SSH RemoteCommand over netcat hopping, or not.

Patrick Debois‘ article on Chaining SSH tunnels inspired me to effectively start using this technique.

At first my use case was pretty simple. It wasn’t the host I needed to connect to which behind a firewall, but, as it turned out, I was.

I’ve got a box at home listening on a high port, as my provider is blocking the low <1024 ports, Which is a problem when I'm on a network which only allows outbound SSH connections on port 22. It's easy to hop around by first connecting to another server on regular port 22, but automating that with Patrick's proxycommand-plus-netcat trick proved to be handy in this situation, too.

I could easily add an entry to .ssh/config to manage this specific situation.

Now, the typical firewalled networks I need to use, I often work on them either by being on its premises, or remotely. When I need to connect remotely, especially for a longer period, I can often use a dedicated VPN for that, but very often I just want quickly check something on one host, and entering the network not by launching a full-blown VPN stack, but hopping through a SSH gateway, tends to be the preferred solution.

Normally, you then need separate .ssh/config entries for each host. And then you need a separate .ssh/config entry for each host using a specific ProxyCommand.

But this doesn’t scale well. One would need to manage redundant information. I don’t want to configure .ssh/config entries for each server separately to be reached from within its own LAN and remotely through SSH hopping.

I didn’t find a way to handle this with a config in .ssh/config only, but adding following little (Bash) function to my environment lets me use an extra ssh command which lets me use the same .ssh/config entries for both situations:

ssh-via () { proxy=$1 ; shift ; ssh -o Proxycommand="ssh $proxy nc %h %p" $* ; }

Just use ssh-via instead of plain ssh, and let the first parameter be the name of the .ssh/config entry for the gateway you need to use.

Bibliotheek van Boom installeert Ubuntu Linux

Het gemeentebestuur van Boom heeft beslist de verouderde pc’s van de openbare bibliotheek te vervangen door 10 nieuwe supersnelle Linux-pc’s onder het besturingssysteem Ubuntu. Deze computers hangen in een netwerk aan een snelle internetaansluiting, beveiligd door een firewall. De gebruikers krijgen een half uur gratis gebruik van de pc, indien er geen wachtrij is kunnen ze uiteraard langer gebruik maken van het toestel. Documenten die door de gebruikers via een USB-stick of via mail/internet op het bureaublad of in een map op deze pc’s worden opgeslagen, worden bij het afsluiten van de computers automatisch gewist. Als de publiekscomputers de volgende dag opnieuw opgestart worden, krijgen de gebruikers de originele instellingen van de computers waardoor de privacy van de vorige gebruikers gewaarborgd is.

Lees hier het originele verhaal.

Bibliotheek van Boom installeert Ubuntu Linux

Het gemeentebestuur van Boom heeft beslist de verouderde pc’s van de openbare bibliotheek te vervangen door 10 nieuwe supersnelle Linux-pc’s onder het besturingssysteem Ubuntu. Deze computers hangen in een netwerk aan een snelle internetaansluiting, beveiligd door een firewall. De gebruikers krijgen een half uur gratis gebruik van de pc, indien er geen wachtrij is kunnen ze uiteraard langer gebruik maken van het toestel. Documenten die door de gebruikers via een USB-stick of via mail/internet op het bureaublad of in een map op deze pc’s worden opgeslagen, worden bij het afsluiten van de computers automatisch gewist. Als de publiekscomputers de volgende dag opnieuw opgestart worden, krijgen de gebruikers de originele instellingen van de computers waardoor de privacy van de vorige gebruikers gewaarborgd is.

Lees hier het originele verhaal.

Bibliotheek van Boom installeert Ubuntu Linux

Het gemeentebestuur van Boom heeft beslist de verouderde pc’s van de openbare bibliotheek te vervangen door 10 nieuwe supersnelle Linux-pc’s onder het besturingssysteem Ubuntu. Deze computers hangen in een netwerk aan een snelle internetaansluiting, beveiligd door een firewall. De gebruikers krijgen een half uur gratis gebruik van de pc, indien er geen wachtrij is kunnen ze uiteraard langer gebruik maken van het toestel. Documenten die door de gebruikers via een USB-stick of via mail/internet op het bureaublad of in een map op deze pc’s worden opgeslagen, worden bij het afsluiten van de computers automatisch gewist. Als de publiekscomputers de volgende dag opnieuw opgestart worden, krijgen de gebruikers de originele instellingen van de computers waardoor de privacy van de vorige gebruikers gewaarborgd is.

