Szukałem ostatnio rozwiązania, które pozwoliłoby mi na zdalne wywołanie dowolnego polecenia na jednym z komputerów.
Docelowy komputer czasami pracuje u mnie po *naście albo *dziesiąt godzin a że jest to ekonomicznie uzasadnione rozwiązanie smart tv to posiada pełnoprawny interfejs graficzny. A Xorg, jak to Xorg, swoje wady ma i często po kilkunastu godzinach pracy po prostu lubi się całkowicie sfreezować (zamrozić / zawiesić) i wówczas pomaga tylko twardy reset. Poszukiwane rozwiązanie problemu i docelowy zamysł był taki, żeby gui na czas wyjścia z domu wyłączyć (o ile nic się nie renderuje), a można to rozwiązać na cztery sposoby.
Pierwszy sposób to ssh. A zrobimy to w taki sposób:
ssh user@pc 'sudo systemctl stop lightdm.service; sudo chvt 1'
Powyższa komenda zatrzymuje nam menedżera logowania i jednocześnie przełącza tty z 7 (domyślne tty dla gui w Debianie) na 1. Gdybyśmy chcieli tylko podejrzeć, czy menedżer logowania się wyłączył to możemy włączyć sprawdzić np htopem:
ssh -t user@pc htop
Po zamknięciu htopa oczywiście zostaniemy rozłączeni.
Drugim sposobem jest tzw port knocking. Metoda - podobno - trochę przestarzała i mało bezpieczna. Polega na wysłaniu "sygnału" na określone przez nas porty, po czym wykonuje określone w konfiguracji komendy. Rozwiązanie dobre, ale tylko lokalnie.
Instalacja (w Debianie):
apt install knockd
Konfiguracja z sekwencjami portów znajduje się w /etc/knockd.conf, przykładowo:
[options]UseSyslogLogFile = /var/log/knockd.logInterface = eno1[echo]sequence = 1,1,1seq_timeout = 1command = echotcpflags = syn
W sekcji [options] warto uwzględnić nazwę interfejsu oraz gdzie ma być zapisywany log.
Plik "aktywacyjny" /etc/default/knockd:
# control if we start knockd at init or not# 1 = start# anything else = don't start# PLEASE EDIT /etc/knockd.conf BEFORE ENABLINGSTART_KNOCKD=1# command line optionsKNOCKD_OPTS="-i eno1"
START_KNOCKD domyślnie jest na 0, nazwę sieci ustawiamy wedle potrzeb.
Z poziomu klienta, jeśli klientem również jest Debian instalujemy tę samą paczkę:
apt install knockd
I terminalu wystarczy wykonać:
knock -v host port1 port2 port3
Opcja -v powoduje wypisanie nam na ekranie poszczególnych działań.
Knocking działa również na interfejsach wifi. Po resztę informacji zapraszam do manuali.
Trzecim sposobem jest fwknop. W tym przypadku "logowanie" do serwera działa jak w przeglądarce internetowej. Tzn tworzymy klucz, który przesyłamy do serwera, prawie jak ciasteczko w przeglądarce. Jak serwer odbierze nasze dane to zaakceptuje nasze połączenie i wykorzysta według konfiguracji.
Przedstawię bardzo uproszczoną konfigurację. W przeciwieństwie do poprzedniego rozwiązania musimy zainstalować dwie różne paczki.
Na kliencie instalujemy:
apt install fwknop-client
A na serwerze:
apt install fwknop-server
Na kliencie uruchamiamy:
fwknop -a ip.klienta -D ip.serwera --key-gen -C /sciezka/do/zdalnej/komendy --save-rc-stanza
--save-rc-stanza powoduje zapisanie konfiguracje w ~/.fwknoprc. W tym pliku mamy dwa klucze, KEY_BASE64 oraz HMAC_KEY_BASE64 które musimy przenieść na serwer (o tym niżej). Jak do jednego serwera chcemy wysłać kilka różnych komend (raz jedną, innym razem drugą) to przy generowaniu klucza możemy wykorzystać opcję -n nazwa. Dokładny opis w manualu.
Na serwerze włączamy usługę w /etc/default/fwknop-server z poniższymi argumentami:
START_DAEMON="yes"DAEMON_ARGS="-f -U"
Dodatkowo mamy pliki /etc/fwknop/fwknopd.conf oraz /etc/fwknop/access.conf. Pierwszy zostawiamy z domyślną konfiguracją a do access.conf wrzucamy klucze z ~/.fwknoprc:
SOURCE ip.klientaKEY_BASE64 klucz1HMAC_KEY_BASE64 klucz2ENABLE_CMD_EXEC Y
ENABLE_CMD_EXEC zezwala nam na uruchomienie zdalnej komendy. Z poziomu klienta:
fwknop -n docelowy.serwer -C /sciezka/do/komendy
I to wszystko :D fwknop docelowo służy do zdalnej modyfikacji reguł firewalla ale równie dobrze możemy wykorzystać go do zdalnego wykonania komend. W manualu widzimy również opcje CMD_CYCLE_OPEN, CMD_CYCLE_CLOSE oraz CMD_CYCLE_TIMER, których akurat nie testowałem. Mogłyby być alternatywą dla -C /sciezka/do/zdalnej/komendy (czy wystarczyłoby odpalić fwknop -n docelowy.serwer?).
W przeciwieństwie do knockd, za pomocą fwknop udało mi się uruchomić kilka komend jednocześnie (w skrypcie). knockd wykonywał tylko pierwszą komendę z docelowego skryptu.
Na Androida jest aplikacja fwknop. Nie testowałem.
Czwartym i ostatnim sposobem jest shell2http. To taka mała usługa, która pozwala na wykonanie poleceń z poziomu np przeglądarki internetowej (poprzez uprzednio skonfigurowany adress www). Jest to chyba najprostszy sposób jaki udało mi się znaleźć, teoretycznie najmniej problemowy i z tego co widzę to nie wymaga żadnych zależności. Póki co gotowej paczki nie ma w repozytoriach Debiana (stan na 19.01.2026) ale można znaleźć w sieci paczkę *.deb i na luzie ją zainstalować np z wykorzystaniem gdebi:
gdebi shell2http_1.17.0_linux_amd64.deb
Składnia polecenia jest prosta. Tworzymy usługę /etc/systemd/system/shell2http.service:
[Unit]Description=shell2http[Service]Type=oneshotExecStart=/bin/shell2http /polecenie1 "/sciezka/do/polecenia1" /polecenie2 "/sciezka/do/polecenia2"[Install]WantedBy=multi-user.target
W miejscu "/sciezka/do/polecenia1" możemy wpisać (między cudzysłowami) kilka poleceń oddzielonych znakiem ";". Następnie aktywujemy:
systemctl enable shell2http.service
Oraz uruchamiamy:
systemctl start shell2http.service
W przeglądarce internetowej odpalamy adres:
adres.ip.serwera:8080/polecenie1
Lub:
adres.ip.serwera:8080/polecenie2
Domyślny port to 8080, ale można to zmienić. Polecam zajrzeć do manuala. Odnoszę wrażenie, że shell2http reaguje najwolniej ze wszystkich opisanych rozwiązań.
I to wszystko :D
Najbezpieczniejszym rozwiązaniem wydaje się być fwknop z racji takiej że "sygnał" jest prawie nie do podrobienia (chyba, ze ktoś ma założony podsłuch) :D
