Une petite question niveau réseau

Le
Leger
Bonjour,

Une question un peu longue mais simple, sans doute.

Je dispose d'un Eeepc Xandros 4G et d'un PC avec une Mandriva 2010 sur un DD
et Windows XP sur l'autre.
Je suis nul en matière de réseau, jusque là je me servais d'une clé USB pour
partager mes fichiers.
Mais voilà j'ai franchi le pas.

Pour partager mon répertoire "Documents" de l'Eeepc vers Mandriva c'est
Samba qui s'en occupe.
Là c'est simple, il y a une interface graphique très bien faite via le
gestionnaire de fichier.
Il me fallait mettre un mot de passe, et même limiter le nombre
d'utilisateurs.
Merci Xandros.

Pour partager mon répertoire /home/moi/ de Mandriva vers l'Eeepc j'utilise
NFS. (vu que je merde avec Samba)
Là aussi l'interface graphique sous la 2010 est très bien faite.
Bravo.

Ceci dit je me demande ce que ça vaut niveau sécurité?
J'ai libéré le serveur NFS du pare-feu via l'interface graphique (et aussi
le serveur CUPS).
Pourquoi on ne me demande pas de mot de passe, ni de nom d'utilisateur comme
avec Samba?
Je dis quels répertoires à partager, et c'est tout!

J'ai ça dans /etc/exports/ : (si ça peut servir)

cat /etc/exports
# generated by drakhosts.pl
/home/moi *(no_all_squash,async,secure,no_subtree_check,ro)

Est-ce que n'importe qui peut voir mon répertoire?
Pas beaucoup d'info sur NFS.

Ce que je trouve de drôle c'est que je vois toutes les 30 secondes une
alerte du pare-feu, le nom de mon PC qui essaie de se connecter sur ipp,
mais c'est le nom qu'a mon PC quand je le démarre sous Windows?!!?
Je ne vois pas pourquoi c'est ce nom là dans le pare-feu interactif.
Enfin ça c'est un autre souci.

Le plus important c'est de savoir si je suis en sécurité depuis que j'ai
libéré ces deux serveur au niveau du pare-feu, et si la méthode que j'ai
pris pour partager mes fichiers est bonne.

Si vous avez 30 secondes, merci d'avance.

--
@+
Leger
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #21325851
On Fri, 05 Mar 2010 22:13:47 +0100, Leger
Pourquoi on ne me demande pas de mot de passe, ni de nom d'utilisateur comme
avec Samba?



NFS ne permet pas l'authentification des utilisateurs. C'est
uniquement déclaratif.
Le client dit "Bonjour, je réprésente 'bob' (ou plutôt
'l'utilisateur numéro 543'), et le serveur le croit sur parole, et
donne à ce client inconnu les mêmes droits d'accès que l'utilisateur
543 sur le serveur.

Tout ce qu'on peut faire, c'est filtrer par adresse IP, c'est-à-dire
n'autoriser que certaines machines à se connecter. En gros, un
firewall.
Fabien LE LEZ
Le #21326361
On Fri, 05 Mar 2010 22:13:47 +0100, Leger
Pour partager mon répertoire /home/moi/ de Mandriva vers l'Eeepc j'utilise
NFS. (vu que je merde avec Samba)



Pourtant Samba me paraît plus simple à comprendre.

Mais pour un petit réseau ad-hoc comme le tien, je préfère faire tout
par SSH : accès au shell (voire à X), transfert de fichiers (SFTP fait
partie d'OpenSSH), voire carrément montage de répertoire (sshfs est
loin d'être parfait, mais rend bien des services).
Luc.Habert.00__arjf
Le #21326551
Fabien LE LEZ :

Tout ce qu'on peut faire, c'est filtrer par adresse IP, c'est-à-dire
n'autoriser que certaines machines à se connecter. En gros, un
firewall.



