Se connecter

Informatique

Linux

Sujet : [Blabla] le /pub des barbus libres
Google_Bot
Niveau 12
09 décembre 2014 à 22:08:42

Ha tiens bah j'allais justement parler de sous-forums. Comme mentionné plus tôt, j'ai eu l'occasion de tester rapidement la fonctionnalité de sous-forums samedi pendant une énième beta (ou vendredi je sais plus).

Je n'en avais créé qu'un seul à cette occasion, c'était "Assistance technique Linux" (le "Linux" peut sembler redondant mais c'est un repère pour les personnes mettant le forum en favori... au cas où d'autres forums d'OS feraient la même chose par exemple).
Je pense que je vais le recréer car ça me manque déjà, mais j'aimerais ne pas non-plus sombrer dans la sous-forumite aigue qui frappe souvent les nouveaux modos/admins de forums :noel: (a.k.a un forum par distro, architecture, environnement de bureau...).

Par exemple dans le cadre du Raspberry-Pi, jusqu'à présent toutes les discussions à ce sujet tenaient relativement bien sur le topic officiel (listé dans les topics à ne pas manquer d'ailleurs), du coup je ne suis pas persuadé qu'un sous-forum consacré à cette machine seule serait judicieux.
C'est avant tout une question d'offre et de demande... si un jour le topic RPi se met à déborder (trop de discussions parallèles, menant à une lisibilité médiocre), évidemment, un sous-forum apparaîtra.

Si on parvient à concentrer tout l'aspect assistance technique (au sens rudimentaire "c'est cassé, comment réparer?"), le forum principal devrait prendre une allure un peu plus saine: un forum de discussion centré autour des distribs Linux/BSD et des logiciels gravitant autour. Les topics du style « que choisir pour X », « que pensez-vous du dernier Y » ou encore « je souhaite déployer un service Z, des conseils? » auraient leur place dans ce forum principal, tandis que les « j'ai pété T en faisant une màj » ou « erreur d'installation avec U » seraient mis dans le coin assistance.
Et NON, le forum assistance n'est pas censé devenir une poubelle. Plutôt une base de connaissances des problèmes fréquents et leurs solutions associées. À savoir que si la recherche fonctionne "par sous-forum", ça pourrait même devenir une pseudo-FAQ qui s'écrit toute seule (ou presque).

debjunk
Niveau 1
09 décembre 2014 à 23:50:12

Salut les gard, voilà j'aimerais pouvoir faire un truc pour pouvoir faire des mise a jours de paquet sur tout un réseaux, je m'explique, quand je télécharge des mise a jours sur une machine, la mise a jour ne s'effectue que sur cette machine, et j'aimerais que sa le fasse automatiquement sur toute les machines du réseaux. Le problème, c'est que je ne vois pas trop comment je pourrais faire sa, donc si quelqu'un pourrait m'aider, celà m'arrangerait.

Google_Bot
Niveau 12
10 décembre 2014 à 01:52:36

Salut :)

Ça doit pouvoir se faire avec Fabric ( http://www.fabfile.org/ ), Puppet ( http://puppetlabs.com/puppet/puppet-open-source ), Salut ( http://www.saltstack.com/community/ ) ou d'autres outils similaires. :o))
Mais s'il ne s'agit que de quelques machines et que tu n'as pas envie de déployer une usine à gaz pour les gérer occasionnellement, essaie de te faire un petit script de simplification couplé à SSH.

debjunk
Niveau 1
10 décembre 2014 à 12:55:16

Ok, merci pour ton aide.

Papinelle
Niveau 58
10 décembre 2014 à 20:52:53

Salut. :)

J'ai une petite question à propos de SSH.
:d) Est-ce qu'on peut facilement limiter l'utilisation à un réseau local ? (Connecté à la même box, est-ce qu'il faut passer par iptables ?)
:d) Comment préciser qu'on autorise un utilisateur précis ? (AllowUsers papinelle) Mais dans ce cas, n'importe qui s'appelant papinelle peut essayer de se connecter ?
:d) À part le changement de port et le PermitRootLogin No, ainsi que fail2ban, que conseillez-vous pour protéger un accès SSH ? Empêcher le déni de service ?

