[ THE VOiCE ] » Security

利用SSH Tunnel逃離MIS掌控魔爪

hugo5688 — Mon, 11 May 2009 08:48:33 +0000

這篇是許久之前寫的文章，當時的文字排版感覺很糟，所以花了點時間來重寫。標題看起來挺有深度的，不過整篇的重點就是在說明如何逃出MIS的魔爪，在上班時間可以快樂的瀏覽網路，沒事看看拍賣文件，聊聊八掛公事。在這邊介紹的算是較進階的方法，但可使用的範圍也比較廣，如果只是單純想瀏覽網頁的話可以參考這篇的方法。

[正文]

現在有蠻多公司內部都會採用些gateway端的產品來阻擋使用者瀏覽網頁，或上上MSN，美其名當然是可以減少中毒的機會，但實則為希望員工可以乖乖專心上班增加效率，不過休息是為了走更長遠的路，短暫的摸魚也是工作項目之一呀！。所以這篇文章的目的主要是提供個小技巧，讓上班的時間更充滿愉快。

首先，要在外部的網路上有一台Linux或Windows的主機並且連接到internet，在這邊就以Windows為例，在主機上安裝OpenSSH，在安裝好之後，接著請在電腦管理裡的「本機使用者和群組」裡加入一個使用者，成員隸屬選user就可以了。然後開啟command mode切換到路徑"c:\program files\OpenSSH\bin\"底下，並打入

"mkgroup -l ..\etc\group"
"mkpasswd -l -u [username] ../etc/passwd"

預設SSHD的port是22，如果想修改的話可修改路徑底下"c:\program files\OpenSSH\bin\"的sshd_config此檔案。在一般的公司來說，都會開放port 80 & 443，所以可以把port改為443，設定完成之後可在command mode下打入net start opensshd來啟動sshd的服務，如此SSH Server就完成了。

主要的SSH服務有了，剩下的工作就是如何從公司內部連至SSH主機了，在Client端我個人是使用Tunnelier，安裝過程很簡單，只要下一步就可以安裝到完了，開啟程式會如下圖所示：

程式畫面

在Host的地方打入您所架設SSH主機的真實IP位置，Port的位置為22(default)，如您更改為443也請填上443，Username及Password請填入剛才在本機上所新增的使用者帳號及密碼(Initial Method選擇到Password模式)，都設定完成後，按下左下方的「Login」按鈕，一切都正常無誤的話，在下方的對話框會顯示顯示Authentication completed

驗證成功

到這邊就算成功了80%了，在回到程式的介面，切換至Services頁面，把SOCKS/HTTP Proxy Forwarding的選項勾選起來，剩下的選項都不需做其它設定。接著是最重要的一個步驟，開啟上班的好伙伴「MSN」，點選工具→選項→連線→進階設定，在SOCKS的地方填上127.0.0.1：1080 然後按下測試，正確的話應該會顯示如下圖所述的訊息，然後您只需要輕輕的按下「登入」，您就可以在公司內部百無禁忌的瀏覽網頁及MSN了，休閒是必要的，但班還是要認真上呀。

連線測試

把Google App Engine當Proxy使用

hugo5688 — Sun, 22 Feb 2009 07:00:44 +0000

最近這幾天，一直在跟carlos玩Google App Engine，至於GAE的好處就不在這邊多作說明了，有興趣可以向google大神求支簽。在GAE的Open Source Project裡面有一項蠻有趣的專案是gappproxy，主要的目地就是把GAE當做一個proxy來使用，這樣著時幫上班族帶來不少的好處，最明顯的就是「公司沒辦法阻檔你逛網拍」(笑)，在這之前，也寫過一篇文章是「利用SSH Tunnel穿越Firewall」，不過作法上比較複雜，也不適合一般的使用者，而gappproxy的設定就簡單的多了，下述則是簡單的教學。

安裝Python (Python的版本限定為2.5.x版)
安裝Google App Engine SDK
建立GAE的application
下載proxy的主要程式fetchServer

將下載的程式碼解壓至GAE SDK的目錄底下，並修改app.yaml檔案

application: your_application_name
version: 1
runtime: python
api_version: 1

handlers:

- url: /fetch.py
  script: fetch.py

將第一行的your_application_name替換成剛所建立的GAE名稱，然後再程式碼的目錄內建立一批次檔，內容是

appcfg.py update ../fetchServer

這樣便可將程式碼上傳到GAE內，首次上傳的話會尋問帳號及密碼。我想到這步驟應該是不會有太大的問題，而且也成功了一半。接著下載使用者端介面GAppProxy，開啟介面，並選擇「Use FetchServer」填入您的GAE網址，如下。

http://your_application_name.appspot.com/fetch.py

輸入好之後先按SAVE，並關閉程式，然後再開啟一次，並先按hide隱藏在系統列，最後的步驟就是要設定瀏覽器的proxy設定了，將Proxy的IP設定為127.0.0.1，Port是8000然後儲存，要測試是否work可以到What IP這網頁來做檢測，如果正確，則IP的位置應該會與原本的不一樣，並且在HTTP Referer的位址會顯示GAE的網址，如下圖所示：

不過在使用上還是有一些問題存在，在官方的開發網頁也提到登入到某些網站時會造成無法登入的狀況，不過就一般「瀏覽」的狀況是沒有問題的，有了好用的proxy當然要測試一下特殊的功能，有在下載免空的朋友應該都知道zshare是很難下載的，我有嘗試透過此proxy要下載，不過結果是令人失望的，有辦法截取到檔案名稱，但是無法下載，或許在之後的版本可解決此問題。懶的架的人可以使用hugo的GAE網址

http://the-voice-proxy.appspot.com/fetch.py

[WP-Plugin] WP Security Scan – 安全掃瞄

hugo5688 — Sat, 03 May 2008 07:04:12 +0000

昨天在公司打開blog的時候突然看到這個熱門的plugin所以就下載下來試試了。這是一個還蠻簡單好用的WP安全性掃瞄外掛，我覺得很適合不太懂電腦的人使用。可以照著指示來變更WP安全性設定，如下圖所示，點進去外掛以後就會看到如下圖，「initial Scan」就會顯示初掃完有什麼WP設定是需要做改變的。在右邊會有system info 對我有點敏感，所以我拿掉了，其實這個外掛不外乎就是針對WP的版本，DB、密碼的強弱度做掃瞄，目前沒看到有語系檔，所以就不本地化了，哈哈哈 (偷懶)，不過如果有人真的有需要的話再跟我說好了。

在下面的圖就是關於密碼的強弱度，可以驗證你WP-Admin的密碼是否夠符合安全性，最底下還有一個密碼的建議，不過那種密碼鬼才記的起來。