透過 private key 免帳密直接登入 SSH

 步驟：

1. ssh-keygen -t rsa 產生 id_rsa & id_rsa.pub
2. mv | cat | rename ~/.ssh/id_rsa.pub ~/.ssh/authorized_key
• 此情境是在伺服器端處理，也可在客戶端產生後將 public key 資訊傳到伺服器端
  
• 若有多筆公鑰內文可以附加到 authorized_key 檔案
  
• 若 SSH 伺服器是 Window OpenSSH 且登入的帳號是屬於管理者身份。那就要將 id_rsa.pub 內文附加到 C:\ProgramData\ssh\administrators_authorized_keys 檔案內。
  
3. id_rsa 傳給客戶端。客戶端將該檔放在 USERPROFILE\.ssh\* 就可以直接透過 SSH 免帳密直接登入使用 (e.g. ssh sftp@192.168.0.2)
   
4. id_rsa 透過 puttygen (Tools bar: Conversions item) 轉換成 id_rsa.ppk
• puttygen Tools Bar : Conversions item
• Load id_rsa files and choice "Save private key" item
  
5. 使用方式
• 將 id_rsa.ppk 轉給 client 使用。如透過 filezilla client，登入形式採用金鑰，金鑰指向 id_rsa.ppk
•  id_rsa (不用轉換 ppk ) 直接放到 windows 的使用者目錄內 (如，C:\Users\user_account\.ssh)後，再直接輸入 ssh user_account@IP 即可直接登入遠方主機
6. 指定使用者產生供使用的 private key
   runas /user:account cmd，開啟視窗後，輸入密碼。以該身份執行以上的程序即可(authorized_keys 檔案放在該登入帳號的 .ssh 目錄內)。
   

備忘：公鑰與私鑰的製作可以在使用者端或是伺服器端。將公鑰放到伺服器端且將私鑰傳給要連線的客戶端。

相關參考：

• Set up SSH public key authentication to connect to a remote system
  
• Windows 使用 SSH 金鑰免密碼登入 Linux
• [教學] 使用 PuTTYgen 產生 SSH 連線 RSA、DSA 公鑰與私鑰
• 利用公鑰免密碼連線使用說明 
• 從 Windows 使用金鑰免密碼登入 SSH/SFTP/SCP 
• SSH key設定 免密碼連線伺服器 
  

 

filezilla server 1.1.0 安裝備忘

新版本 v 1.1.0 與 舊版本 v 0.9.60_b 的介面差異很大。 

在舊版本已存在的狀態下直接做新版本的安裝會自動透過 filezilla-server-config-converter.exe 自動轉換成新版本所採用的設定檔。轉換上去後，在 passive mode settings 的部份沒有順利轉換上去，需要自行重新設定，其它的部份看來都有正確的轉換。

安裝完畢後進入介面的 configure 項目做以下設定調整：

FTP Server Listeners ：
Protocol 的部份全部改成  Require explicit FTP over TLS (port 990 可以關閉)

Passive mode：
需要自行重新設定

Security：
Provide a X.509 certificate，憑證的產生方式已沒有內建，可利用 openssl 自行產生。或者直接採用 filezilla server 所提供的憑證 “Use a self-signed X.509 certificate” 來做使用。先前舊版本的憑證可以透過 filezilla server 自已提供的功能產生，但它的做法會將 RSA PRIVATE KEY、CERTIFICATE 放在同一個檔案，如果要照舊那就產生的 key and crt 的內容合併在一起即可。

設定檔備份：
新版本設定檔的部份調整放到 C:\Windows\System32\config\systemprofile\AppData\Local\filezilla-server

Daemon 執行身份調整 (e.g. account_ftp user)：預設安裝時會將設定檔放到上面所指定的位置。於系統服務將該 daemon 切換執行身份後會在新設定的身份的  C:\New_User\AppData\Local\filezilla-server\* 新增 filezilla server 的設定檔案。將 \filezilla-server\* 目錄賦予相關使用者寫入的權限後再將目錄內已存在的相關設定檔直接刪除再由原來已設定完成(C:\Windows\.....)的設定檔案複製過來。重新啟動 filezilla server 服務。這不確定有沒有其它更簡便的切換方式，爾後再確認。