Je ne l'utilise qu'en local, du coup, la première solution serait idéale, mais à dire vrai, je ne vois pas comment le faire autrement que via la box.

Nh3xus
Niveau 10
10 décembre 2014 à 21:22:09

Génère une paire de clés publique / privée pour utiliser ça à la place d'un login + mot de passe.

C'est en bonne amélioration si tu veux plus de sécurité.

vava740
Niveau 10
11 décembre 2014 à 00:49:50

Est-ce qu'on peut facilement limiter l'utilisation à un réseau local ?

Si ton réseau local est 192.168.1.0/24, remplace le(s) ListenAddress de ton /etc/ssh/sshd_config par cette ligne:

ListenAddress 192.168.1.0

Note que ça a d'intérêt que si tu as une IP publique directement sur ton PC, si tu es derrière le NAT de, par exemple, ta box, et que tu ne forward pas le port SSH, ce n'est pas nécessaire.

Comment préciser qu'on autorise un utilisateur précis ? (AllowUsers papinelle) Mais dans ce cas, n'importe qui s'appelant papinelle peut essayer de se connecter ?

AllowUsers te permettra d'autoriser les logins uniquement pour les users désignés, c'est pratique dans le cas où tu as une machine avec plusieurs utilisateurs et que tu veux en autoriser que certains à se connecter en SSH. Après, comme tu le soulèves, c'est très simple de mentir sur son nom d'utilisateur, mais il ne faut pas oublier que ça ne dispense pas de fournir le bon mot de passe ou la bonne clé SSH.

À part le changement de port et le PermitRootLogin No, ainsi que fail2ban, que conseillez-vous pour protéger un accès SSH ? Empêcher le déni de service ?

Utiliser une authentification par clé plutôt que par mot de passe comme le conseille Nh3xus, et désactiver complètement le login par mot de passe. M'enfin faut déjà être motivé pour bruteforcer un couple user/mdp avec un fail2ban qui bloque ~20 minutes tous les ~3 essais. Et je trouve ça d'autant plus overkill dans la mesure où le SSH est limité à ton réseau local.

Je ne l'utilise qu'en local, du coup, la première solution serait idéale, mais à dire vrai, je ne vois pas comment le faire autrement que via la box.

Je ne sais pas ce que tu entends par « le faire via la box », mais si tu voulais dire faire du port forwarding sur l'IP publique de ta box, c'est pas du tout nécessaire pour une utilisation purement locale.

---

Comme on parle de fail2ban, je viens de me poser une question ; y'a moyen d'avoir un délai de ban exponentiel par IP ? Typiquement je fail les (admettons) 3 essais, je suis banni pour 20 minutes, et si je fail à nouveau les 3 essais 20 minutes plus tard, je suis banni pour 40 minutes, et ainsi de suite ?

Papinelle
Niveau 58
11 décembre 2014 à 08:43:57

J'ai effectivement une IP publique directement sur le PC, mais je ne fais aucun forwarding sur la box concernant SSH. Du coup, est-ce que cela signifie qu'aucune connexion venant de l'extérieur ne peut atteindre ce PC ? (À moins que quelqu'un n'ait accès à ma box, bien sûr)

Je me demande simplement si le forwarding est obligatoire, s'il n'y a pas un moyen d'accéder au PC autrement. Mais bon, je suis peut-être un peu trop prudente.

vava740
Niveau 10
11 décembre 2014 à 09:51:04

Sans pare feu, ça veut dire que l'on peut contacter ta machine directement avec ton IP publique. Par conséquent, si tu laisses SSH écouter sur tous les réseaux auxquels tu es connectée (0.0.0.0), n'importe qui peut se connecter à ta machine et parler à ton serveur SSH (par exemple pour bruteforcer les login/mdp, ce qui n'est pas trivial avec le login root désactivé et un fail2ban qui va bien, mais quand même).

