Forum

Bonjour à toutes et tous

Tout est parti de ma fille qui va étudier à l'étranger et qui accepte depuis des années ma lubie de se passer de Windows
Je ne veux pas qu'elle en pâtisse et j'ai donc besoin d'une solution de prise de contrôle à distance pour la dépanner, si besoin ; pour l'instant tout roule mais "whish the best, prepared for the worst".

Et puis, une discussion sur IRC avec notre puits de connaissance qu'est Jybz (merci ), m'amène à creuser la notion de tunnel SSH.

Je relate le tout (ou presque) dans ce petit tuto :
https://wiki.mageia.org/en/Contr%C3%B4le_%C3%A0_distance_avec_X11VNC_et_tunnel_SSH

Si vous avez 5 minutes pour me relire, sur le fond et la forme, cela serait super sympa.

N'hésitez pas à me faire part dans ce post des ajustements à faire.
Vous pouvez aussi corriger les erreurs de typo directement, pour ceux qui ont l'accès en publication.

A+

je suis dans une situation identique, ma fille est en erasmus en Espagne, elle a un thinkpad en double boot mageia 8/windows, mais elle utilise quasi exclusivement linux, j'utilise également ssh pour y accéder au cas où, mais je fais tout en ligne de commande. J'ai également créé un VPN pour qu'elle puisse accéder au réseau local familial à distance

Bonjour,

Pourquoi ne pas évoquer la possibilité de créer un serveur VPN ( openvpn, wireguard ( c' est aussi du vpn ceci aussi, non ?) par exemple) chez la personne qui assiste comme solution alternative ? Désolé, lors de ma première lecture, je n' ai pas vu la mention " à l' instar d' un VPN"

De toute façon, l' une comme l' autre exigent une préparation en amont ( surtout si dans le cas du tunnel SSH on fait une authentification par clé privée).

Sinon:

Dans la partie "2 méthodes d' ouverture du tunnel SSH"

"Sinon, la prise de contrôle pourrait se faire à l'insu de l'utilisateur" => oui et non, il doit bien exister des logiciels qui permettent d' indiquer des connexions entrantes ( à l' instar de Mandi ( bon, il ne fonctionne pas, mais je serais surpris qu' une alternative n' existe pas)).

"Par exemple, la personne à assister à un ordinateur portable et se connecte à un réseau universitaire n'autorisant pas les connexions entrantes" => , l' inverse est également possible, le port SSH ( voir une détection du protocole) peut aussi être bloqué en sortie ( la plupart du temps un utilisateur aura principalement besoin d' un accès au web et éventuellement imap(s))

Restriction de la connexion avec certificat SSL => c' est un certificat qui est utilisé ici et pas uniquement une clé protégée par une passphrase ? Je rajouterais que la protection de la clé privée est importante et l' interception par un tiers pourrait entrainer une compromission du système mis en place même protégée par une passphrase ( qui est toujours attaquable par bruteforce).

Édité par nic80 Le 11/09/2021 à 14h36

Merci nic80 d'avoir pris le temps de lire (et de relire ) ma prose.
Voici quelques réponses à tes commentaires.


Je vais regarder Mandi ou équivalent car je ne connais pas et c'est intéressant.
Ce que je veux dire par cette phrase, c'est qu'en l'état, l'accès est ouvert et silencieux.
Je renvoie alors à la section "Eviter les intrus ou les embarras" pour discuter des moyens pour prévenir cela.
C'est là que je pense ajouter Mandi ou ce qui est pertinent, suite à ton commentaire.


Effectivement. Je n'ai pas encore rencontré ce cas mais c'est possible. Si je le rencontre, je le documenterai. Il y a une possibilité de contourner cela avec du multiplexing, de façon à exploiter le port 443 par exemple. Je ne le détaillerai pas là pour ne pas alourdir. De plus, il faudrait vraiment que je le mette en œuvre pour bien en parler !
Je vais peut-être mettre une note quand même dans le wiki pour dire que cela peut être un souci.


Alors là, oui, j'ai allègrement créé de la confusion !!!
J'ai modifié pour ne parler que de clé ; qui est vraiment ce qu'il faut dire !
Je parle du risque lié avec la clé privée dans le Warning, juste après comment exporter la clé publique sur le serveur.
C'est vrai que je ne détaille pas beaucoup. Je reste hésitant à rajouter plus de choses connexes, car le wiki est déjà long. A voir.

Merci encore. Ajustements faits.

A+

Bonjour,

En faisant un clic, le lien vers la version anglaise est erronée ( ça parle d' une chose pas trop en relation ( unbound)...

Pour l' accès à distance silencieux, c' est bien comme ça que je l'avais compris. C' est pour ça que j' ai mentionné Mandi ( mais qui ne semble plus fonctionner bien que le service soit toujours présent mais désactivé). Il me semble que c' est lui qui fait les fameuses notifications qui sont proposées quand on règle le parefeu ( mais je ne peux pas vérifier, vu que ça ne marche pas ( et je n' ai pas trouvé pourquoi ( un sous module perl plus maintenu qui ne fait plus les connexions à d-bus correctement ?)

Édité par nic80 Le 11/09/2021 à 15h38

Re-

La version anglaise va suivre. Par contre, je n'ai pas vu qu'elle renvoie vers unbound. Je regarde cela.

Merci

A+

Bonjour,

Bon pour Mandi c' est une mauvaise idée, même si cela fonctionnait...

En effet, cela ne fait que mentionner la tentative de connexion mais ne la bloque pas ( et la notification ne reste pas). Voila ce que ça donne par exemple ( désolé pour la version, mais je n' ai retrouvé que ça sur mon disque



Par contre, un IDS/IPS peut être plus intéressant dans ce cas ( tiens d' ailleurs fail2ban semble en être un, reste plus qu' a trouver un moyen de faire une notification graphique ).

https://fr.wikipedia.org/wiki/Syst%C3%A8me_de_d%C3%A9tection_d%27intrusion

Sinon une solution peut être "plus simple" à mettre en place si le système qui assiste dispose d' une ip fixe est de mettre une règle iptables quelque part.

edit: il reste encore 2 lignes qui parlent de certificats ( dans la rubrique "si cela ne fonctionne pas")

Édité par nic80 Le 11/09/2021 à 15h35

Certificat enlevé à la fin du wiki. Il ne devrait plus en rester ; enfin, normalement...

La commande notify-send "Connexion SSH" envoie la notification "Connexion SSH", par exemple.

Je viens de trouver un moyen de recevoir un email en cas de connexion SSH réussie :
https://medium.com/@alessandrocuda/ssh-login-alerts-with-sendmail-and-pam-3ef53aca1381

Donc, en théorie, si je remplace ou ajoute la commande de notification, cela devrait envoyer les alertes voulues.

Il n'y a plus qu'à essayer

Merci pour ton aide

l'email n'est pas un bon truc pour notifier l'utilisateur. Mais peut-être pour notifier l'administrateur sur un autre ordinateur.

En parlant de mandi et tout ça, je m'attends au prochain tuto de squid-f, le port knocking

Oui jybz. C’est notifier l’administrateur qui m’intéresse dans ce cas.
Car la personne qui va assister devrait être dans ce rôle. Plus, une petite notification pour montrer que la personne à assister vient de se connecter.

Port knocking, je ne connaissais pas et j’avais mal interprété en plus !
Donc, si d’autres sont ignares comme moi, voici une lecture rapide : https://fr.wikipedia.org/wiki/Port_knocking

La clé SSH (merci nic80 ) est déjà une sécurité supplémentaire intéressante. On pourrait ajouter l’authentification à 2 facteurs.
Bon, pour une utilisation somme toute limitée, j’en reste à la clé, à la mise en route du service sshd à la demande et à la désactivation de la redirection de port de la box quand pas utilisée.

A+ Les amis