Lorsque je suis en déplacement j'ai parfois besoin d'utiliser un hot
spot wifi qui en étant libre d'accès est sans aucune clef de connexion.
Le risque d'interception de données et donc assez élevé, par conséquent
je me suis dit que si je pouvais passer par un passerelle distante
(proxy ?) sécurisée installée à la maison je pourrai ainsi diminuer ou
éliminer le risque.
Je souhaite savoir quelles solutions existent sous linux ?
J'ai vu un produit qui s'appel "sme server", est-ce la solution ?
Coté client, comment s'effectue la configuration ? Pas besoin d'un mot de passe ?
La bonne solution c'est de n'autoriser la connexion ssh qu'avec une clef, pas avec mot de passe. Sur ton client (ton portable) tu génères une clef avec ssh-keygen, et tu copies la clef publique générée (id_rsa.pub) dans le .ssh/authorized_keys de la machine chez toi. Au niveau configuration du serveur ssh, tu peux aussi changer le port entrant pour éviter les trop nombreuses tentatives d'intrusions (plusieurs milliers par jour chez moi...).
-- A human being should be able to change a diaper, plan an invasion, butcher a hog, conn a ship, design a building, write a sonnet, balance accounts, build a wall, set a bone, comfort the dying, take orders, give orders, cooperate, act alone, solve equations, analyze a new problem, pitch manure, program a computer, cook a tasty meal, fight efficiently, die gallantly. Specialization is for insects. Robert A. Heinlein.
Le Fri, 12 Nov 2010 09:00:15 +0100, norm a écrit:
Coté client, comment s'effectue la configuration ? Pas besoin d'un mot
de passe ?
La bonne solution c'est de n'autoriser la connexion ssh qu'avec une clef,
pas avec mot de passe. Sur ton client (ton portable) tu génères une clef
avec ssh-keygen, et tu copies la clef publique générée (id_rsa.pub) dans
le .ssh/authorized_keys de la machine chez toi. Au niveau configuration
du serveur ssh, tu peux aussi changer le port entrant pour éviter les
trop nombreuses tentatives d'intrusions (plusieurs milliers par jour chez
moi...).
--
A human being should be able to change a diaper, plan an invasion,
butcher a hog, conn a ship, design a building, write a sonnet, balance
accounts, build a wall, set a bone, comfort the dying, take orders, give
orders, cooperate, act alone, solve equations, analyze a new problem,
pitch manure, program a computer, cook a tasty meal, fight efficiently,
die gallantly. Specialization is for insects.
Robert A. Heinlein.
Coté client, comment s'effectue la configuration ? Pas besoin d'un mot de passe ?
La bonne solution c'est de n'autoriser la connexion ssh qu'avec une clef, pas avec mot de passe. Sur ton client (ton portable) tu génères une clef avec ssh-keygen, et tu copies la clef publique générée (id_rsa.pub) dans le .ssh/authorized_keys de la machine chez toi. Au niveau configuration du serveur ssh, tu peux aussi changer le port entrant pour éviter les trop nombreuses tentatives d'intrusions (plusieurs milliers par jour chez moi...).
-- A human being should be able to change a diaper, plan an invasion, butcher a hog, conn a ship, design a building, write a sonnet, balance accounts, build a wall, set a bone, comfort the dying, take orders, give orders, cooperate, act alone, solve equations, analyze a new problem, pitch manure, program a computer, cook a tasty meal, fight efficiently, die gallantly. Specialization is for insects. Robert A. Heinlein.
Aeris
Emmanuel Florac wrote:
Au niveau configuration du serveur ssh, tu peux aussi changer le port entrant pour éviter les trop nombreuses tentatives d'intrusions (plusieurs milliers par jour chez moi...).
Sans oublier d'installer un fail2ban en plus, ça évite justement les milliers de tentatives (ban de l'ip dès la 3ème tentative ratée)
Et pour les ayatola de la sécurité, rkhunter + logwath en cron quotidien, histoire d'être au courant de ce qu'il se passe sur la machine.
