Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[Accès distant]Configuration et sécurité
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
Tom_
Guru
Guru


Joined: 20 May 2004
Posts: 395
Location: France

PostPosted: Tue Aug 29, 2006 3:15 pm    Post subject: [Accès distant]Configuration et sécurité Reply with quote

Bonjour,
Voila j'aimerais bien pouvoir accéder à ma machine à distance mais j'ai quelques questions à propos de la configuration de mon accès distant, de mes utilisateurs ...
Je n'ai qu'un utilisateur réel sur mon système : thomas. Il a accès en lecture, écriture et excécution à /home/thomas et à un disque dur de stockage (bientôt plusieurs) monté sur /media/documents.

Pour sécuriser l'accès j'ai crée un utilisateur distant : thomas_distant. Mon but était que thomas_distant n'est accès qu'en lecture à /media/documents pour éviter qu'il puisse modifier ou supprimer des fichiers à distance. Et j'aurais voulu que thomas_distant n'ait accès à qu'un seul répertoire en écriture (à première vue sa home).

A la base, j'ai pensé à ssh et un chroot mais au final je pense pas que ce soit possible vu que mon utilisateur distant devra accéder à sa /home et au disque de stockage soit deux points de montage différents. Et bon, je trouve que e chroot ca fait un peu bidouillage.

Finalement j'ai abandonné l'idée du chroot et j'ai décider de n'utiliser que ssh mais là j'ai quelques doutes :
- lorsque thomas_distant se connecterait il tomberait dans sa /home. Pour accéder à /media/documents, il donc serait obligé de remonter dans l'arborescence. Et je ne trouve pas ca super : je pense qu'au niveau sécurité c'est moyen, et qu'au niveau pratique c'est pas génial non plus. Donc y-a-t-il une meilleure solution?
- est ce que lors de la connexion je pourrais faire arriver directement thomas_distant dans /media/documents sans passer par sa /home? Le répertoire accessible en écriture serait donc dans ce cas, un des dossiers de /media/documemts. Est-ce que cette solution est viable?

Ou alors, est-ce qu'un serveur ftp couplé à ssl serait une meilleure idée, et plus facilement configurable?

J'aurais donc aimé connaitre votre avis sur une telle configuration. Mon objectif est d'avoir quelque chose de propre et de sécurisé (je ne veux pas une usine à gaz non plus). Est-ce que ce que je propose est correct et sécurisé? De meilleurs solutions sont-elles possibles?
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Tue Aug 29, 2006 3:19 pm    Post subject: Reply with quote

Tu peux créer un lien symbolique dans le home de thomas_distant pointant ds le /media/documents.
Ensuite, il te faudra jouer avec les permissions sur le groupe user afin de limiter l'ecriture sur ton /media/documents
_________________
Knight Gent00 Industries RiDeR !!!!
Back to top
View user's profile Send private message
Tom_
Guru
Guru


Joined: 20 May 2004
Posts: 395
Location: France

PostPosted: Tue Aug 29, 2006 4:11 pm    Post subject: Reply with quote

Merci de ta réponse.

J'avais pensé au lien mais j'étais sûr que ca soit une bonne solution.
Back to top
View user's profile Send private message
Darkael
Veteran
Veteran


Joined: 10 Aug 2004
Posts: 1321
Location: France

PostPosted: Tue Aug 29, 2006 4:33 pm    Post subject: Reply with quote

Pourquoi ne pas juste utiliser ton compte normal pour te connecter? SSH est un protocole déja sécurisé, ce n'est pas la peine de te prendre la tête pour tenter de rajouter une couche...
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Tue Aug 29, 2006 6:17 pm    Post subject: Reply with quote

Ben en fait Karnevil, il ne se prend pas la tête sur la sécurité du protocole mais sur la sécurité de ces données qu'il va partager si j'ai bien compris !
_________________
Knight Gent00 Industries RiDeR !!!!
Back to top
View user's profile Send private message
blasserre
Veteran
Veteran


Joined: 10 Feb 2004
Posts: 1362
Location: Lille, Vlaanderen

PostPosted: Tue Aug 29, 2006 6:43 pm    Post subject: Reply with quote

Tom_ wrote:
Merci de ta réponse.

J'avais pensé au lien mais j'étais sûr que ca soit une bonne solution.

c'est pas toujours une bonne solution, il y a des softs qui sont plus malins que toi (choisir dans samba | proftpd | apache)
perso quand le besoin s'en fait sentir j'utilise un
Code:

mount --bind -o ro /media/documents /home/thomas_distant

qui a le mérite de marcher partout et de pouvoir spécifier le read-only
_________________
benj

technicien professionnel, ascendant winner
Back to top
View user's profile Send private message
Tom_
Guru
Guru


Joined: 20 May 2004
Posts: 395
Location: France

PostPosted: Tue Aug 29, 2006 7:43 pm    Post subject: Reply with quote

C'est vrai que c'est peut-être un peu trop vu que je suis le seul à accéder à ces données, mais au moins ca mepermet d'en apprendre un peu plus sur la sécurité et linux...

Pour ceux qui ont un accès distant sur leur machine perso, vous procédez comment?

Merci de vos réponses.
Back to top
View user's profile Send private message
xr31Daisy
Guru
Guru


Joined: 19 Jul 2002
Posts: 326
Location: Paris, France

PostPosted: Tue Aug 29, 2006 8:37 pm    Post subject: Reply with quote

J'ai juste fait un accès SSH à mon compte utilisateur, avec une clé (mot de passe simple désactivé). L'utilisateur est dans wheel. Donc potentiellement, j'ai accès à toute la machine. J'ai mis une phrase de code sur la clé SSH pour éviter que n'importe qui puisse l'utiliser.

Et tant qu'à faire, j'ai changé le port du serveur SSH. Ca m'évite toutes les attaques automatisées qui essaient tous les logins les uns après les autres.
_________________
#include "pictures.h"
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Wed Aug 30, 2006 5:56 am    Post subject: Reply with quote

Et si tu veux aller un peux plus loin que xr31Daisy, tu peux mettre en place un daemon knock.
Il y a knockd dans portage il me semble.
Le principe est simple, sur ton serveur, tu ferme le port ssh, donc personne ne peut accéder à ce service et tu configure le daemon knock afin que lors d'une certaine "frappe" (cad l'envoie de paquet TCP/UDP sur certain ports) permettent l'ouverture du port SSH.
Ensuite tu installe un client knock sur ta machine et rentre la même frappe que sur ton serveur. Tu lance et si tout va bien, le daemon knock reconnait ta frappe et ouvre le port SSH seulement pour l'IP du client knock.
Tu fait ce que tu as à faire et une fois terminé, tu refait une frappe différente avec ton client knock afin de refermer le port SSH.

C'est super sympa comme soft.
Avec google tu trouveras quelque how-to.

[Edit] Yeaaaahh, I'am à l33t !!!
Champomy pour tt le monde !!!
[/Edit]
_________________
Knight Gent00 Industries RiDeR !!!!
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum