Forum

Bonjour à tous,
Je me pose une question depuis quelque temps : Est-il possible de faire de la télégestion d'ordinateurs sans utiliser Teamviewer, et sans avoir à faire des usines à gaz où il faut ouvrir des ports. Pour que la personne télégérée ai le moins de choses à faire, et surtout éviter les choses compliquées.
Que ça soit simplement en ligne de commande (via ssh) ou en mode graphique (vnc je suppose) j'ai du mal à me faire à l'idée.

Pourquoi pas teamviewer ?
Compatible Linux et Windows sans distinction, fonctionne sans bidouillages, c'est très simple à utiliser.
Mais, j'ai très peu confiance en ce logiciel. Lorsque on utilise teamviewer, on peut parfois avoir besoin de faire des manipulations, et rentrer des informations qui peuvent être critiques. Du coup, je préfère éviter d'utiliser ce genre de logiciel. Si c'est pour mettre des infos sensibles dans une boite noire, j'aimerai mieux privilégier des alternatives plus transparentes dans leurs fonctionnements. Ai-je tort?

Pourquoi pas ssh ?
SSH est normalement plutôt bien sécurisé (même si ça me fait un poil peur de faire ça à travers le net). Maintenant, si besoin de faire des mises à jour ou d'installer des logiciels, c'est pas forcément conseillé d'utiliser les identifiants root via ce genre de canal. D'autre part, le gros problème avec ça : comment gérer toute la partie réseau ? Et là c'est la colle, laisser un port 22 ouvert sur la box, c'est juste ultra dangereux.
Je sais pas s'il est possible de couper le ssh, et éviter qu'il se démarre tout seul, mettre un raccourci pour pouvoir démarrer le service ssh ce qui permettra de prendre la main, et couper de nouveau le service une fois la télégestion terminée. Ça pourrait être une partie de solution je pense.

Pourquoi pas vnc ?
C'est un protocole que j'ai assez peu utilisé. Ce que je sais c'est ce que ça permet un affichage graphique. Ça pourrait être une solution, bien qu'il aurait des problèmes similaires à ssh pour toutes les histoires de réseaux. Ensuite, il me semble avoir déjà entendu de la bouche d'un technicien qui faisait un peu de sécu que c'était un protocole qui avait pas mal de failles. Et ça pour le coup (si c'est vrai et que ça a pas changé) c'est pas top non plus…

Voilà du coup, si vous avez des idées sur la question, je suis preneur.
Non pas que c'est quelque chose que je fais régulièrement, mais ça fait un moment que je me pose la question : comment on peut se passer de teamviewer? Et je suis sûr que ce genre de conversation pourra être utile à un bon nombre de personnes ici…

Édité par Comral Le 12/11/2019 à 18h44

Pour ssh, il faut bloquer l'accès à root via ssh, point barre.
On créé un profile utilisateur, et on se connecte à cet utilisateur en ssh, puis on "switch user" su pour passer root.
Effectivement, on ne laisse jamais je pour 22 ouvert ! Que dis tu de…64927 ? Ce n'est qu'une configuration.
Top du top, bloquer l'accès ssh par mdp et uniquement autoriser l'accès par clef/certificat.
Pour vnc, rdc, pas d'expérience…

perso j'administre à distance via ssh, j'ouvre un port bidon sur la box, puis ça part sur un routeur en local qui renvoie sur un autre port où se trouve le serveur ssh à partir duquel je peux toucher tous les autres postes de mon réseau local. J'ai rajouté également un certain nombre d'autres fioritures, comme le filtrage par MAC, puisque j'administre toujours du même PC, ensuite sur openssh en plus de l'accès par mot de passe, j'utilise la clé de chiffrement.

Ah Funix tu fais "mot de passe plus clef" ? Est-ce que l'usage de la clef ne rends pas le mot de passe... inutile ?

Bonjour,

Je viens poser une question plus qu'apporter une réponse. Je ne suis pas un expert mais la méthode de funix m'a l'air compliquée pour un gain de sécurité minime. J'ai toujours vu que la méthode de Jybz était suffisante. Régler le serveur ssh pour ne pas admettre le login en root et n'autoriser que la connexion par clef/certificat. Y-a-t'il une raison d'utiliser une méthode plus complexe ?

@Comral : comme dit Jybz, tu peux demander à ton PC d'écouter sur n'importe quel port. L'important est de se connecter sur le bon port. Mais quoiqu'il arrive tu dois permettre les connexions entrante sur l'un des ports si tu veux te connecter. Pour de l'administration à distance, tu passes forcément par le réseau, quelque soit le protocole utilisé. ssh empêche quiconque de lire ce qui se passe entre l'émetteur et le receveur. VNC peut se configurer afin de passer par ssh ou vpn et ainsi être sécurisé. Je ne connais teamviewer que de nom. Certes le logiciel est propriétaire mais c'est une société allemande ce qui offre en général de meilleurs garanties pour la vie privée qu'aux États Unis.

Édité par Yuusha Le 13/11/2019 à 07h57

Ça me fait pensé à une histoire, un ami utilis(ait?) souvent TeamViewer, et souvent, il se faisait bloquer son compte pour "usage inapproprié" (en gros, c'est gratuit pour le particulier, mais payer pour les professionnels), et comme il l'utilisait un peu trop souvent (plusieurs heures par jours pour accéder à un autre PC), la société le considérait comme "professionnel". On le voyait sans cesse appeler sa copine pour demander de ré-accepter le nouveau compte (il me semble que ça marche avec des comptes non ?).

J'ai peut-être une idée. Parce que je me suis dit, il y aura un autre problème avec cette méthode. Retrouver l'IP publique du routeur du pc télégéré.

Si je crée un serveur openvpn côté gestionnaire. La personne en face a juste à se connecter à ce serveur VPN puis le gestionnaire devrait pouvoir prendre la main facilement sur la machine connectée au VPN.

Par contre, ça veut dire qu'il faut envoyer l'adresse IP publique du gestionnaire et un mot de passe (pour éviter de tout laisser ouvert aux quatre vents) au télégéré, pour qu'il puisse se connecter à ce vpn. Et après on peut utiliser un peu tous les protocoles qu'on veut. Les seuls freins ça peut être le pare-feu des différents ordis…

Un système comme ça, ça pourrait être viable selon vous?

c'est la philosophie de la "ceinture+bretelle+casque lourd" ou bien encore du glacis+douve+muraille des citadelles Vauban, quand tu as réussi péniblement à franchir une première barrière, il y en a une deuxième puis une troisième, elles seront suffisantes pour décourager 99,9% des attaquants