Pages : 1
#1 Le 29/10/2005, à 19:37
- mars
ssh simplement ?
Voila j'ai :
- un fixe sous Kubuntu de maniére permanente
- un laptop sous Kubuntu
- un modem routeur livebox
j'aimerais pouvoir :
- accéder a certains dossier sur mon ordinateur fixe depuis mon portable que ca soit depuis mon reseau local ou de maniére distante par le net
- exécuter certaines commandes sur mon fixe depuis mon portable en local et en distant
- faire de l'export display du fixe vers le portable en local et en distant
l'etat de mon réseau est ceci :
le fixe est connecté en ip fixe au routeur (ip : 192.168.1.11) avec comme nom d'hôte ubuntu1
le portable est connecté en dhcp au routeur en local ou avec n'importe quelle type de connection en distant et a pour nom d'hote : ubuntulaptop
le routeur n'est pas en ip fixe mais j'ai un dns sur dyndns avec une adresse que je nommerai mars.dyndns.org
Je crois avoir compris que pour cela il fallait que j'installe openssh-server sur mon fixe ce que j'ai fait et la tout se corse. J'ai lu ce tuto : http://wiki.ubuntu-fr.org/applications/ssh ainsi que celui ci http://lea-linux.org/cached/index/Reseau-secu-ssh.html mais je n'y comprend vraiment rien.
Je vois que je dois faire quelque chose ressemblant a ca : fish://<username>@<hostname> pour avoir accés a mes répertoires distant depuis konqueror mais par quoi dois je remplacer username et hostname je ne sais pas? De meme il ne faut pas configurer le serveur ssh avant ca?
je ne cherche pas a avoir un systéme a la pointe de la sécurité sachant que je n'abrite pas vraiment de données vitales sur mon systéme mais c'est vrai que j'aimerais éviter qu'il soit accessible a n'importe qui. Donc voila ya t'il un moyen simple de faire ce que j'essai de faire?
Merci d'avance pour vos renseignements.
Hors ligne
#2 Le 29/10/2005, à 21:39
- nikko
Re : ssh simplement ?
username :le nom de login que tu utilises sur la machine où tu veux te connecter (mars peut-être)
host: l'adresse de la machine où tu veux te connecter (depuis ton portable en local se serait 192.168.1.11 ou ubuntu1 si défini dans /etc/hosts)
Pour te connecter à ton fixe depuis internet tu dois activer le transfert de port sur ton routeur livebox:
mars.dyndns.org:22 --> 192.168.1.11:22
En googlant rapidement tu peux activer ça via l'interface web de ta livebox dans
"Serveurs LAN"-->ajouter.
- remplis les champs comme il faut :
nom de serveur : quelque chose comme ssh
accès activé : oui
protocole : tcp
du port : 22
au port : 22
adresse ip locale :192.168.1.11
Pour faire de l'export display je crois qu'il suffit de se connecter en rajoutant l'option -X.
Pour la config du serveur, tu peux regarder le fichier /etc/ssh/sshd_config et vérifier "X11Forwarding yes".
Il faut aussi que le serveur X écoute sur tcp pour faire de l'export display. (sudo gdmsetup puis onglet "Sécurité" et décoche "Toujours interdire les connexions TCP...").
Hors ligne
#3 Le 29/10/2005, à 22:48
- mars
Re : ssh simplement ?
merci beaucoup pour ces réponses j'ai reussi a tout faire marcher.
Si je puis me permettre ce genre d'info claire et assez explicite mériterait d'etre mise dans le wiki.
Sinon est t'il possible d'interdire comme en ftp a un utilisateur qui se connecte en ssh d'utilisé une commande (genre rm). j'aimerais faire ca pour que si quelqu'un se log en ssh sur mon compte il ne puisse rien effacer.
Hors ligne
#4 Le 29/10/2005, à 23:44
- nikko
Re : ssh simplement ?
Sinon est t'il possible d'interdire comme en ftp a un utilisateur qui se connecte en ssh d'utilisé une commande (genre rm). j'aimerais faire ca pour que si quelqu'un se log en ssh sur mon compte il ne puisse rien effacer.
Je m'en suis toujours tenu à de la configuration basique avec ssh. Mais en regardant un peu, je suis retombé sur ce qu'explique le wiki. Quand les authentifications par clés sont mis en place, on peut n'autoriser que certaines commandes par utilisateur.
Mais c'est un peu radical, tu vas prendre un certain temps à lister toutes les commandes que tu veux utiliser. C'est plutôt utile quand on veut automatiser des tâches par un script en augmentant la sécurité au maximum.
Ça ne répond pas à ta question. Je vais te proposer un truc cracra, qui sera effectif via ssh mais aussi en local. Si quelqu'un a mieux qu'il parle maintenant...
On va bêtement jouer avec les permissions.
De façon normale rm peut être exécuté par le propriétaire, le groupe et n'importe qui.
Si tu modifies le groupe (vers admin par exemple), et que tu empêches n'importe qui d'exécuter rm. Il n' y a plus que toi et root à pouvoir lancer rm (normalement tu fais partie de admin).
Tu n'as plus qu'a créer un compte sshguest par exemple qui ne sera pas dans admin et qui ne pourra pas faire de rm, ou d'autres commandes modifiées de la même façon.
Tu peux en plus n'autoriser que certaines personnes à se connecter par ssh (AllowUsers dans sshd_config).
Voilà l'idée, dans la pratique ça donne.
#creation de l'utilisateur invite via ssh:
Système-->Administration-->Utilisateurs et groupes: Ajouter un utilisateur
#Tu ne prends surtout pas "Administrator" comme profil dans l'onglet "Avancé" sinon il serait dans le groupe admin.
#Modification des permissions de la commande dans un terminal
#On la trouve
which rm
#ça affiche /bin/rm
#on change le groupe
sudo chgrp admin /bin/rm
#on enlève le droit d'exécution à n'importe qui ([b]o[b/]thers)
sudo chmod o-x /bin/rm
#tu peux tester que sshguest n'a pas le droit de faire la commande rm:
su - sshguest
#rm+touche tabulation 2 fois ne liste pas rm
J'espère avoir répondu et ne pas avoir dit proposé une trop grosse connerie.
Hors ligne
#5 Le 30/10/2005, à 10:54
- mars
Re : ssh simplement ?
alors déja merco beaucoup du temps passer a chercher comment faire ceci et du temps passer a me répondre! j'ai de mon coté fait pas mal d'essai et de recherche. Je suis arriver a faire pas mal de chose et a une conclusion et deux probléme.
J'ai compris que pour sécurisé mon accés sachant que je me connecterais en ssh toujours depuis la meme machine il faut que j'utilise une clé privé/publique. Ca c'est pour la conclusion. Apres le probléme c'est que j'ai pas mal lu et que j'ai rien compris a ces histoires de passphrase et autre...
Sinon l'autre probléme (mais ca semble etre impossible en ssh et ca concerne apparemment plutot vpn et donc un autre post) c'est que j'aimerais ne pas avoir a fermer une appli sur le serveur pour en prendre le controle ou alors pouvoir apres la relancer sur le serveur depuis le client. Je m'explique par un exemple : mon serveur tourne 24h/24 avec xchat et kopete de lancé si je veux donc utiliser en ssh ces deux applications je dois faire un killall kopete xchat puis les relancer et j'aurais donc l'interface des appli sur mon client seulement une fois que j'ai fini de les utiliser je voudrais pouvoir avant de fermer ma connexion ssh les relancer sur le serveur. Mais la il semble que ca ne soit pas possible. Je me trompe?
Hors ligne
#6 Le 30/10/2005, à 18:06
- mars
Re : ssh simplement ?
bon pour ssh c réglé merci beaucoup a nikko pour son aide précieuse!
Hors ligne
#7 Le 12/01/2006, à 21:07
- sbk
Re : ssh simplement ?
Salut!
Bon je resort ce post d'un peu loin, mais j'ai un pb avec un config similaire :
- un fixe sous ubuntu
- un laptop sous Windows ( mais avec putty sa roule )
- un modem routeur livebox
ssh installé et opérationel sur le fixe, du moins en local. par contre j'arrive pas a joindre mon server ssh depuis l'exterieur.
coté livebox sa devrais etre bon. mais il y a bien un pb quelque par sinon sa fonctionnerais.
alors si vous avez des idées. je suis preneur.
PS : je teste depuis le reseau local mais en entrant l'IP publique de la livebox. sa peut venir de là ?
#8 Le 12/01/2006, à 21:37
- nikko
Re : ssh simplement ?
Bonsoir,
Quand tu dis "côté livebox ça devrait être bon", ça veut dire que tu as activé la translation d'adresse dans l'administration de la livebox (onglets serveurs lan), c'est ça?
Normalement en testant ssh sur l'adresse ip publique, ça se comporte pareil depuis la machine locale, tu 'sors ' sur internet pour revenir chez toi. Je ne pense pas que ça gène.
Si tu veux, tu m'envoies ton adresse ip par mp et j'essaye de me connecter. Je devrais au moins le prompt pour le mot de passe.
Hors ligne
Pages : 1