Posts Tagged ‘ Security

利用SSH Tunnel逃離MIS掌控魔爪

這篇是許久之前寫的文章,當時的文字排版感覺很糟,所以花了點時間來重寫。標題看起來挺有深度的,不過整篇的重點就是在說明如何逃出MIS的魔爪,在上班時間可以快樂的瀏覽網路,沒事看看拍賣文件,聊聊八掛公事。在這邊介紹的算是較進階的方法,但可使用的範圍也比較廣,如果只是單純想瀏覽網頁的話可以參考這篇的方法。

[正文]

現在有蠻多公司內部都會採用些gateway端的產品來阻擋使用者瀏覽網頁,或上上MSN,美其名當然是可以減少中毒的機會,但實則為希望員工可以乖乖專心上班增加效率,不過休息是為了走更長遠的路,短暫的摸魚也是工作項目之一呀!。所以這篇文章的目的主要是提供個小技巧,讓上班的時間更充滿愉快。

首先,要在外部的網路上有一台Linux或Windows的主機並且連接到internet,在這邊就以Windows為例,在主機上安裝OpenSSH,在安裝好之後,接著請在電腦管理裡的「本機使用者和群組」裡加入一個使用者,成員隸屬選user就可以了。然後開啟command mode切換到路徑"c:\program files\OpenSSH\bin\"底下,並打入

"mkgroup -l ..\etc\group"
"mkpasswd -l -u [username] ../etc/passwd"

預設SSHD的port是22,如果想修改的話可修改路徑底下"c:\program files\OpenSSH\bin\"的sshd_config此檔案。在一般的公司來說,都會開放port 80 & 443,所以可以把port改為443,設定完成之後可在command mode下打入net start opensshd來啟動sshd的服務,如此SSH Server就完成了。

主要的SSH服務有了,剩下的工作就是如何從公司內部連至SSH主機了,在Client端我個人是使用Tunnelier,安裝過程很簡單,只要下一步就可以安裝到完了,開啟程式會如下圖所示:

程式畫面

程式畫面

在Host的地方打入您所架設SSH主機的真實IP位置,Port的位置為22(default),如您更改為443也請填上443,Username及Password請填入剛才在本機上所新增的使用者帳號及密碼(Initial Method選擇到Password模式),都設定完成後,按下左下方的「Login」按鈕,一切都正常無誤的話,在下方的對話框會顯示顯示Authentication completed

程式畫面

驗證成功

到這邊就算成功了80%了,在回到程式的介面,切換至Services頁面,把SOCKS/HTTP Proxy Forwarding的選項勾選起來,剩下的選項都不需做其它設定。接著是最重要的一個步驟,開啟上班的好伙伴「MSN」,點選工具選項連線進階設定,在SOCKS的地方填上127.0.0.1:1080 然後按下測試,正確的話應該會顯示如下圖所述的訊息,然後您只需要輕輕的按下「登入」,您就可以在公司內部百無禁忌的瀏覽網頁及MSN了,休閒是必要的,但班還是要認真上呀。

連線

連線測試

把Google App Engine當Proxy使用

最近這幾天,一直在跟carlos玩Google App Engine,至於GAE的好處就不在這邊多作說明了,有興趣可以向google大神求支簽。在GAE的Open Source Project裡面有一項蠻有趣的專案是gappproxy,主要的目地就是把GAE當做一個proxy來使用,這樣著時幫上班族帶來不少的好處,最明顯的就是「公司沒辦法阻檔你逛網拍」(笑),在這之前,也寫過一篇文章是「利用SSH Tunnel穿越Firewall」,不過作法上比較複雜,也不適合一般的使用者,而gappproxy的設定就簡單的多了,下述則是簡單的教學。

將下載的程式碼解壓至GAE SDK的目錄底下,並修改app.yaml檔案

application: your_application_name
version: 1
runtime: python
api_version: 1

handlers:

- url: /fetch.py
  script: fetch.py

將第一行的your_application_name替換成剛所建立的GAE名稱,然後再程式碼的目錄內建立一批次檔,內容是

appcfg.py update ../fetchServer

這樣便可將程式碼上傳到GAE內,首次上傳的話會尋問帳號及密碼。我想到這步驟應該是不會有太大的問題,而且也成功了一半。接著下載使用者端介面GAppProxy,開啟介面,並選擇「Use FetchServer」填入您的GAE網址,如下。

http://your_application_name.appspot.com/fetch.py

輸入好之後先按SAVE,並關閉程式,然後再開啟一次,並先按hide隱藏在系統列,最後的步驟就是要設定瀏覽器的proxy設定了,將Proxy的IP設定為127.0.0.1,Port是8000然後儲存,要測試是否work可以到What IP這網頁來做檢測,如果正確,則IP的位置應該會與原本的不一樣,並且在HTTP Referer的位址會顯示GAE的網址,如下圖所示:
http://i659.photobucket.com/albums/uu314/hugo5688/2009-02-21_225707.png

不過在使用上還是有一些問題存在,在官方的開發網頁也提到登入到某些網站時會造成無法登入的狀況,不過就一般「瀏覽」的狀況是沒有問題的,有了好用的proxy當然要測試一下特殊的功能,有在下載免空的朋友應該都知道zshare是很難下載的,我有嘗試透過此proxy要下載,不過結果是令人失望的,有辦法截取到檔案名稱,但是無法下載,或許在之後的版本可解決此問題。懶的架的人可以使用hugo的GAE網址

http://the-voice-proxy.appspot.com/fetch.py

[WP-Plugin] WP Security Scan – 安全掃瞄

昨天在公司打開blog的時候突然看到這個熱門的plugin所以就下載下來試試了。這是一個還蠻簡單好用的WP安全性掃瞄外掛,我覺得很適合不太懂電腦的人使用。可以照著指示來變更WP安全性設定,如下圖所示,點進去外掛以後就會看到如下圖,「initial Scan」就會顯示初掃完有什麼WP設定是需要做改變的。在右邊會有system info 對我有點敏感,所以我拿掉了,其實這個外掛不外乎就是針對WP的版本,DB、密碼的強弱度做掃瞄,目前沒看到有語系檔,所以就不本地化了,哈哈哈 (偷懶),不過如果有人真的有需要的話再跟我說好了。

http://farm3.static.flickr.com/2115/2460406697_02c9dee0d2_o.png

在下面的圖就是關於密碼的強弱度,可以驗證你WP-Admin的密碼是否夠符合安全性,最底下還有一個密碼的建議,不過那種密碼鬼才記的起來。

http://farm4.static.flickr.com/3048/2461241612_1e0288a633_o.png