In KW 2 ist in der FOSS-Welt viel passiert, insbesondere im Bereich Desktops

Laut einem Forschungsbericht „KI als Servicemarkt“ von MarketsAndMarkets soll die Marktgröße für AI as a Service (AIaaS) von 14 Milliarden US-Dollar im Jahr 2024 auf über 72…

Hier werden wir mit MicroPython und einem Mikrocontroller Töne und Melodien erzeugen.

In der letzten Woche des Jahres passierte nochmal einiges in der FOSS Welt. Von GIMP zu OpenShot

Vom 24. bis 26. Dezember wurden im Rahmen unseres kleinen Weihnachtswettbewerbs neun Artikel geschrieben. Heute kürt Pascal den Gewinner des ZOTAC-PCs.

Bekanntermaßen sind SSH-Verbindungen weitestgehend das Standardverfahren, um Serververbindungen sicher aufzubauen.
Normalerweise kommt in Bezug auf Authentifizierung eine Kombination aus Nutzernamen und Passwort zum Einsatz. Es gibt aber auch Varianten mit Zertifikat oder Schlüssel.
Letzteres sollte nicht nur Standard, sondern heute auch Thema sein. Üblicherweise erhältst du via SSH Vollzugriff (oke vielleicht kein root), es besteht allerdings die Möglichkeit diesen per authorized keys zu regulieren, so kannst du in einem SSH Schlüssel etwa eine IP-Beschränkung hinterlegen, um einen Zugriff weiter einzuschränken.

SSH AuthorizedKeysFile Format

In einem Standardsetup findest du vorhandene Schlüssel unter ~/.ssh/authorized_keys und genau hier möchte ich heute einen genaueren Blick darauf werfen.
Dort liegen die öffentlichen SSH-Schlüssel, die einen bestimmten Aufbau haben, dazu gleich mehr. Auch wird zwischen Version 1 und Version 2 unterschieden, wobei zwei der Standard sein sollte.
Ältere Semester kennen eventuell noch  ~/.ssh/authorized_keys2,  was ursprünglich für den zweiten Protokolltyp vorgesehen war, allerdings seit 2001 deprecated ist und heute maximal noch von böswilligen Akteuren missbraucht wird.
Zurück zu den Schlüsseln, folgende Aufteilung besitzen diese laut Norm:

• Öffentliche Schlüssel des Protokolls 1 bestehen aus den folgenden durch Leerzeichen getrennten Feldern: Optionen, Bits, Exponent, Modulus, Kommentar.
• Öffentliche Schlüssel des Protokolls 2 bestehen aus: Optionen, Keytype, base64-kodierter Schlüssel, Kommentar
• Das Optionsfeld ist optional. Sein Vorhandensein wird dadurch bestimmt, ob die Zeile mit einer Zahl beginnt oder nicht (das Optionsfeld beginnt nie mit einer Zahl).
• Die Optionen (falls vorhanden) bestehen aus durch Kommata getrennten Optionsangaben.

Im Detail ermöglichen sie, verschiedene Werte mitzugeben und anderen eine IP-Einschränkung.

SSH - Zugangsberechtigungen einschränken

Hier ein erstes Beispiel:

from="192.168.1.?,*.example.com" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQu9QfY+g0XRVbRTaMPLRN2PVmrRCpaDRaxTHPqggn3 user@example.com

Zur Erklärung: Du kannst in den Optionen Wildcards setzen. Das heißt, im Beispiel oben hätte 192.168.1.1-9 Zugriff, sowie Subdomains von example.com.

Eine weitere Möglichkeit wäre, die Option command zu verwenden, um direkte Befehle zu hinterlegen:
 

command="bash /opt/startworkflow" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQu9QfY+g0XRVbRTaMPLRN2PVmrRCpaDRaxTHPqggn3 user@example.com

command="/opt/mehrere_befehle.sh" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQu9QfY+g0XRVbRTaMPLRN2PVmrRCpaDRaxTHPqggn3 user@example.com

Der Nutzer hat hier nur das Recht, das vorgegebene Kommando auszuführen, nicht mehr und nicht weniger

Kontrollieren kannst du solche Kommandos mit der Variable $SSH_ORIGINAL_COMMAND. Diese enthält die ursprüngliche Befehlszeile
sobald ein erzwungener Befehl ausgeführt wird.
Wenn du mehrere Befehle erlauben willst, kommst du nicht drumherum, ein Script zu schreiben, was diese Beschränkungen mehr oder weniger aushebelt.