Emmanuel Florac wrote:
Au niveau configuration
du serveur ssh, tu peux aussi changer le port entrant pour éviter les
trop nombreuses tentatives d'intrusions (plusieurs milliers par jour chez
moi...).
Sans oublier d'installer un fail2ban en plus, ça évite justement les
milliers de tentatives (ban de l'ip dès la 3ème tentative ratée)
Et pour les ayatola de la sécurité, rkhunter + logwath en cron quotidien,
histoire d'être au courant de ce qu'il se passe sur la machine.
Au niveau configuration du serveur ssh, tu peux aussi changer le port entrant pour éviter les trop nombreuses tentatives d'intrusions (plusieurs milliers par jour chez moi...).
Sans oublier d'installer un fail2ban en plus, ça évite justement les milliers de tentatives (ban de l'ip dès la 3ème tentative ratée)
Et pour les ayatola de la sécurité, rkhunter + logwath en cron quotidien, histoire d'être au courant de ce qu'il se passe sur la machine.
Emmanuel Florac
Le Fri, 12 Nov 2010 23:48:46 +0100, Aeris a écrit:
Sans oublier d'installer un fail2ban en plus, ça évite justement les milliers de tentatives (ban de l'ip dès la 3ème tentative ratée)
Bof, si tu changes le port pour un truc non standard il n'y a pas de tentatives. Fail2ban n'est utile que si on reste sur le port 22.
-- Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando
Le Fri, 12 Nov 2010 23:48:46 +0100, Aeris a écrit:
Sans oublier d'installer un fail2ban en plus, ça évite justement les
milliers de tentatives (ban de l'ip dès la 3ème tentative ratée)
Bof, si tu changes le port pour un truc non standard il n'y a pas de
tentatives. Fail2ban n'est utile que si on reste sur le port 22.
--
Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando
Le Fri, 12 Nov 2010 23:48:46 +0100, Aeris a écrit:
Sans oublier d'installer un fail2ban en plus, ça évite justement les milliers de tentatives (ban de l'ip dès la 3ème tentative ratée)
Bof, si tu changes le port pour un truc non standard il n'y a pas de tentatives. Fail2ban n'est utile que si on reste sur le port 22.
-- Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando
Aeris
Emmanuel Florac wrote:
Bof, si tu changes le port pour un truc non standard il n'y a pas de tentatives. Fail2ban n'est utile que si on reste sur le port 22.
Alors là... Tout bon "pirate" digne de ce nom commencera toujours par un scan de port, type nmap, avant de se mettre à bruteforcer une connexion. Ca lui servirait à quoi de balancer un dictionnaire sur un port qui ne répondrait même pas, ou qui ne comprendrait même pas le message?
Emmanuel Florac wrote:
Bof, si tu changes le port pour un truc non standard il n'y a pas de
tentatives. Fail2ban n'est utile que si on reste sur le port 22.
Alors là...
Tout bon "pirate" digne de ce nom commencera toujours par un scan de port,
type nmap, avant de se mettre à bruteforcer une connexion.
Ca lui servirait à quoi de balancer un dictionnaire sur un port qui ne
répondrait même pas, ou qui ne comprendrait même pas le message?
Bof, si tu changes le port pour un truc non standard il n'y a pas de tentatives. Fail2ban n'est utile que si on reste sur le port 22.
Alors là... Tout bon "pirate" digne de ce nom commencera toujours par un scan de port, type nmap, avant de se mettre à bruteforcer une connexion. Ca lui servirait à quoi de balancer un dictionnaire sur un port qui ne répondrait même pas, ou qui ne comprendrait même pas le message?
norm
Aeris a écrit :
Plusieurs solutions.
La plus simple: tunnel SSH vers ta machine distante, avec un proxy Squid derrière. Installable en 10min. Avantage: ne nécessite pas grand chose côté client (OpenSSH sous Linux, Putty sous Windows), et juste le navigateur à configurer pour utiliser ton proxy Squid après avoir lancer le tunnel SSH (FoxProxy pour Firefox gérera tout ça tout seul). Inconvénient: ne marche que pour le trafic web, mail et le reste c'est KO. d'avance.