版本更新方式：下載新版本後(e.g. 1.5.0 version)，直接點選執行檔。重新按介面提示重新安裝一次。但更新後它的 daemon 於系統服務內的登入身份會轉換到執行更新時的帳號身份。若採不同身份執行特定 deamon 的做法時，記得將身份切換回所要指定的身份。

Logging：
先新增 ftp_log.txt 後再到介面內將 File path 指向這個檔案；log output 選用 To file.

目前使用狀況：
使用起來都OK。但 client 連線使用完畢做切斷的動作會出現以下訊息。這在舊版本沒有出現。
GnuTLS error -110 in gnutls_record_recv: The TLS connection was non-properly terminated.
Client did not properly shut down TLS connection
Control channel closed with error from source 0. Reason: ECONNABORTED - Connection aborted.
Session 1 ended with error from source 0. Reason: ECONNABORTED - Connection aborted.

note : 此問題已於 1.4 版本修正

FTPstats GUI-based FileZilla log parser ： 待找
 

PHP Curl SSL certificate problem

 

CA files 

PHP.ini

curl.cainfo="C:\php\extras\ssl\cacert.pem"

PHP code

//Tell cURL where our certificate bundle is located.
$certificate = "C:\php\extras\ssl\cacert.pem";
curl_setopt($ch, CURLOPT_CAINFO, $certificate);
curl_setopt($ch, CURLOPT_CAPATH, $certificate);

 

相關資料：

• PHP cURL: Fixing the “SSL certificate problem: unable to get local issuer certificate” error. 
• [PHP] cURL連https(SSL)的問題
  

批次壓縮檔案與建立目錄內檔案清單

 zip.bat

rem 使用方式:檔案拖拉到此批次檔案即可
rem 此機制會自動在檔案名稱後加入副檔名名稱， 如 .pdf.zip。再利用批次重新命名修改即可
@echo off
set "a=%ProgramFiles%\7-zip\7z.exe"
for %%a in (%*) do if exist "%%~a\" (
        "%a%" a -tzip "%%~a.zip" "%%~a\*" -mx7
        ) else (
        "%a%" a -tzip "%%~a.zip" "%%~a" -mx7
        )

 list.bat 

rem 列出檔案名稱並依照檔名排序
rem 使用方式:檔案拖拉到此批次檔案即可
dir /b /on > list.txt

批次將 PDF 文件轉成 JPG

 可以透過 PHOTOSHOP CC 處理

Apache CGI

httpd.conf example

<Directory "C:/Apache2/cgi-bin">
    #AllowOverride None
    #Options None
    Options +ExecCGI
    AddHandler cgi-script .cgi .pl
    Require all granted
</Directory>

cgi or perl 程式需要放到指定的 cgi-bin 目錄內執行。 很多 cgi 或 perl  都是採用 #!/usr/bin/perl 的宣告 。所以避免修改原有程式可以將 active perl 安裝於 C:\usr\ 目錄內，這樣就不需要修改現有程式。若是按 perl 預設安裝路徑那就需要修改為 #!C:\Perl64\bin\perl.exe。

相關參考：

• Active perl
• Apache Tutorial: Dynamic Content with CGI
  

SFTP 安裝@ Windows

步驟 

@windows

應用程式內新增 OpenSSH伺服器

@powershell

Start-Service sshd
Set-Service -Name sshd -StartupType 'Automatic'

Get-NetFirewallRule -Name *ssh* //檢視規則

New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH SSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22 //調整規則

調整 ssh_config 檔案 (%programdata%\ssh) & restart sshd

Port 22
ForceCommand internal-sftp //強制僅使用 sftp connections
Subsystem    sftp    sftp-server.exe -d "C:\Data_SFTP\"
ChrootDirectory C:\Data_SFTP //指定連線到特定目錄

