sécurité avec Chicken of the VNC

Le
Thomas
bonjour :-)


je prévois d'utiliser Chicken of the VNC en mode écoute (pomme-L)
(pour que mes clients n'aient pas à se casser la tête avec leur routeur
avant que je puisse les aider)


et je me posais une question de sécurité :

si d'un coté Chicken of the VNC n'est pas "blindé"
et si d'un autre coté un pirate teste régulièrement la connexion tcp
pour voir si elle répond,

c'est le pirate auquel Chicken of the VNC va répondre des que je vais
cliquer sur démarrer, avant mon client,
il va recevoir tout ce que le pirate va lui envoyer par la connexion tcp,
et si il est pas à 100% bien programmé il peut servir de porte (c'est
comme ça qu'on dit ?) pour le pirate qui va pouvoir faire ce qu'il veut
dans mon ordi


pouvez vous me rassurer sur ce point svp ? :-)

ou bien est ce que je risque réellement qqch ?
si oui, est ce que je peux faire qqch pour servir mes clients quand même
en toute sécurité ?

--
j'agis contre l'assistanat, je travaille dans une SCOP !
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
blanc
Le #3150511
Thomas
si d'un coté Chicken of the VNC n'est pas "blindé"
et si d'un autre coté un pirate teste régulièrement la connexion tcp
pour voir si elle répond,

c'est le pirate auquel Chicken of the VNC va répondre des que je vais
cliquer sur démarrer, avant mon client,
il va recevoir tout ce que le pirate va lui envoyer par la connexion tcp,
et si il est pas à 100% bien programmé il peut servir de porte (c'est
comme ça qu'on dit ?) pour le pirate qui va pouvoir faire ce qu'il veut
dans mon ordi


Amha, oui, c'est possible.

Perso je sécurise en faisant une connexion ssh vers le client. Les ports
vnc sont fermés, et le vnc ne passe que par ssh (seul port ouvert chez
le client). Bien entendu cela suppose que le client me fait confiance et
me donne son mot de passe.
On a parlé de ça ici même il y a quelques mois :
<http://groups.google.com/group/fr.comp.os.mac-os.x/browse_thread/thread
/cf9fcfaa5ff91e49/3dd5f082a850a289?lnk=gst&q=noos+ssh+bruno#3dd5f082a850
a289>
--
JiPaul.
/ /--/--//\ Jean-Paul Blanc
|/| L |\ quelquepart en (somewhere in)
/|| = |||\ FRANCE

Thomas
Le #3147111
In article (JiPaul) wrote:

Thomas
si d'un coté Chicken of the VNC n'est pas "blindé"
et si d'un autre coté un pirate teste régulièrement la connexion tcp
pour voir si elle répond,

c'est le pirate auquel Chicken of the VNC va répondre des que je vais
cliquer sur démarrer, avant mon client,
il va recevoir tout ce que le pirate va lui envoyer par la connexion tcp,
et si il est pas à 100% bien programmé il peut servir de porte (c'est
comme ça qu'on dit ?) pour le pirate qui va pouvoir faire ce qu'il veut
dans mon ordi


Amha, oui, c'est possible.


donc c'est dangereux ?

il n'y a plus personne pour corriger Chicken of the VNC quand des
failles sont découvertes ?
voire, il n'y a plus personne pour voir si il y a des failles ou pas ?


Perso je sécurise en faisant une connexion ssh vers le client. Les ports
vnc sont fermés, et le vnc ne passe que par ssh (seul port ouvert chez
le client). Bien entendu cela suppose que le client me fait confiance et
me donne son mot de passe.
On a parlé de ça ici même il y a quelques mois :


ça, c'est ce que je fais avec les clients réguliers (et avec clés rsa)


mais pour avoir de nouveaux clients, il faut absolument que ça soit le
plus simple possible pour que je puisse voir leur écran, au moins la
1ere fois

t'as pas d'autre solution ?
(je sais que tu peux pas inventer ce qu'il n'y a pas :-) )

--
j'agis contre l'assistanat, je travaille dans une SCOP !


blanc
Le #3146931
Thomas
t'as pas d'autre solution ?