J'ai jamais utilisé, mais il y a des histoires de securerpc avec de la
crypto.
Leger
Le #21326931
Fabien LE LEZ wrote:

j'utilise
NFS. (vu que je merde avec Samba)



Pourtant Samba me paraît plus simple à comprendre.



Là, avec la Mandriva je n'y arrive pas avec Samba.
Faut donc que je me documente.

Mais pour un petit réseau ad-hoc comme le tien, je préfère faire tout
par SSH : accès au shell (voire à X), transfert de fichiers (SFTP fait
partie d'OpenSSH), voire carrément montage de répertoire (sshfs est
loin d'être parfait, mais rend bien des services).



Là aussi, c'est nouveau pour moi.
Faut que je me documente et que je regarde si ça marchera avec mon Eeepc
Xandros.

Sinon, entre Samba et NFS c'est quoi le plus sécurisant?

--
@+
Leger
Leger
Le #21326921
Fabien LE LEZ wrote:

NFS ne permet pas l'authentification des utilisateurs. C'est
uniquement déclaratif.



Ah zut.
Va falloir que j'y regarde de plus près.

Tout ce qu'on peut faire, c'est filtrer par adresse IP, c'est-à-dire
n'autoriser que certaines machines à se connecter. En gros, un
firewall.



Je pense que mon pare-feu est bien configuré.
Je devrais avoir quand même une alerte si quelqu'un cherche à se connecter à
mon PC?

Par exemple, si tu avais besoin de te connecter à mon répertoire /home/moi/
de là où tu es, comment faudrait que tu fasses?
Est-ce qu'il me faudrait te donner quelques éléments ou ça peut se faire
comme ça?

--
@+
Leger
Fabien LE LEZ
Le #21330601
On Sat, 06 Mar 2010 09:19:35 +0100, Leger
Là, avec la Mandriva je n'y arrive pas avec Samba.



C'est le même fichier smb.conf, avec la même syntaxe ; il n'y a donc
pas de raison que tu y arrives sur une machine et pas sur l'autre.

Mais pour un petit réseau ad-hoc comme le tien, je préfère faire tout
par SSH



Faut que je me documente et que je regarde si ça marchera avec mon Eeepc
Xandros.



Un "apt-get install openssh-server" devrait suffire.

Sinon, entre Samba et NFS c'est quoi le plus sécurisant?



NFS se base sur l'idée que tu as un système qui englobe plusieurs
machines physiques. Les comptes utilisateurs sont les mêmes partout,
etc.
Il me paraît donc inadapté quand tu as plusieurs machines gérées
séparément.
Dans ton cas particulier (Tu es le seul utilisateur), c'est peut-être
discutable.

Quoi qu'il en soit, les deux ont en commun d'être prévus pour
fonctionner sur des réseaux sécurisés, à l'abri du grand méchant
Internet. Or, tu as un portable, c'est-à-dire une machine qui a
tendance à se trouver sur des réseaux que tu ne contrôles pas.
J'aurais donc tendance à déconseiller les deux.
Un serveur Samba tiendra peut-être plus longtemps, à cause de
l'authentification par mot de passe.

Avec SSH, tu peux te planter, mais au moins tu pars avec l'avantage
qui est prévu pour un environnement dangereux.

Enfin bref, j'ai bien peur de n'être pas en mesure de répondre à ta
question. À ma connaissance, il n'y a pas de solution "toute faite"
pour obtenir un réseau sûr ; il faut mettre les mains dans le cambouis
:-(
Fabien LE LEZ
Le #21330711
On Sat, 06 Mar 2010 09:24:06 +0100, Leger
Par exemple, si tu avais besoin de te connecter à mon répertoire /home/moi/
de là où tu es, comment faudrait que tu fasses?



J'imagine que tu es derrière une livebox, configurée en routeur. Dans
ce cas, si tu n'as pas ajouté de règle NAT, je ne vais pas pouvoir
accéder à tes machines. Pas parce que c'est impossible, mais parce que
je n'ai pas les compétences. Et ceux qui ont les compétences ont mieux
à faire que s'attaquer à ton système personnel.