Avec le ListenAddress 192.168.1.0, ton serveur SSH ne sera joignable que sur le réseau 192.168.1.0 (je pars du principe que c'est ton réseau local, je te laisse adapter), donc il n'écoutera effectivement pas les connexions sur ton IP publique (qui par définition n'est pas dans le réseau 192.168.1.0). Bien entendu il faudra que tu testes de te connecter à ton IP publique sur le port sur lequel écoute ton serveur SSH pour vérifier qu'il n'est pas joignable (pour être sûr que la configuration soit bonne).

Par contre si tu as un hotspot WiFi, un VPN ou autre qui attribue des IP sur le même réseau, il faut prendre en compte que ce type de clients pourront également se connecter à ton serveur SSH.

Je me demande simplement si le forwarding est obligatoire, s'il n'y a pas un moyen d'accéder au PC autrement. Mais bon, je suis peut-être un peu trop prudente.

Le port forwarding est obligatoire quand tu n'as pas directement d'IP publique sur ta machine, que tu es derrière un NAT (typiquement ta box, dans le cas où elle possède l'IP publique), et que tu veux pouvoir accéder à un service de ton PC (genre SSH) depuis Internet (pas juste ton réseau local). Typiquement tu demanderais à ta box de router le traffic qui vient sur un port X de son IP publique vers le port Y d'un hôte sur le réseau local. Si l'IP publique est directement sur ta machine, tu n'en a pas besoin (et dans ton cas tu veux l'inverse, à savoir permettre un accès uniquement sur le réseau local).

Papinelle
Niveau 58
11 décembre 2014 à 10:00:14

Je suis justement derrière une box "normale", en NAT j'imagine et je fais du port forwarding sur un autre PC. Cependant, je n'ai pas eu besoin de toucher à ça pour me connecter en SSH à la machine locale.
Je me demandais si, c'est extrapolé, mais il n'y avait pas moyen de faire un :

ssh papinelle@192.168.1.0@IPpublique (la syntaxe n'existe pas, mais diriger doublement SSH, d'abord vers l'IP publique, puis vers le serveur).
C'est un peu parano, peut-être ?

Sinon, je n'ai rien de spécial, juste une box sécurisée en WEP (je sais, c'est moche, mais un de mes PC sous Linux ne fonctionne pas en WPA, je ne sais pas pourquoi, ça se déconnecte/reconnecte tout le temps, il faut que je voie avec un nouveau noyau peut-être) et quelques machines connectées dessus (usage domestique, peut-être 8 machines, dont un smartphone, une tablette, une Wii U, etc)...

Seulement, qu'appelles-tu réseau local avec 192.168.0.1 ? Mes machines ont des adresses IP en 192.168.0.10/11/12/13, etc...

Un ListenAddress 192.168.0.0 est la syntaxe juste ? 

vava740
Niveau 10
11 décembre 2014 à 10:22:09

Okay on s'est mal compris alors.

J'ai effectivement une IP publique directement sur le PC

Si ton IP publique est 80.13.37.42, pour moi, ça veut dire que tu la vois directement quand tu fais un ip a (elle est routée sur ta machine, c'est pas ta box qui fait du NAT).

Du coup si l'IP publique est bien sur ta box, et que tu as juste une IP privée, tu as besoin de NAT quand tu veux rendre accessible un service exposé par une machine locale sur l'IP publique (pour y avoir accès depuis Internet).

Si tu ne fais pas de NAT, seuls les hôtes de ton réseau local pourront accéder au service en question (c'est ce que tu veux, donc par défaut tu n'as rien à faire, sauf si tu as une IPv6 auquel cas elle est directement routable sur Internet, et il faudrait dire à ton serveur SSH de ne pas écouter en IPv6).

Je me demandais si, c'est extrapolé, mais il n'y avait pas moyen de faire un :

ssh papinelle@192.168.1.0@IPpublique (la syntaxe n'existe pas, mais diriger doublement SSH, d'abord vers l'IP publique, puis vers le serveur).

