Pour éditer le wiki, il faut demander un compte à un Lapin !

Passerelle SSH

From Le L∞p's Wiki
Revision as of 17:22, 18 December 2012 by ToM (Talk | contribs) (Pas de HTML ! Et pas trop de formatage plz...)

Jump to: navigation, search

Comment donner un accès distant sur le réseau du Loop sans en compromettre la sécurité ni alourdir la gestion de l'infrastructure ?

Premières idées et résultats de recherche

À la mano

 ssh user@passerelle "ssh user@cible"

Cette méthode demande 2 mots de passe.

En configurant ~/.ssh/config sur le client

Au final, allez voir ça.

Questions en cours

N'autoriser que ssh (dans un chroot ?) pour rebondir vers sa machine sur le réseau local du Loop :

Comment faire pour utiliser les identifiants et mots de passe de la machine cible, pour ne pas avoir a gérer les utilisateurs sur la passerelle :

  • Autoriser toute connexion mais tuer toute session qui ne serait pas ssh vers une machine locale (limiter le rebond vers l'extérieur par n'importe qui) toutes les X secondes (X = 10 ?). Cette solution répond aussi à la question du nombre de mots de passe... Est-ce seulement possible ?
    • cvs via ssh Un contournement, mais ça paraît lourd coté client...
  • Obligation d'utiliser un user-agent pour utiliser une clé RSA ? Impossible de stocker la clé privée sur la passerelle...

Comment faire pour n'avoir à rentrer son mot de passe qu'une seule fois (ou jamais sans mot de passe lié à la clé) :

Mise en place

Reste à trouver une petite machine, y mettre une Debian de base avec ssh uniquement et transférer le port 22 de la Freebox vers la passerelle.

Configuration de base :

  • Root non autorisé.
  • Utilisation de la version 2 uniquement.