication methods for LDAP Pluggable Authentication (https://dev.mysql.com/doc/refman/8.0/en/ldap-pluggable-authentication.html) with the MySQL Enterprise Server: The GSSAPI/Kerberos Authentication Method: (https://dev.mysql.com/doc/refman/8.0/en/ldap-pluggable-authentication.html#ldap-pluggable-authentication-gssapi) A new connection property, ldapServerHostname, has been introduced for specifying the LDAP service host principal as configured in the Kerberos key distribution centre (KDC). See the description for ldapServerHostname in the MySQL Connector/J 8.0 Developer Guide (https://dev.mysql.com/doc/connector-j/8.0/en/) for details. The SCRAM-SHA-256 method. Bugs Fixed * Storing a java.time.LocalDateTime object onto the server as a TIMESTAMP value using a batched PreparedStatement failed with the complaint that java.time.LocalDateTime could not be cast to java.sql.Timestamp. With this fix, the casting works again. (Bug #32099505, Bug #101413) * Using the setObject() method to set a ByteArrayInputStream instance for a PreparedStatement resulted in a SQLException. (Bug #32046007, Bug #101242) * The returned value for a TIMESTAMP was incorrect when a temporal interval expression (https://dev.mysql.com/doc/refman/8.0/en/expressions.html#temporal-intervals) was used in the SQL statement for the query. (Bug #31074051, Bug #99013) * After upgrading from Connector/J 5.1 to 8.0, the results of saving and then retrieving DATETIME and TIMESTAMP values became different sometimes. It was because while Connector/J 5.1 does not preserve a time instant by default, Connector/J 8.0.22 and earlier tried to so by converting a timestamp to the server’s session time zone before sending its value to the server. In this release, new mechanisms for controlling timezone conversion has been introduced—see Preserving Time Instants (https://dev.mysql.com/doc/connector-j/8.0/en/connector-j-time-instants.html) for details. Under this new mechanism, the default behavior of Connector/J 5.1 in this respect is preserved by setting the connection property preserveInstants=false. (Bug #30962953, Bug #98695, Bug #30573281, Bug #95644) * Conversion of a MySQL DATETIME or TIMESTAMP value to a Java OffsetDateTime using the getObject(i, OffsetDateTime.class) method failed with a “Conversion not supported for type …” error. It was because the OffsetDateTime.parse() method on DATETIME and TIMESTAMP values yielded an unexpected string format. With this patch, conversions between OffsetDateTime and the DATE, TIME, DATETIME, TIMESTAMP, and YEAR data types are now possible, and an instant point on the timeline is preserved as such during a conversion, when possible—see Preserving Time Instants (https://dev.mysql.com/doc/connector-j/8.0/en/connector-j-time-instants.html) for details. (Bug #29402209, Bug #94457) * When the server’s session time zone setting was not understandable by Connector/J (for example, it was set to CEST), a connection could not be established with the server unless Connector/J specified the correct IANA time zone name in the serverTimezone connection property. This happened even if there was actually no need to use any date-time functionality in Connector/J. The issue was fixed by the new connection properties for Connector/J that control date-time handling—see Preserving Time Instants (https://dev.mysql.com/doc/connector-j/8.0/en/connector-j-time-instants.html) for details. The following now happens with respect to the above-mentioned situation: If the new connection property connectionTimeZone is set to LOCAL or a specified time zone, the time_zone variable on the server is no longer checked If connectionTimeZone=SERVER, the check for the time_zone variable is delayed until date-time driver functionality is first invoked, so that an unrecognizable server time zone does not prevent connection to be established. However, when date-time functionality is invoked and the value of time_zone cannot be recognized by Connector/J, an exception is thrown. (Bug #21789378) Enjoy and thanks for the support! On behalf of the MySQL Release Team, Balasubramanian Kandasamy https://insidemysql.com/mysql-connector-j-8-0-23/