Non il n'y a pas moyen de faire ça, à moins d'avoir un SSH qui tourne sur l'IP publique (tu te connecterais alors au SSH « public », et par son intermédiaire tu pourrais te connecter à un SSH local). Ça serait aussi possible avec un VPN, mais de sûr ça ne sera pas possible par défaut, sans vraiment le vouloir (il faudrait dans tous les cas une authentification par mot de passe ou par clé).

Sinon, je n'ai rien de spécial, juste une box sécurisée en WEP

Bon tu peux partir du principe que n'importe qui qui passe à côté de ton WiFi d'un peu motivé peut se connecter à ton réseau local… c'est moche mais si tu fais confiance à tes voisins c'est peut-être pas vraiment un problème… mais franchement essaie de faire le nécessaire pour passer à WPA.

Seulement, qu'appelles-tu réseau local avec 192.168.0.1 ? Mes machines ont des adresses IP en 192.168.0.10/11/12/13, etc...

Un ListenAddress 192.168.0.0 est la syntaxe juste ?

J'avais pris 192.168.1.0 comme réseau local d'exemple, mais 192.168.0.0 est aussi sur la plage locale, pas de souci donc, il faut juste adapter. Du coup oui, ListenAddress 192.168.0.0 c'est ce que tu veux.

Papinelle
Niveau 58
11 décembre 2014 à 10:32:20

On ne s'est pas mal compris, c'est moi qui ai foiré mon explication.^^
L'IP publique est bien sur la box, et auparavant, je redirigeais le port 22 vers SSH pour accéder au PC de l'extérieur. Mais je n'ai pas besoin de ça, en fait. Alors, autant limiter la plage de ports à 192.168.0.0, avec une clé privée/publique, mot de passe et fail2ban, tant qu'à faire. Ça devrait suffire. :)

Merci beaucoup, t'as été super clair et pédagogique ! C'était parfait. :)

vava740
Niveau 10
11 décembre 2014 à 12:09:31

Pas de souci. :noel:

N'hésite pas à désactiver le login par mdp quand tu as mis en place l'authentification par clé (sinon la clé t'évitera juste d'avoir à taper ton mdp (ce qui est déjà pas mal)).

Nh3xus
Niveau 10
11 décembre 2014 à 13:29:38

J'ajoute que lorsque t'es sous Windows, tu peux utiliser un trousseau de clé SSH comme Pageant pour t'authentifier automatiquement avec tes clés RSA lorsque tu fais une connexion SSH via Putty.

Papinelle
Niveau 58
11 décembre 2014 à 14:42:15

Parfait. :)
Merci, mais ça m'arrive quand même rarement, d'être sous Windows. Et encore moins en SSH.

Une question par rapport à Respawn : hands-of-god a fait un sujet, j'y ai répondu, mais ça marque toujours "0 messages" ici. Bug ou bien mon message n'y est pas ?

vava740
Niveau 10
11 décembre 2014 à 14:54:49

Le compteur de réponses bug pas mal ouais, apparemment l'équipe technique est dessus.

BeslSmasher
Niveau 10
11 décembre 2014 à 19:59:31

Je profite du système de signature pour plagier Shadow… en plus véridique.

Google_Bot
Niveau 12
11 décembre 2014 à 20:49:20

Papinelle :d) c'est bien un bug, l'équipe technique est dessus :o))

Et le sujet n'a pas été supprimé btw, je l'ai passé dans la section "assistance" (c'est là que je me rends compte qu'il y a des cas où il sera difficile de trancher... notamment les « comment installer <bidule> sur <chose>? », suivant la complexité de la tâche et la fréquence à laquelle une même question refait surface)

Pseudo supprimé
Niveau 10
11 décembre 2014 à 22:13:19

http://www.ldlc.com/fiche/PB00176860.html

Vous pensez que ça peut suffir pour du Web / Traitement texte / Terminal ? Le driver graphiques passent ? Sous lunix ftw avec surement MATE donc la ram c'est large.

BeslSmasher
Niveau 10
11 décembre 2014 à 23:01:42

« et son clavier chiclet »

lolnope

Sujet : [Blabla] le /pub des barbus libres
   Retour haut de page
Consulter la version web de cette page