Lees hier het originele verhaal.

The impact of open source licenses on your business

Understand the impact of open source licenses on your business.

Profoss is organising an informative event on 28 april 2009 in Brussels about open source licenses and their impact on businesses.

Speakers are all specialists and will share their knowledge with you during their talks covering these topics:

  • Understanding Free and Open Source licenses (Ywein Van den Brande)
  • Impact on business conduct: liability, due diligence processes (Benjamin Docquir)
  • Problems encountered by a FOSS developer (Bruno Lowagie)
  • code auditing tools , fossology
  • EUPL: Why it exists and why it matters (Philippe Laurent)
  • Impact on contractual documents (Benjamin Jean)

All details about this event and the registration form are available at the Profoss website at http://www.profoss.eu

Restricties op software zijn restricties op onze bewegingsvrijheid

IT Professional publiceerde recent een artikel van Koen Vervloesem over intellectuele eigendom, met onder meer een interview van Dirk Tombeur van Microsoft. Ook ondergetekende mocht zijn commentaar geven.

In het betreffende artikel verdedigt Microsoft de stelling dat openheid en bescherming van intellectuele eigendom belangrijk zijn voor innovatie. De kern van mijn mening is daar door Koen uitstekend samengevat, de lange versie van mijn commentaar wil ik u hier niet onthouden.

Intellectuele eigendom inzake software kan reeds beschermd worden door te kiezen voor het afleveren van propriëtaire software in combinatie met restrictieve licentie voorwaarden. Hoewel het concept van octrooien an sich te verdedigen valt, moet men inzien dat de toepassing ervan op software een heel ander verhaal is. Software is niet zoals een klassiek uitvinding, een product dat je binnen een welbepaald kader kan afschermen, maar iets dat tot een heel complex en versatiel product kan leiden, waar de gebruiksregels heel snel een andere invulling kunnen krijgen.


Ik geloof steevast dat open standaarden vele malen belangrijker zijn dan de openheid van de broncode. Open standaarden garanderen dat applicaties – open bron of niet – steeds met elkaar kunnen communiceren. En zulks moet in alle vrijheid en openheid kunnen gebeuren, zodat de gebruiker de keuzevrijheid krijgt in het gebruik van zijn applicatie.

Open standaarden garanderen ook dat gegevens steeds raadpleegbaar zijn, zonder afhankelijk te zijn van een bepaalde software. Een volgende evolutie bij het steeds vaker online brengen van data en applicaties, zal er trouwens in bestaan dat er garanties komen dat je je eigen data, steeds kan raadplegen, zeg maar exporteren in een open gestandaardiseerd formaat. De verplichting om via open API’s open data structuren toegankelijk te maken.

Patenten op software leiden echter vaak tot onzinnige situaties, welke mensen niet meer aanvaarden. Kijk maar naar het falen van digital rights management op audio en video. Ook andere voorbeelden van onzinnige patenten op algemene gebruiksprincipes zijn inmiddels legio. Patenten op software dienen enkel nog als legale, commerciële afpersingsmiddelen, waarmee grote bedrijven kleine opslorpen, en samen met anderen de markt verdelen.

Software patenten zijn in feite patenten op API’s, op protocollen, op interfaces, op data structuren. Zeg maar op specificaties of normen. Normen die kunnen evolueren tot open specificaties, tot vrije specificaties, en misschien zelfs open standaarden. Open standaarden moeten vrij zijn van patenten zodat de eindgebruiker verzekerd kan zijn van voldoende alternatieve oplossingen. Restricties op software worden anders steeds vaker restricties op de bewegingsvrijheid van mensen.