J'ai bien installé le serveur ssh sous linux, je peux me connecter avec PuTTY depuis windows et je me retrouve devant la console, donc c'est ok. Squid est aussi installé sous linux. Par contre je ne comprends pas comment le navigateur va pouvoir se connecter en passant par la connexion SSH. Y'a t-il une modif à faire sous PuTTY ? Merci.
ps: j'ai essayé ssh -ND 8887 -p 22 avec une autre machine qui est sous linux, je peux me connecter, ensuite j'ai configuré le proxy avec firefox (localhost 8887), mais il affiche tout le temps une page blanche sans aucune erreur.
Aeris a écrit :
Plusieurs solutions.
La plus simple: tunnel SSH vers ta machine distante, avec un proxy Squid
derrière.
Installable en 10min.
Avantage: ne nécessite pas grand chose côté client (OpenSSH sous Linux,
Putty sous Windows), et juste le navigateur à configurer pour utiliser ton
proxy Squid après avoir lancer le tunnel SSH (FoxProxy pour Firefox gérera
tout ça tout seul).
Inconvénient: ne marche que pour le trafic web, mail et le reste c'est KO.
d'avance.
J'ai bien installé le serveur ssh sous linux, je peux me connecter avec
PuTTY depuis windows et je me retrouve devant la console, donc c'est
ok.
Squid est aussi installé sous linux. Par contre je ne comprends pas
comment le navigateur va pouvoir se connecter en passant par la
connexion SSH.
Y'a t-il une modif à faire sous PuTTY ?
Merci.
ps: j'ai essayé ssh -ND 8887 -p 22 root@adresse avec une autre machine
qui est sous linux, je peux me connecter, ensuite j'ai configuré le
proxy avec firefox (localhost 8887), mais il affiche tout le temps une
page blanche sans aucune erreur.
La plus simple: tunnel SSH vers ta machine distante, avec un proxy Squid derrière. Installable en 10min. Avantage: ne nécessite pas grand chose côté client (OpenSSH sous Linux, Putty sous Windows), et juste le navigateur à configurer pour utiliser ton proxy Squid après avoir lancer le tunnel SSH (FoxProxy pour Firefox gérera tout ça tout seul). Inconvénient: ne marche que pour le trafic web, mail et le reste c'est KO. d'avance.
J'ai bien installé le serveur ssh sous linux, je peux me connecter avec PuTTY depuis windows et je me retrouve devant la console, donc c'est ok. Squid est aussi installé sous linux. Par contre je ne comprends pas comment le navigateur va pouvoir se connecter en passant par la connexion SSH. Y'a t-il une modif à faire sous PuTTY ? Merci.
ps: j'ai essayé ssh -ND 8887 -p 22 avec une autre machine qui est sous linux, je peux me connecter, ensuite j'ai configuré le proxy avec firefox (localhost 8887), mais il affiche tout le temps une page blanche sans aucune erreur.
at
Emmanuel Florac avait énoncé :
Même pas besoin de squid :
ssh -ND 8887 -p 22
Ensuite tu déclares localhost:8887 comme proxy SOCKS et le tour est joué.
Pour utiliser Squid, il faut deux interfaces réseaux sur la machine ?
Emmanuel Florac avait énoncé :
Même pas besoin de squid :
ssh -ND 8887 -p 22 toto@adresse
Ensuite tu déclares localhost:8887 comme proxy SOCKS et le tour est joué.
Pour utiliser Squid, il faut deux interfaces réseaux sur la machine ?
Ensuite tu déclares localhost:8887 comme proxy SOCKS et le tour est joué.
Pour utiliser Squid, il faut deux interfaces réseaux sur la machine ?
Kevin Denis
Le 13-11-2010, norm a écrit :
J'ai bien installé le serveur ssh sous linux, je peux me connecter avec PuTTY depuis windows et je me retrouve devant la console, donc c'est ok. Squid est aussi installé sous linux.