Pour la première fois, j'ai ce shell-script :
---------------------------------------
#!/bin/bash



./OSXvnc-server -desktop "Première connexion" -nevershared
-dontdisconnect -restartonuserswitch Y -keyboardloading Y
-pressmodsforkeys n -swapbuttons -rendezvous y -connectHost
82.243.96.41 &

osascript -e 'tell application "Terminal" to quit' &

exit
---------------------------------------

Je fais une archive zip avec ce script, et l'exécutable OSXvnc-server
(que tu peux trouver dans l'appli Vine Server). J'envoie le tout dans un
email, après avoir averti le client qu'il devra (exceptionnellement)
cliquer sur la pièce jointe, puis sur le script (auquel je donne un nom
bien parlant : "lance VNC.command").
Et ça roule.

Il faut que tu testes d'abord, car il me semble qu'il y a un souci à
régler pour les droits d'exécution, mais je ne me souviens plus des
détails...

Ensuite, la première chose à faire est de lui installer Vine Server,
d'ouvrir le port ssh, et de lui mettre un script un peu plus élaboré du
genre de celui-ci :

---------------------------------------
#!/bin/bash
# lvnc : pour lancer vnc via ssh
# 22/3/2008

#set -vx


if [ "$1" == "" ]
then DT=`hostname -s`
else DT=$1
shift
fi

if [ -e /Applications/Vine Server.app/OSXvnc-server ]
then VNC=/Applications/Vine Server.app/OSXvnc-server
AUTH="-rfbauth /Applications/Vine Server.app/.osxvncauth"
elif [ -e ./OSXvnc-server ]
then VNC="./OSXvnc-server"
else exit
fi

"$VNC" -desktop "$DT $OPT" $DRE -nevershared -dontdisconnect
-restartonuserswitch Y -keyboardloading Y -pressmodsforkeys n
-swapbuttons -rendezvous y "$AUTH" -connectHost 127.0.0.1 $1
---------------------------------------

Voilà. Si je n'ai rien oublié. :-)

--
JiPaul.
/ /--/--//\ Jean-Paul Blanc
|/| L |\ quelquepart en (somewhere in)
/|| = |||\ FRANCE

Thomas
Le #7035391
In article (JiPaul) wrote:

Thomas
> t'as pas d'autre solution ?

Pour la première fois, j'ai ce shell-script :
---------------------------------------
#!/bin/bash



./OSXvnc-server -desktop "Première connexion" -nevershared
-dontdisconnect -restartonuserswitch Y -keyboardloading Y
-pressmodsforkeys n -swapbuttons -rendezvous y -connectHost
82.243.96.41 &



tiens, pourquoi "-rendezvous y" ?


osascript -e 'tell application "Terminal" to quit' &

exit
---------------------------------------

Je fais une archive zip avec ce script, et l'exécutable OSXvnc-server
(que tu peux trouver dans l'appli Vine Server). J'envoie le tout dans un
email, après avoir averti le client qu'il devra (exceptionnellement)
cliquer sur la pièce jointe, puis sur le script (auquel je donne un nom
bien parlant : "lance VNC.command").
Et ça roule.



merci bcp pour le script :-)

je m'étais occupé de windows,
d'ailleurs j'ai pas réussi à faire exactement ce que je voulais, je
crois que je vais devoir passer par batch,
mais comme ça, si j'ai un client sous mac os x, j'ai tout de suite ce
qu'il faut sous la main, merci bcp :-))


mais ça ne résout pas le pb de ce fil :
pour chaque nouveau client, je vais rester vulnérable aux pirates
quelques instants
et j'espère avoir des nouveaux clients régulièrement ... :-)



Il faut que tu testes d'abord, car il me semble qu'il y a un souci à
régler pour les droits d'exécution, mais je ne me souviens plus des
détails...



il faut faire +x à VNC.command, bien entendu :-)


Ensuite, la première chose à faire est de lui installer Vine Server,
d'ouvrir le port ssh, et de lui mettre un script un peu plus élaboré du
genre de celui-ci :



moi je fais en sorte de me connecter moi même à vnc, comme ça le client
n'a plus qu'à m'appeler, rien d'autre :-)

--
j'agis contre l'assistanat, je travaille dans une SCOP !
Publicité
Poster une réponse
Anonyme