Ein weiteres Beispiel zeigt die Verwendungen der Kommandos für SSH Tunneling bzw. Port Forwarding:

restrict,port-forwarding,permitopen="localhost:8765" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQu9QfY+g0XRVbRTaMPLRN2PVmrRCpaDRaxTHPqggn3 user@example.com

Hier wird explizit erlaubt, eine Verbindung auf Port 8765 herzustellen und alles andere bitte bleiben zu lassen. Auch echter Shell-Zugang (no-pty ist in restrict enthalten) wird unterbunden.

     restrict
Enable all restrictions, i.e. disable port, agent and X11 forwarding, as well as disabling PTY allocation and execution of ~/.ssh/rc.  If any future restriction capabilities are added to authorized_keys files they will be included in this set.

 

Du hast nun einen kleinen Einblick in die vielfältigen Konfigurationsmöglichkeiten von SSH-Schlüsseln erhalten. Gerade IP-Beschränkungen oder Limitierung auf Befehle kommen im Alltag vor und sind in diesem Sinne keine neue Methode.
SSH Tunneling ist eigentlich schon wieder ein anderes Kapitel.
Einen Überblick der SSH Befehle findest du bei den Ubuntu Manpages. Viel Spaß.

 

Fortführung der Blender-Serie. Dieses Mal geht es um Geometry Nodes.

In KW 51 war in der FOSS-Welt wieder einiges los. Insbesondere im Matrix-Ökosystem war viel los.

Während sich das Jahr dem Ende und Weihnachten zuneigt, geben die FLOSS-Entwickler nochmal volle Fahrt! Von Linux Mint bis Thunderbird.

In der Zeit vor dem Jahresende stellen einige namhafte KI-Firmen neue Versionen Ihrer Sprachmodelle vor.

Die Havard Univerity hat – finanziell uterstützt von OpenAI und Microsoft – ein riesiges Trainingsset für LLMs und andere KI-Modelle veröffentlicht, das aus fast einer Million Büchern…

Fast 10 Monate nach der ersten Vorstellung hat OpenAI nun eine verbesserte Version seines Videogenerators Sora Turbo veröffentlicht.

Metas Vice President of generative AI, Ahmad Al-Dahle, hat auf X die Verfügbarkeit des neuen Sprachmodells Llama 3.3 bekanntgegeben.

Amazon, einer der größten IT-Konzerne der Welt, war bislang im Rennen um die Vorherrschaft bei generativen KI-Modellen vor allem durch seine finanzielle Untertützung für das Startup Anthropic…

HopToDesk ist eine freie Software zur Fernsteuerung von Computern und Smartphones für den privaten und geschäftlichen Gebrauch.

In KW 48 ist in der FOSS Welt einiges passiert. Plasma 6 in Debian, Elementary OS 8 und mehr.

Wie man einzelne Heizkreise per CalDAV-Kalender (zB NextCloud) per Homeassistant steuern kann.

Das o1-Modell von OpenAI erzeugte eine Welle des Interesses an der Erforschung von Large Reasoning Models (LRM).

Wissenschaftlern des MIT ist es gelungen mit Hilfe generativer KI künstliche Satellitenbilder zu erzeugen, die zeigen, wie ein bestimmtes Gebiet von einer Überflutung betroffen wäre.

Amazon investiert weitere 4 Milliarden US-Dollar in den Sprachmodell-Hersteller Anthropic und unterstreicht damit seine Ambitionen im Wettbewerb mit Microsoft und Google.

In KW 47 ist von Blender bis zu Kernel Dateisystemen viel passiert.

KI-Agenten werden derzeit für eine Vielzahl von Aufgaben entwickelt, bei denen sie selbstständig Entscheidungen treffen sollen.

In KW 46 gibt es Meldungen der Projekte Ubuntu, Fedora und Arch Linux.

Der Tech-Milliardär Elon Musk erweitert seine im August wieder aufgenommene Klage gegen OpenAI, in der nun auch Microsoft, der LinkedIn-Mitgründer Reid Hoffman und das frühere Mitglied des…

Alibaba Cloud hat mit Qwen 2.5-Coder einen neuen, KI-gestützten Assistenten für Programmierer veröffentlicht, der in der Oberliga seiner Zunft spielt und dabei kostenlos ist.