Terminals hinter Firewalls
Es hat mich schon immer gestört, dass man oft hinter Firewalls sitzt die alles abdichten und man nach aussen keinen Shell-Zugriff hat. Schwups, der Mailserver ist tot… Warten bis heute abend bevor ihn jemand neu starten kann…
Damit ist jetzt erstmal Schluß. Vor ein paar Monaten bin ich im Web über ajaxterm gestolpert und habe es mal zum Spass auf einer Testmaschine installiert. Hat mich mächtig beeindruckt was per Ajax da so alles möglich ist. Und unter debian ist das ganze auch noch schnell per apt-get install ajaxterm installiert. Aaaaaber: Ajaxterm hört erstmal nur auf 127.0.0.1, sicher ist sicher und das Terminal ist nunmal nicht sicher.
Also muss erst einmal sichergestellt werden, dass wir eine sichere Verbindung zum Terminal aufbauen können. Da es sich hier um http handelt bietet sich https als SSL-Verschlüsselte alternative geradezu an. Schwups ein a2enmod ssl und ein paar openssl Befehle und der Apache kann https. Das Zertifikat habe ich gleich mal bei CAcert.org zertifizieren lassen, hier gibt es wenigstens noch (geringe) Chancen dass das Root-Zertifikat endlich mal per default in den Browsern landet.
Jetzt kann also der Apache https… Aber das Terminal hat doch seinen eigenen “Webserver”… Also müssen wir Apache beibringen Proxy zu spielen (umgeht auch gleich das Problem mit 127.0.0.1:8022):
1 a2enmod http_proxy und 5 Zeilen in der Config später leitet /myterminal/ auf das lokale Ajaxterm um.
Was haben wir bis jetzt: Wir können uns SSL Verschlüsselt (https) an einem Terminal anmelden 
Ist eigentlich fast sicher… Wobei, evtl. könnte ja das Python-Skript noch einen Fehler haben, der es ermöglich ohne Auth an eine Shell zu kommen… Also noch schwups nen htpasswd-Schutz davor legen und wir sind auch wirklich “sicher”. Spielereien mit OpenVPN und Konsorten würden die Sache mit der Firewall wieder erschweren, also bleiben wir beim aktuellen Schutzlevel mit htpasswd und SSL.
For all English speakers coming from Marcs Blog there is a good installation guide concerning security in the ajaxterm wiki.
Hätte ich mir das ajaxterm wiki früher angeschaut, dann hätte ich auch nicht jeden noch so kleinen Schritt in der Doku nachschlagen müssen, vor allem mod_proxy ist da nicht so toll…
Ajaxterm at Marcs Blog sagt
am 13. Juli 2007 @ 12:02
[...] Over at Pats blog you can get a short (german) review of the nifty tool (No Ratings Yet) Loading … [...]