чуть где-то конфиг поправил или что-то из библиотек доставил — и всё, уже непонятно, как вернуть всё взад.
Откат к предыдущему состоянию системы или пользовательского окружения возможен при использовании NixOS. Обновление системных компонентов (ядро, модули ядра, программы доступные всем пользователям) приводит к появлению нового варианта системы в загрузчике ОС (Grub или systemd). Этот новый вариант выбирается по умолчанию, но если что-то пошло не так, можно во время загрузки выбрать предыдущий.
По моему скромному мнению NixOS и Nix - это лучшее что случилось с системным администрированием в 21 веке и эти технологии заслуживают изучения. Но за ними нет больших компаний, которые обеспечивают лёгкость вхождения и использования, так что будьте готовы к необходимости обучения и вдумчивого чтения мануалов и исходников.
Может быть какой-то из роутеров по пути от вас до SSH-сервера имеет короткий срок жизни TCP-сессий в своей таблице NAT. По умолчанию SSH-сервер настроен так, чтобы не посылать никаких лишних пакетов. Иными словами, если клиент подключился, и ничего не делает, а серверу нечего ему сказать, то никаких данных по TCP-подключению не передаётся. Домашний роутер запросто может быть настроен так, чтобы забывать TCP-подключения после, к примеру, 10 минут простоя. Может получиться так, что TCP-сессия reverse port forwarding-стороны уже давным давно забыта на роутере, но SSH-клиент и SSH-сервер по-прежнему считают что между ними установлено TCP-подключение.
Это можно решить установкой параметров ServerAliveInterval на SSH-сервере и ClientAliveInterval на SSH-клиенте. Если установить их оба в, к примеру, 300, то каждые 5 минут будет происходить обмен Keep-Alive сообщениями, что, в свою очередь, будет убеждать все промежуточные роутеры в том, что сессия жива. Кроме того, даже если какой-то из этих роутеров по какой-то причине сбросит сессию, клиент и сервер будут способны относительно быстро этот факт обнаружить и установить подключение повторно.
Всё классно, единственный нюанс — открытость этого порта не только для вас, но и для любого пользователя из интернета. При наличии уязвимости в сервере RDP — ваш компьютер уже не совсем ваш.
В предложеной экзотической схеме для получения доступа к вашему компьютеру требуется уже две уязвимости — одна в сервере SSH, другая в сервере RDP.
Ну и не всегда сейчас провайдер даёт конечному оборудованию глобальный IP-адрес, пусть и динамический.
Задачу точно можно решить по другому поставив OpenVPN или аналог. Даже в случае с OpenVPN у нас присутствует необходимость хостить машину-«маршрутизатор» (по совместительству OpenVPN-сервер) где-то в интернете, либо сделать такой машиной домашний компьютер, но тогда нужно обеспечить ему постоянный глобальный адрес. Короче говоря ровно все те же самые соображения.
Смысл статьи в том, чтобы изобрести велосипед показать что простые сценарии можно реализовывать и без VPN с помощью средств, которые из коробки есть в большинстве современных ОС.
Принципиально такая поделка на SSH эквивалента VPN, разница лишь в том, что адресация по паре «IP адрес: порт» фактически заменена на адресацию просто по номеру порта (ну и действительно процедура настройки автозапуска клиентов сложнее чем в случае OpenVPN). Есть незначительная удобная мелочь в том что для подключения к дому с какого-то третьего компьютера SSH можно запустить не имея админских прав (в отличие от OpenVPN). Ну и сервер настраивать однозначно проще (нужно ровно ничего не делать сверх запуска ВМ в облаке).
Про socks-прокси и политики — согласен. В следующей статье как раз планировал попиарить опенсорсную поделку, которая позволяет и всё кроме порт форвардинга запретить и политики доступа написать.
Практически не помогало. В первый день в клинике выдали бензодиазепиновый транквилизатор (Феназепам, если мне не изменяет память) — вот он помог замечательно! Само собой каждый день таким пользоваться не будешь, так что терпел, ходил туда-сюда по комнате, грустил, много спал.
Могу поделиться личным опытом — делал ТФРК в Сентябре 2015, была миопия -3 диоптрии и незначительный астигматизм. Прошло почти 3 года, полёт отличный. Не повезло попасть в небольшой процент с выраженным болевым синдромом — первые 4 дня было очень больно. В этот период почти ничего не видел (рискну предположить нарушение аккомодации из-за интенсивной боли), потом в какой-то момент очень резко боль почти прекратилась и зрение значительно улучшилось.
К офисной работе вернулся где-то через 2 недели, до этого работать было можно, но иногда случались трудности с аккомодацией. Через 4 недели уже вообще ничего не беспокоило.
В течение полугода после операции каждый день закапывал в глаза стероидные гормоны, чтобы исключить риск хейза, на этом фоне поднялось внутриглазное давление, так что капал и противоглаукомные капли тоже. Жить не мешало, капал по будильнику каждый день несколько раз в день.
После окончания курса стероидов живу обычной жизнью, зрение — единичка, результатом доволен абсолютно.
Откат к предыдущему состоянию системы или пользовательского окружения возможен при использовании NixOS. Обновление системных компонентов (ядро, модули ядра, программы доступные всем пользователям) приводит к появлению нового варианта системы в загрузчике ОС (Grub или systemd). Этот новый вариант выбирается по умолчанию, но если что-то пошло не так, можно во время загрузки выбрать предыдущий.
По моему скромному мнению NixOS и Nix - это лучшее что случилось с системным администрированием в 21 веке и эти технологии заслуживают изучения. Но за ними нет больших компаний, которые обеспечивают лёгкость вхождения и использования, так что будьте готовы к необходимости обучения и вдумчивого чтения мануалов и исходников.
Это можно решить установкой параметров ServerAliveInterval на SSH-сервере и ClientAliveInterval на SSH-клиенте. Если установить их оба в, к примеру, 300, то каждые 5 минут будет происходить обмен Keep-Alive сообщениями, что, в свою очередь, будет убеждать все промежуточные роутеры в том, что сессия жива. Кроме того, даже если какой-то из этих роутеров по какой-то причине сбросит сессию, клиент и сервер будут способны относительно быстро этот факт обнаружить и установить подключение повторно.
В предложеной экзотической схеме для получения доступа к вашему компьютеру требуется уже две уязвимости — одна в сервере SSH, другая в сервере RDP.
Ну и не всегда сейчас провайдер даёт конечному оборудованию глобальный IP-адрес, пусть и динамический.
Смысл статьи в том, чтобы
изобрести велосипедпоказать что простые сценарии можно реализовывать и без VPN с помощью средств, которые из коробки есть в большинстве современных ОС.Про socks-прокси и политики — согласен. В следующей статье как раз планировал попиарить опенсорсную поделку, которая позволяет и всё кроме порт форвардинга запретить и политики доступа написать.
К офисной работе вернулся где-то через 2 недели, до этого работать было можно, но иногда случались трудности с аккомодацией. Через 4 недели уже вообще ничего не беспокоило.
В течение полугода после операции каждый день закапывал в глаза стероидные гормоны, чтобы исключить риск хейза, на этом фоне поднялось внутриглазное давление, так что капал и противоглаукомные капли тоже. Жить не мешало, капал по будильнику каждый день несколько раз в день.
После окончания курса стероидов живу обычной жизнью, зрение — единичка, результатом доволен абсолютно.