Profoss event: OpenOffice.org voor bedrijven

Op 10 juni organiseert Profoss een evenement over “OpenOffice.org voor bedrijven”. Alle nodige informatie is terug te vinden op http://www.profoss.eu/events

Dit evenement is bestemd voor IT verantwoordelijken en eind gebruikers die zich af vragen of en hoe OpenOffice.org het best gebruikt kan worden in een professioneel omgeving. Sprekers zijn specialisten van het domein, met onder andere Eric Descamps, verantwoordelijk van het project bij De Post; Roberto Galoppini, specialist van migraties naar OpenOffice.org, en Machtelt Garrels, co-stichter van Opendoc Society Belgium. Presentaties vinden plaats van 14u to 18u in het Internationaal Pers Centrum van Brussel.

Dit evenement is zeker niet te missen als u objectieve informatie wenst te verkrijgen over OpenOffice in bedrijven!

Ubuntu bug zero

Ubuntu fans kennen al langer bug #1. Bug #1 omdat Ubuntu usability nastreeft voor meer mensen dan de typische Linux hacker.

Onderaan beginnen om de markt te veroveren. Niet alleen gebruiksvriendelijkheid (een relatief begrip weliswaar) voor de Desktop is belangrijk. Een volgende stap is de inzetbaarheid ook verhogen in andere markten dan waar Linux reeds typisch succesvol was.

Inzetbaarheid van de server versie verhogen, dankzij snel en gemakkelijk implementeerbare functionaliteiten, die je kan vergelijken met de ervaring die Windows systemen geven. Een punt waar Windows daadwerkelijk goed in is.

Het Ubuntu Server Team is reeds enkele maanden actief, en is begonnen met een aantal zaken te formuleren, samengevat in een specificatie die bug #0 gedoopt werd.

Dit betekent nog geen concrete veranderingen of nieuwe software, doch de expliciete stellingname dat Linux servers are limited competition for Microsoft in many corporate server markets bewijst reeds dat de juiste overtuiging leeft in de Ubuntu gemeenschap, om hier effectief iets aan te doen.

En dit zijn stappen die belangrijk zijn om Linux dichter in de bedrijfswereld te brengen. Ook en in het bijzonder in de KMO, hoewel de “enterprise” markt hier ook van zal profiteren uiteraard.

Redundante fail-over firewall

In opdracht van een van onze klanten, werd een redundante firewall-oplossing op maat gebouwd, op basis van eenvoudige, prijsgunstige, standaard hardware, met OpenBSD Unix technologie.

OpenBSD

Deze internationale KMO heeft een al wat minder alledaagse topologie voor hun netwerk die meer eisen stelt dan wat een gemiddelde KMO nodig heeft, en waardoor een implementatie op maat verantwoord is.


Om de informatica infrastructuur te laten functioneren in functie van de bijna dagelijkse evoluerende noden, bleek de keuze voor de functionaliteit van een pure firewall op basis van open technologieën, dan ook een goede keuze.

Tezelfdertijd vormt deze firewall een centraal, kritisch punt in de infrastructuur, waardoor een een hoge beschikbaarheid ten zeerste gewenst is. De gekozen technologie geeft dan ook een ideale oplossing, om deze firewall redundant uit te bouwen: volledig ontdubbelde hardware, voorzien van software die standaard kan geprogrammeerd worden om een transparante fail-over mogelijk te maken, en dit zowel op het niveau van de pure statefull firewall functie (pakket filter) als voor het bedienen van de diverse VPN-tunnels.

Bij de uitval van een firewall, blijft dit alles, transparant voor de gebruiker, verder functioneren. De tweede firewall neemt dan gewoon alle functies over van de eerste.

Deze oplossing bestaat uit twee autonome hardware firewalls, voor een aankoopprijs die slechts het niveau van een klassieke, niet redundante, propriëtaire zwarte (of rode) doos evenaart. Hier komen geen extra licentie kosten voor extra functionaliteiten, noch voor uitbreiding van aantal gebruikers. De implementatiekost blijft, net zoals voor iedere installatie, in functie van de complexiteit.