AllowUsers sftpuser //加強管理
AllowGroups sshusers //加強管理

Logging //Windows OpenSSH 預設會記錄在事件檢視器。若要調整為記錄於檔案內需做以下調整。

SyslogFacility AUTH | LOCAL0 //AUTH 記錄在事件檢視器；LOCAL0 記錄在檔案
LogLevel INFO | VERBOSE | Debug3  (視需求)

//針對特定的 group 限制(系統內新增 sftponly group，並設定指定受限帳號)

Match Group sftponly
       ChrootDirectory C:\Apache2\htdocs
       ForceCommand internal-sftp
       X11Forwarding no
       AllowTcpForwarding no

 

//針對指定帳號登到指定目錄

Match User sftp_user
       ChrootDirectory C:\Apache2\htdocs\sftp_user
       ForceCommand internal-sftp
       X11Forwarding no
       AllowTcpForwarding no

參考資料

• 在Windows 10架設SFTP(SSH Server)
• OpenSSH Server configuration for Windows Server and Windows
  
•  Windows – How to restrict users to sftp in OpenSSH on Windows Server
• Windows 的 OpenSSH
•  如何為特定用戶設置SFTP登入後到chroot特定目錄？
• 適用于 Windows 10 1809 和 Windows Server 2019 的 OpenSSH 伺服器設定
• SSH Tunnel 設定方式 Windows 10
• 透過 OpenSSH 使用 SFTP 登入時將帳戶設為 chroot 的方法 (Linux)
• SFTP 的登入位置
• OpenSSH 金鑰管理
• [Security] 你該知道所有關於 SSH 的那些事
  

透過Adguard 阻擋Youtube APP廣告

Adguard 若僅透過瀏覽器使用 Youtube 觀看影片，它的阻擋廣告效果很好但在手機上直接透過 Youtube APP 觀看影片的效果有限。

現在 Adguard 有提供一個方式可有效阻擋廣告，在操作上也僅需要幾個步驟即可。

Android 或 iOS 使用 Youtube APP 操作上僅有兩個步驟：

1. Open YouTube app and start the video you want to watch. (在 youtube APP 打開要看的影片)
2. Tap on the Share button and select AdGuard for Android from the list of apps. (在分享按鈕那點一下分享給Adguard 即可) 

相關參考：

• 新版AdGuard 可以擋YouTube廣告
• How to block ads in YouTube
  

Apache SSL Cipher Suite

加密演算法也是資安的評量點。

設定的參考可以使用 moz://a SSL Configuration Generator 所建議的 Cipher Suite 設定。

設定值：

SSLProtocol -all +TLSv1.2 +TLSv1.3 //刪除所有的 protocol 並加入 TLSv1.2 , TLSv1.3

也可以這樣子寫

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 // 使用所有的 protocol 不使用SSLv3 ,TLSv1,TLSv1.1

SSLProxyProtocol  (與 SSLCipherSuite 的設定相同)

SSLCipherSuite       ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 

SSLProxyCipherSuite       (與 SSLCipherSuite 的設定相同)

SSLUseStapling On    //加快 SSL certificate 驗証

其它設定

    # HTTP Strict Transport Security (mod_headers is required) (63072000 seconds)
    Header always set Strict-Transport-Security "max-age=63072000"

 

檢測 SSL Cipher 檢測工具

• nmap : e.g. nmap --script ssl-enum-ciphers -p 443 Server_IP -P0 | find "EXP"
• sslscan windows
  

 

參考資料：

• Strong SSL Security on Apache2 
• Security/Server Side TLS
• moz://a SSL Configuration Generator
• CVE-2015-4000 檢測方式與修補方式
• SSLCipherSuite Directive 
• Apache 啟用 OCSP ，加快網站速度 
• 讓你的 SSL 更安全 – 移除弱 SSL 加密方式 (Cipher) 
• SS Labs