En revanche, imaginons un instant que ton voisin ait un réseau
configuré avec les pieds, avec un wi-fi ouvert à tous les vents, un PC
avec Windows et une quantité incroyable de cochonneries en tout genre,
etc. Classique.

Et, un jour, tu te goures, et tu te connectes à son réseau wi-fi par
erreur. Ou, tout simplement, tu te connectes au wi-fi dans un
restaurant, un aéroport, etc.
Dans ce cas, tu te retrouves dans un réseau non protégé. Et donc, si
ton PC lui-même n'est pas protégé, boum.

Si tu configure NFS (et/ou ton firewall) pour autoriser ton autre PC à
se connecter, en filtrant par adresse IP, tu es dans la merde : rien
n'empêche un attaquant de configurer sa machine pour utiliser cette
adresse IP, et donc accéder à ton portable.

Samba ne se base pas sur l'adresse IP[*] pour l'authentification, mais
sur un mot de passe. C'est nettement plus sécurisant, mais je ne sais
pas trop quel niveau de sécurité ça apporte. Et ça peut varier suivant
les versions de Windows avec lesquelles il tente d'être compatible.


[*] En fait, on peut, mais ce n'est pas le moyen principal, ni par
défaut.
Fabien LE LEZ
Le #21330701
On Fri, 05 Mar 2010 22:13:47 +0100, Leger
Je dispose d'un Eeepc Xandros 4G et d'un PC avec une Mandriva 2010 sur un DD
et Windows XP sur l'autre.



En fait, maintenant que j'y pense : avec un portable et un PC fixe, ma
stratégie serait plutôt d'avoir un répertoire partagé (avec Samba par
exemple) en lecture+écriture sur le PC fixe, et rien sur le portable.
Ainsi, le portable reste aussi protégé que possible, et tu peux
transférer des fichiers dans les deux sens en utilisant le portable.

[HS] Si tu veux synchroniser tes documents entre les deux machines,
regarde du côté d'Unison. Il ne règlera pas ton problème de protocole,
puisqu'il fonctionne une fois que le partage est mis en place, mais
devrait bien te faciliter la vie une fois que tout est installé.
leger
Le #21334381
Fabien LE LEZ a écrit :
Si tu configure NFS (et/ou ton firewall) pour autoriser ton autre PC à
se connecter, en filtrant par adresse IP, tu es dans la merde : rien
n'empêche un attaquant de configurer sa machine pour utiliser cette
adresse IP, et donc accéder à ton portable.



Merci pour ces explications.
Justement j'avais mis juste l'adresse IP du portable comme client
pouvant accéder à mes fichiers.

Donc, quelqu'un peut avoir la même adresse IP que moi?!
Je n'imaginais pas ce genre de chose.
De plus il faut que je me documente car je ne comprends pas pourquoi les
adresses IP commence toujours par 192.168. etc...

Dommage, j'aime bien NFS pour la gestion des droits par fichiers ou
répertoires.

Pour l'instant, je fais juste des testes, je laisse NFS.

--
@+
Leger
leger
Le #21334371
Fabien LE LEZ a écrit :
Enfin bref, j'ai bien peur de n'être pas en mesure de répondre à ta
question. À ma connaissance, il n'y a pas de solution "toute faite"
pour obtenir un réseau sûr ; il faut mettre les mains dans le cambouis
:-(



Si si, depuis tes explications j'en sais un peu plus! :-)
Et comme tu dis "les deux ont en commun d'être prévus pour
fonctionner sur des réseaux sécurisés, à l'abri du grand méchant
Internet."

Donc on va attendre les soucis.
S'il n'y en a pas, c'est que c'est bon.

--
@+
Leger
Publicité
Poster une réponse
Anonyme