Inutile. Squid est un proxy HTTP. SSH peut jouer le rôle d'un proxy SOCKS. Comme firefox sait utiliser un proxy socks, squid devient de fait inutile.
Sinon, tu peux rediriger le port du proxy HTTP au travers de ta connexion ssh pour qu'il tape squid, mais c'est se casser la tête pour pas grand chose.
Par contre je ne comprends pas comment le navigateur va pouvoir se connecter en passant par la connexion SSH.
En lui demandant :)
Y'a t-il une modif à faire sous PuTTY ? Merci.
http://www.google.fr/search?q=putty+ssh+socks
ps: j'ai essayé ssh -ND 8887 -p 22
pourquoi root? Il vaut mieux créer un compte utilisateur.
avec une autre machine qui est sous linux, je peux me connecter, ensuite j'ai configuré le proxy avec firefox (localhost 8887), mais il affiche tout le temps une page blanche sans aucune erreur.
socks, le proxy, socks. -- Kevin
Le 13-11-2010, norm <xze@ez.fr> a écrit :
J'ai bien installé le serveur ssh sous linux, je peux me connecter avec
PuTTY depuis windows et je me retrouve devant la console, donc c'est
ok.
Squid est aussi installé sous linux.
Inutile. Squid est un proxy HTTP. SSH peut jouer le rôle d'un proxy
SOCKS. Comme firefox sait utiliser un proxy socks, squid devient
de fait inutile.
Sinon, tu peux rediriger le port du proxy HTTP au travers de ta
connexion ssh pour qu'il tape squid, mais c'est se casser la tête
pour pas grand chose.
Par contre je ne comprends pas
comment le navigateur va pouvoir se connecter en passant par la
connexion SSH.
En lui demandant :)
Y'a t-il une modif à faire sous PuTTY ?
Merci.
http://www.google.fr/search?q=putty+ssh+socks
ps: j'ai essayé ssh -ND 8887 -p 22 root@adresse
pourquoi root? Il vaut mieux créer un compte utilisateur.
avec une autre machine
qui est sous linux, je peux me connecter, ensuite j'ai configuré le
proxy avec firefox (localhost 8887), mais il affiche tout le temps une
page blanche sans aucune erreur.
J'ai bien installé le serveur ssh sous linux, je peux me connecter avec PuTTY depuis windows et je me retrouve devant la console, donc c'est ok. Squid est aussi installé sous linux.
Inutile. Squid est un proxy HTTP. SSH peut jouer le rôle d'un proxy SOCKS. Comme firefox sait utiliser un proxy socks, squid devient de fait inutile.
Sinon, tu peux rediriger le port du proxy HTTP au travers de ta connexion ssh pour qu'il tape squid, mais c'est se casser la tête pour pas grand chose.
Par contre je ne comprends pas comment le navigateur va pouvoir se connecter en passant par la connexion SSH.
En lui demandant :)
Y'a t-il une modif à faire sous PuTTY ? Merci.
http://www.google.fr/search?q=putty+ssh+socks
ps: j'ai essayé ssh -ND 8887 -p 22
pourquoi root? Il vaut mieux créer un compte utilisateur.
avec une autre machine qui est sous linux, je peux me connecter, ensuite j'ai configuré le proxy avec firefox (localhost 8887), mais il affiche tout le temps une page blanche sans aucune erreur.
socks, le proxy, socks. -- Kevin
Emmanuel Florac
Le Sat, 13 Nov 2010 13:28:45 +0100, at a écrit:
Pour utiliser Squid, il faut deux interfaces réseaux sur la machine ?
Non pas du tout, seulement si tu veux utiliser ta machine comme passerelle filtrante.
-- Jesus saves but only Buddha makes incremental backups.
Le Sat, 13 Nov 2010 13:28:45 +0100, at a écrit:
Pour utiliser Squid, il faut deux interfaces réseaux sur la machine ?
Non pas du tout, seulement si tu veux utiliser ta machine comme
passerelle filtrante.
--
Jesus saves but only Buddha makes incremental backups.
Pour utiliser Squid, il faut deux interfaces réseaux sur la machine ?
Non pas du tout, seulement si tu veux utiliser ta machine comme passerelle filtrante.
-- Jesus saves but only Buddha makes incremental backups.
norm
Kevin Denis avait prétendu :
Le 13-11-2010, norm a écrit :
J'ai bien installé le serveur ssh sous linux, je peux me connecter avec PuTTY depuis windows et je me retrouve devant la console, donc c'est ok. Squid est aussi installé sous linux.
Inutile. Squid est un proxy HTTP. SSH peut jouer le rôle d'un proxy SOCKS. Comme firefox sait utiliser un proxy socks, squid devient de fait inutile.
Sinon, tu peux rediriger le port du proxy HTTP au travers de ta connexion ssh pour qu'il tape squid, mais c'est se casser la tête pour pas grand chose.
Par contre je ne comprends pas comment le navigateur va pouvoir se connecter en passant par la connexion SSH.
En lui demandant :)
Y'a t-il une modif à faire sous PuTTY ? Merci.
http://www.google.fr/search?q=putty+ssh+socks
ps: j'ai essayé ssh -ND 8887 -p 22
pourquoi root? Il vaut mieux créer un compte utilisateur.
avec une autre machine qui est sous linux, je peux me connecter, ensuite j'ai configuré le proxy avec firefox (localhost 8887), mais il affiche tout le temps une page blanche sans aucune erreur.
socks, le proxy, socks.
Ok pour le proxy sock, mais j'ai toujours une page blanche.
Squid fonctionne, si j'entre l'adresse du proxy sur un autre pc j'accède à Internet à travers lui. Par contre, si j'entre l'adresse du proxy crée avec SSH -ND (...) ou avec PuTTY et un tunnel, nada ça marche pas. J'ai vu dans auth.log des 127.0.0.1:80 access denied à gogo. Peux-tu me dire comment rediriger une requête vers squid depuis ssh ? Merci
Kevin Denis avait prétendu :
Le 13-11-2010, norm <xze@ez.fr> a écrit :
J'ai bien installé le serveur ssh sous linux, je peux me connecter avec
PuTTY depuis windows et je me retrouve devant la console, donc c'est
ok.
Squid est aussi installé sous linux.
Inutile. Squid est un proxy HTTP. SSH peut jouer le rôle d'un proxy
SOCKS. Comme firefox sait utiliser un proxy socks, squid devient
de fait inutile.
Sinon, tu peux rediriger le port du proxy HTTP au travers de ta
connexion ssh pour qu'il tape squid, mais c'est se casser la tête
pour pas grand chose.
Par contre je ne comprends pas
comment le navigateur va pouvoir se connecter en passant par la
connexion SSH.
En lui demandant :)
Y'a t-il une modif à faire sous PuTTY ?
Merci.
http://www.google.fr/search?q=putty+ssh+socks
ps: j'ai essayé ssh -ND 8887 -p 22 root@adresse
pourquoi root? Il vaut mieux créer un compte utilisateur.
avec une autre machine
qui est sous linux, je peux me connecter, ensuite j'ai configuré le
proxy avec firefox (localhost 8887), mais il affiche tout le temps une
page blanche sans aucune erreur.
socks, le proxy, socks.
Ok pour le proxy sock, mais j'ai toujours une page blanche.
Squid fonctionne, si j'entre l'adresse du proxy sur un autre pc
j'accède à Internet à travers lui. Par contre, si j'entre l'adresse du
proxy crée avec SSH -ND (...) ou avec PuTTY et un tunnel, nada ça
marche pas.
J'ai vu dans auth.log des 127.0.0.1:80 access denied à gogo.
Peux-tu me dire comment rediriger une requête vers squid depuis ssh ?
Merci
J'ai bien installé le serveur ssh sous linux, je peux me connecter avec PuTTY depuis windows et je me retrouve devant la console, donc c'est ok. Squid est aussi installé sous linux.
Inutile. Squid est un proxy HTTP. SSH peut jouer le rôle d'un proxy SOCKS. Comme firefox sait utiliser un proxy socks, squid devient de fait inutile.
