Pour éditer le wiki, il faut demander un compte à un Lapin !
Difference between revisions of "Passerelle SSH"
From Le L∞p's Wiki
m (MàJ d'un lien) |
m (Text replace - "<tt>" to "<code>") |
||
| Line 14: | Line 14: | ||
ssh user@passerelle "ssh user@cible" | ssh user@passerelle "ssh user@cible" | ||
| − | Ceci peut être automatisé par l'utilisation de < | + | Ceci peut être automatisé par l'utilisation de <code>~/.ssh/config</tt><ref>[http://blog.anotherhomepage.org/post/2009/11/09/Utilisation-transparente-d-une-passerelle-SSH Utilisation transparente d'une passerelle <code>ssh</tt> via <code>ProxyCommand</tt>]</ref>. Par exemple pour se connecter sur le [[Serveur_MPD|MPD]] : |
Host mpd | Host mpd | ||
| Line 26: | Line 26: | ||
=== Chroot === | === Chroot === | ||
| − | N'autoriser que < | + | N'autoriser que <code>ssh</tt> (dans un <code>chroot</tt> ?) pour rebondir vers sa machine sur le réseau local du Loop : |
| − | * [http://www.queret.net/blog_old/post/2010/03/03/Chrooter-une-session-SSH-utilisateur < | + | * [http://www.queret.net/blog_old/post/2010/03/03/Chrooter-une-session-SSH-utilisateur <code>ssh</tt> dans un <code>chroot</tt>] |
=== Autres pistes === | === Autres pistes === | ||
Comment faire pour utiliser les identifiants et mots de passe de la machine cible sans avoir à les gérer sur la passerelle : | Comment faire pour utiliser les identifiants et mots de passe de la machine cible sans avoir à les gérer sur la passerelle : | ||
| − | * Autoriser toute connexion mais tuer toute session qui ne serait pas < | + | * Autoriser toute connexion mais tuer toute session qui ne serait pas <code>ssh</tt> vers une machine locale (limiter le rebond vers l'extérieur par n'importe qui) toutes les ''X'' secondes (''X'' = 10 ?). Cette solution répond aussi à la question du nombre de mots de passe... Est-ce seulement possible ? |
== Voir aussi == | == Voir aussi == | ||
| Line 38: | Line 38: | ||
=== Documentation === | === Documentation === | ||
| − | * [http://linux-attitude.fr/post/Connexion-sans-mot-de-passe Utilisation de < | + | * [http://linux-attitude.fr/post/Connexion-sans-mot-de-passe Utilisation de <code>ssh-agent</tt>] |
* [http://www.unixwiz.net/techtips/ssh-agent-forwarding.html An Illustrated Guide to SSH Agent Forwarding] | * [http://www.unixwiz.net/techtips/ssh-agent-forwarding.html An Illustrated Guide to SSH Agent Forwarding] | ||
Revision as of 22:27, 12 April 2013
Comment donner un accès distant sur le réseau du Loop sans en compromettre la sécurité ni alourdir la gestion de l'infrastructure ?
Contents
Cahier des charges
- On doit pouvoir atteindre une machine du LAN sans avoir un compte sur la passerelle ; la passerelle ne doit pas gérer les comptes utilisateurs.
- SSH version 2 uniquement[1]
Recherche
Situation actuelle
Pour l'instant on rebondit sur la passerelle :
ssh user@passerelle "ssh user@cible"
Ceci peut être automatisé par l'utilisation de ~/.ssh/config</tt>[2]. Par exemple pour se connecter sur le MPD :
Host mpd
HostName lan.leloop.org
HostKeyAlias mpd
Port 2345
ProxyCommand ssh -q lan.leloop.org nc -q0 mpd.lan.leloop.org 6789
Problème : il faut un compte sur la passerelle, et on ne veut pas forcément multiplier les comptes sur le routeur.
Chroot
N'autoriser que <code>ssh</tt> (dans un <code>chroot</tt> ?) pour rebondir vers sa machine sur le réseau local du Loop :
Autres pistes
Comment faire pour utiliser les identifiants et mots de passe de la machine cible sans avoir à les gérer sur la passerelle :
- Autoriser toute connexion mais tuer toute session qui ne serait pas <code>ssh</tt> vers une machine locale (limiter le rebond vers l'extérieur par n'importe qui) toutes les X secondes (X = 10 ?). Cette solution répond aussi à la question du nombre de mots de passe... Est-ce seulement possible ?
Voir aussi
Documentation
Outils
- Belier : automatisation de rebonds par génération de scripts.
