Pour éditer le wiki, il faut demander un compte à un Lapin !

Difference between revisions of "Passerelle SSH"

From Le L∞p's Wiki
Jump to: navigation, search
m (fix cat)
m (wikify)
Line 1: Line 1:
Comment donner un acces distant sur le reseau du Loop, sans en compromettre la securite, ni alourdir la gestion de [[:Category:Infrastructure|l'infrastructure]] ?
+
Comment donner un accès distant sur le réseau du Loop sans en compromettre la sécurité ni alourdir la gestion de [[:Category:Infrastructure|l'infrastructure]] ?
  
== Premieres idées et résultats de recherche ==
+
== Premières idées et résultats de recherche ==
  
A la mano :
+
<span style="color: darkgrey">'''À la mano'''</span> :
* ssh user@passerelle "ssh user@cible"
+
* Cette méthode demande 2 mots de passe.
+
  
En configurant ~/.ssh/config sur le client :
+
  <tt>ssh user@passerelle "ssh user@cible"</tt>
* [http://blog.anotherhomepage.org/post/2009/11/09/Utilisation-transparente-d-une-passerelle-SSH Utilisation transparente d'une passerelle SSH]
+
* Automatisation de la méthode précédente, 2 mdp a rentrer.
+
  
 +
Cette méthode demande 2 mots de passe.
 +
 +
 +
<span style="color: darkgrey">'''En configurant <tt>~/.ssh/config</tt> sur le client'''</span> :
 +
* [http://blog.anotherhomepage.org/post/2009/11/09/Utilisation-transparente-d-une-passerelle-SSH Utilisation transparente d'une passerelle <tt>ssh</tt>] ;
 +
* Automatisation de la méthode précédente (2 mots de passe à rentrer).
 +
 +
 +
Au final, allez voir [http://www.ohmytux.com/belier/ ça].
  
au final aller voir : [http://www.ohmytux.com/belier/ ca]
 
  
 
== Questions en cours ==
 
== Questions en cours ==
  
N'autoriser que ssh ( dans un chroot ?) pour rebondir vers sa machine du reseau local du loop.
+
N'autoriser que <tt>ssh</tt> (dans un <tt>chroot</tt> ?) pour rebondir vers sa machine sur le réseau local du Loop :
* [http://www.queret.net/blog/post/2010/03/03/Chrooter-une-session-SSH-utilisateur SSH dans un chroot]
+
* [http://www.queret.net/blog/post/2010/03/03/Chrooter-une-session-SSH-utilisateur <tt>ssh</tt> dans un <tt>chroot</tt>]
  
Comment faire pour utiliser les users et mdp de la machine cible, pour ne pas avoir a gerer les users sur la passerelle ?
+
Comment faire pour utiliser les identifiants et mots de passe de la machine cible, pour ne pas avoir a gérer les utilisateurs sur la passerelle :
* authoriser toute connexion mais killer toute session qui serait pas un ssh vers une machine locale (limiter le rebond vers l'exterieur par n'importe qui) toutes les X secondes. (X = 10 ?). Cette solution répond aussi a la question du nombre de mdp ... est-ce possible seulement ?
+
* Autoriser toute connexion mais tuer toute session qui ne serait pas <tt>ssh</tt> vers une machine locale (limiter le rebond vers l'extérieur par n'importe qui) toutes les ''X'' secondes (''X'' = 10 ?). Cette solution répond aussi à la question du nombre de mots de passe... Est-ce seulement possible ?
** [http://www.linux-france.org/article/devl/sshcvs_fr.html CVS via SSH] un contournement, mais ca parait lourd coté client ...
+
**[http://www.linux-france.org/article/devl/sshcvs_fr.html <tt>'''cvs'''</tt> via <tt>'''ssh'''</tt>] Un contournement, mais ça paraît lourd coté client...
* obligation d'utiliser un user-agent pour utiliser une clef RSA ? (impossible de la stocker la clef privée sur la passerelle ...)
+
* '''Obligation d'utiliser un ''user-agent'' pour utiliser une clé RSA ?''' Impossible de stocker la clé privée sur la passerelle... .
  
Comment faire pour n'avoir a rentrer son mdp qu'une seule fois ? (ou 0 sans mdp sur la clef).
+
 
* [http://linux-attitude.fr/post/Connexion-sans-mot-de-passe utilisation des clefs RSA]
+
Comment faire pour n'avoir à rentrer son mot de passe qu'une seule fois (ou jamais sans mot de passe lié à la clé) :
* [http://www.unixwiz.net/techtips/ssh-agent-forwarding.html avec le user-agent]
+
* [http://linux-attitude.fr/post/Connexion-sans-mot-de-passe Utilisation des clés RSA]
 +
* [http://www.unixwiz.net/techtips/ssh-agent-forwarding.html Avec le ''user-agent'']
  
 
== Mise en place ==
 
== Mise en place ==
  
reste a trouver une petite machine, y mettre une debian de base avec juste ssh. et forwarder le port 22 de la freebox vers la passerelle.
+
Reste à trouver une petite machine, y mettre une Debian de base avec <tt>ssh</tt> uniquement et transférer le port 22 de la Freebox vers la passerelle.
  
 
Configuration de base :
 
Configuration de base :
 
* Root non autorisé.
 
* Root non autorisé.
 
* Utilisation de la version 2 uniquement.
 
* Utilisation de la version 2 uniquement.
 +
  
 
[[Category:Projets]]
 
[[Category:Projets]]

Revision as of 16:34, 18 December 2012

Comment donner un accès distant sur le réseau du Loop sans en compromettre la sécurité ni alourdir la gestion de l'infrastructure ?

Premières idées et résultats de recherche

À la mano :

 ssh user@passerelle "ssh user@cible"

Cette méthode demande 2 mots de passe.


En configurant ~/.ssh/config sur le client :


Au final, allez voir ça.


Questions en cours

N'autoriser que ssh (dans un chroot ?) pour rebondir vers sa machine sur le réseau local du Loop :

Comment faire pour utiliser les identifiants et mots de passe de la machine cible, pour ne pas avoir a gérer les utilisateurs sur la passerelle :

  • Autoriser toute connexion mais tuer toute session qui ne serait pas ssh vers une machine locale (limiter le rebond vers l'extérieur par n'importe qui) toutes les X secondes (X = 10 ?). Cette solution répond aussi à la question du nombre de mots de passe... Est-ce seulement possible ?
    • cvs via ssh Un contournement, mais ça paraît lourd coté client...
  • Obligation d'utiliser un user-agent pour utiliser une clé RSA ? Impossible de stocker la clé privée sur la passerelle... .


Comment faire pour n'avoir à rentrer son mot de passe qu'une seule fois (ou jamais sans mot de passe lié à la clé) :

Mise en place

Reste à trouver une petite machine, y mettre une Debian de base avec ssh uniquement et transférer le port 22 de la Freebox vers la passerelle.

Configuration de base :

  • Root non autorisé.
  • Utilisation de la version 2 uniquement.