Pour éditer le wiki, il faut demander un compte à un Lapin !

Difference between revisions of "Passerelle SSH"

From Le L∞p's Wiki
Jump to: navigation, search
(Premieres idées et résultats de recherche)
m (+cat +wikify)
Line 1: Line 1:
 +
Comment donner un acces distant sur le reseau du Loop, sans en compromettre la securite, ni alourdir la gestion de [[:Category:Infrastructure|l'infrastructure]] ?
 +
 
== Premieres idées et résultats de recherche ==
 
== Premieres idées et résultats de recherche ==
  
Line 14: Line 16:
 
== Questions en cours ==
 
== Questions en cours ==
  
* n'autoriser que ssh ( dans un chroot ?) pour rebondir vers sa machine du reseau local du loop.  
+
N'autoriser que ssh ( dans un chroot ?) pour rebondir vers sa machine du reseau local du loop.  
** [http://www.queret.net/blog/post/2010/03/03/Chrooter-une-session-SSH-utilisateur SSH dans un chroot]
+
* [http://www.queret.net/blog/post/2010/03/03/Chrooter-une-session-SSH-utilisateur SSH dans un chroot]
  
* Comment faire pour utiliser les users et mdp de la machine cible, pour ne pas avoir a gerer les users sur la passerelle ?  
+
Comment faire pour utiliser les users et mdp de la machine cible, pour ne pas avoir a gerer les users sur la passerelle ?  
** authoriser toute connexion mais killer toute session qui serait pas un ssh vers une machine locale (limiter le rebond vers l'exterieur par n'importe qui) toutes les X secondes. (X = 10 ?). Cette solution répond aussi a la question du nombre de mdp ... est-ce possible seulement ?
+
* authoriser toute connexion mais killer toute session qui serait pas un ssh vers une machine locale (limiter le rebond vers l'exterieur par n'importe qui) toutes les X secondes. (X = 10 ?). Cette solution répond aussi a la question du nombre de mdp ... est-ce possible seulement ?
*** [http://www.linux-france.org/article/devl/sshcvs_fr.html CVS via SSH] un contournement, mais ca parait lourd coté client ...
+
** [http://www.linux-france.org/article/devl/sshcvs_fr.html CVS via SSH] un contournement, mais ca parait lourd coté client ...
** obligation d'utiliser un user-agent pour utiliser une clef RSA ? (impossible de la stocker la clef privée sur la passerelle ...)
+
* obligation d'utiliser un user-agent pour utiliser une clef RSA ? (impossible de la stocker la clef privée sur la passerelle ...)
  
* Comment faire pour n'avoir a rentrer son mdp qu'une seule fois ? (ou 0 sans mdp sur la clef).  
+
Comment faire pour n'avoir a rentrer son mdp qu'une seule fois ? (ou 0 sans mdp sur la clef).  
** [http://linux-attitude.fr/post/Connexion-sans-mot-de-passe utilisation des clefs RSA]
+
* [http://linux-attitude.fr/post/Connexion-sans-mot-de-passe utilisation des clefs RSA]
** [http://www.unixwiz.net/techtips/ssh-agent-forwarding.html] avec le user-agent
+
* [http://www.unixwiz.net/techtips/ssh-agent-forwarding.html avec le user-agent]
  
 
== Mise en place ==
 
== Mise en place ==
  
 
reste a trouver une petite machine, y mettre une debian de base avec juste ssh. et forwarder le port 22 de la freebox vers la passerelle.
 
reste a trouver une petite machine, y mettre une debian de base avec juste ssh. et forwarder le port 22 de la freebox vers la passerelle.
:Configuration de base :
+
 
:Root non autorisé.
+
Configuration de base :
:Utilisation de la version 2 uniquement.
+
* Root non autorisé.
 +
* Utilisation de la version 2 uniquement.
 +
 
 +
[[Category:Projets]]
 +
[[Category:Logistique]]

Revision as of 06:21, 11 July 2012

Comment donner un acces distant sur le reseau du Loop, sans en compromettre la securite, ni alourdir la gestion de l'infrastructure ?

Premieres idées et résultats de recherche

A la mano :

  • ssh user@passerelle "ssh user@cible"
  • Cette méthode demande 2 mots de passe.

En configurant ~/.ssh/config sur le client :


au final aller voir : ca

Questions en cours

N'autoriser que ssh ( dans un chroot ?) pour rebondir vers sa machine du reseau local du loop.

Comment faire pour utiliser les users et mdp de la machine cible, pour ne pas avoir a gerer les users sur la passerelle ?

  • authoriser toute connexion mais killer toute session qui serait pas un ssh vers une machine locale (limiter le rebond vers l'exterieur par n'importe qui) toutes les X secondes. (X = 10 ?). Cette solution répond aussi a la question du nombre de mdp ... est-ce possible seulement ?
    • CVS via SSH un contournement, mais ca parait lourd coté client ...
  • obligation d'utiliser un user-agent pour utiliser une clef RSA ? (impossible de la stocker la clef privée sur la passerelle ...)

Comment faire pour n'avoir a rentrer son mdp qu'une seule fois ? (ou 0 sans mdp sur la clef).

Mise en place

reste a trouver une petite machine, y mettre une debian de base avec juste ssh. et forwarder le port 22 de la freebox vers la passerelle.

Configuration de base :

  • Root non autorisé.
  • Utilisation de la version 2 uniquement.