Sinon, tu peux rediriger le port du proxy HTTP au travers de ta connexion ssh pour qu'il tape squid, mais c'est se casser la tête pour pas grand chose.
Par contre je ne comprends pas comment le navigateur va pouvoir se connecter en passant par la connexion SSH.
En lui demandant :)
Y'a t-il une modif à faire sous PuTTY ? Merci.
http://www.google.fr/search?q=putty+ssh+socks
ps: j'ai essayé ssh -ND 8887 -p 22
pourquoi root? Il vaut mieux créer un compte utilisateur.
avec une autre machine qui est sous linux, je peux me connecter, ensuite j'ai configuré le proxy avec firefox (localhost 8887), mais il affiche tout le temps une page blanche sans aucune erreur.
socks, le proxy, socks.
Ok pour le proxy sock, mais j'ai toujours une page blanche.
Squid fonctionne, si j'entre l'adresse du proxy sur un autre pc j'accède à Internet à travers lui. Par contre, si j'entre l'adresse du proxy crée avec SSH -ND (...) ou avec PuTTY et un tunnel, nada ça marche pas. J'ai vu dans auth.log des 127.0.0.1:80 access denied à gogo. Peux-tu me dire comment rediriger une requête vers squid depuis ssh ? Merci
norm
norm a pensé très fort :
Ok pour le proxy sock, mais j'ai toujours une page blanche.
Squid fonctionne, si j'entre l'adresse du proxy sur un autre pc j'accède à Internet à travers lui. Par contre, si j'entre l'adresse du proxy crée avec SSH -ND (...) ou avec PuTTY et un tunnel, nada ça marche pas. J'ai vu dans auth.log des 127.0.0.1:80 access denied à gogo. Peux-tu me dire comment rediriger une requête vers squid depuis ssh ? Merci
Voilà, dans auth.log il y a des
localhost sshd[1662] error: connect_to 127.0.0.1 port 80 failed
qui correspondent à des tentatives de connexion avec Opera configuré avec le proxy sur 127.0.0.1 sur la machine qui fonctionne avec PuTTY et un tunnel qui écoute sur un port précis et redirige vers la connexion SSH sur 127.0.0.1:80
Ai-je merdé ?
Merci
norm a pensé très fort :
Ok pour le proxy sock, mais j'ai toujours une page blanche.
Squid fonctionne, si j'entre l'adresse du proxy sur un autre pc j'accède à
Internet à travers lui. Par contre, si j'entre l'adresse du proxy crée avec
SSH -ND (...) ou avec PuTTY et un tunnel, nada ça marche pas.
J'ai vu dans auth.log des 127.0.0.1:80 access denied à gogo.
Peux-tu me dire comment rediriger une requête vers squid depuis ssh ?
Merci
Voilà, dans auth.log il y a des
localhost sshd[1662] error: connect_to 127.0.0.1 port 80 failed
qui correspondent à des tentatives de connexion avec Opera configuré
avec le proxy sur 127.0.0.1 sur la machine qui fonctionne avec PuTTY et
un tunnel qui écoute sur un port précis et redirige vers la connexion
SSH sur 127.0.0.1:80
Ok pour le proxy sock, mais j'ai toujours une page blanche.
Squid fonctionne, si j'entre l'adresse du proxy sur un autre pc j'accède à Internet à travers lui. Par contre, si j'entre l'adresse du proxy crée avec SSH -ND (...) ou avec PuTTY et un tunnel, nada ça marche pas. J'ai vu dans auth.log des 127.0.0.1:80 access denied à gogo. Peux-tu me dire comment rediriger une requête vers squid depuis ssh ? Merci
Voilà, dans auth.log il y a des
localhost sshd[1662] error: connect_to 127.0.0.1 port 80 failed
qui correspondent à des tentatives de connexion avec Opera configuré avec le proxy sur 127.0.0.1 sur la machine qui fonctionne avec PuTTY et un tunnel qui écoute sur un port précis et redirige vers la connexion SSH sur 127.0.0.1:80
