Pour éditer le wiki, il faut demander un compte à un Lapin !
Difference between revisions of "Passerelle SSH"
From Le L∞p's Wiki
m (fix cat) |
m (wikify) |
||
| Line 1: | Line 1: | ||
| − | Comment donner un | + | Comment donner un accès distant sur le réseau du Loop sans en compromettre la sécurité ni alourdir la gestion de [[:Category:Infrastructure|l'infrastructure]] ? |
| − | == | + | == Premières idées et résultats de recherche == |
| − | + | <span style="color: darkgrey">'''À la mano'''</span> : | |
| − | + | ||
| − | + | ||
| − | + | <tt>ssh user@passerelle "ssh user@cible"</tt> | |
| − | + | ||
| − | + | ||
| + | Cette méthode demande 2 mots de passe. | ||
| + | |||
| + | |||
| + | <span style="color: darkgrey">'''En configurant <tt>~/.ssh/config</tt> sur le client'''</span> : | ||
| + | * [http://blog.anotherhomepage.org/post/2009/11/09/Utilisation-transparente-d-une-passerelle-SSH Utilisation transparente d'une passerelle <tt>ssh</tt>] ; | ||
| + | * Automatisation de la méthode précédente (2 mots de passe à rentrer). | ||
| + | |||
| + | |||
| + | Au final, allez voir [http://www.ohmytux.com/belier/ ça]. | ||
| − | |||
== Questions en cours == | == Questions en cours == | ||
| − | N'autoriser que ssh ( dans un chroot ?) pour rebondir vers sa machine | + | N'autoriser que <tt>ssh</tt> (dans un <tt>chroot</tt> ?) pour rebondir vers sa machine sur le réseau local du Loop : |
| − | * [http://www.queret.net/blog/post/2010/03/03/Chrooter-une-session-SSH-utilisateur | + | * [http://www.queret.net/blog/post/2010/03/03/Chrooter-une-session-SSH-utilisateur <tt>ssh</tt> dans un <tt>chroot</tt>] |
| − | Comment faire pour utiliser les | + | Comment faire pour utiliser les identifiants et mots de passe de la machine cible, pour ne pas avoir a gérer les utilisateurs sur la passerelle : |
| − | * | + | * Autoriser toute connexion mais tuer toute session qui ne serait pas <tt>ssh</tt> vers une machine locale (limiter le rebond vers l'extérieur par n'importe qui) toutes les ''X'' secondes (''X'' = 10 ?). Cette solution répond aussi à la question du nombre de mots de passe... Est-ce seulement possible ? |
| − | ** [http://www.linux-france.org/article/devl/sshcvs_fr.html | + | **[http://www.linux-france.org/article/devl/sshcvs_fr.html <tt>'''cvs'''</tt> via <tt>'''ssh'''</tt>] Un contournement, mais ça paraît lourd coté client... |
| − | * | + | * '''Obligation d'utiliser un ''user-agent'' pour utiliser une clé RSA ?''' Impossible de stocker la clé privée sur la passerelle... . |
| − | Comment faire pour n'avoir | + | |
| − | * [http://linux-attitude.fr/post/Connexion-sans-mot-de-passe | + | Comment faire pour n'avoir à rentrer son mot de passe qu'une seule fois (ou jamais sans mot de passe lié à la clé) : |
| − | * [http://www.unixwiz.net/techtips/ssh-agent-forwarding.html | + | * [http://linux-attitude.fr/post/Connexion-sans-mot-de-passe Utilisation des clés RSA] |
| + | * [http://www.unixwiz.net/techtips/ssh-agent-forwarding.html Avec le ''user-agent''] | ||
== Mise en place == | == Mise en place == | ||
| − | + | Reste à trouver une petite machine, y mettre une Debian de base avec <tt>ssh</tt> uniquement et transférer le port 22 de la Freebox vers la passerelle. | |
Configuration de base : | Configuration de base : | ||
* Root non autorisé. | * Root non autorisé. | ||
* Utilisation de la version 2 uniquement. | * Utilisation de la version 2 uniquement. | ||
| + | |||
[[Category:Projets]] | [[Category:Projets]] | ||
Revision as of 16:34, 18 December 2012
Comment donner un accès distant sur le réseau du Loop sans en compromettre la sécurité ni alourdir la gestion de l'infrastructure ?
Premières idées et résultats de recherche
À la mano :
ssh user@passerelle "ssh user@cible"
Cette méthode demande 2 mots de passe.
En configurant ~/.ssh/config sur le client :
- Utilisation transparente d'une passerelle ssh ;
- Automatisation de la méthode précédente (2 mots de passe à rentrer).
Au final, allez voir ça.
Questions en cours
N'autoriser que ssh (dans un chroot ?) pour rebondir vers sa machine sur le réseau local du Loop :
Comment faire pour utiliser les identifiants et mots de passe de la machine cible, pour ne pas avoir a gérer les utilisateurs sur la passerelle :
- Autoriser toute connexion mais tuer toute session qui ne serait pas ssh vers une machine locale (limiter le rebond vers l'extérieur par n'importe qui) toutes les X secondes (X = 10 ?). Cette solution répond aussi à la question du nombre de mots de passe... Est-ce seulement possible ?
- cvs via ssh Un contournement, mais ça paraît lourd coté client...
- Obligation d'utiliser un user-agent pour utiliser une clé RSA ? Impossible de stocker la clé privée sur la passerelle... .
Comment faire pour n'avoir à rentrer son mot de passe qu'une seule fois (ou jamais sans mot de passe lié à la clé) :
Mise en place
Reste à trouver une petite machine, y mettre une Debian de base avec ssh uniquement et transférer le port 22 de la Freebox vers la passerelle.
Configuration de base :
- Root non autorisé.
- Utilisation de la version 2 uniquement.
