Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[SSH] Rech qq conseils sur control à distance sécurisé
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
knoax
n00b
n00b


Joined: 07 Dec 2007
Posts: 68

PostPosted: Thu Mar 06, 2008 1:04 pm    Post subject: [SSH] Rech qq conseils sur control à distance sécurisé Reply with quote

Bonjour tous le monde

Je recherches quelques idées/conseils/résultats d'expérience sur le control à distance de poste linux en mode graphique et sécurisé.

J'ai actuellement 2 postes en gentoo.
Mais j'ai un seul écran. J'en ai marre de débrancher mon cable d'écran pour le mettre sur le poste dont j'ai besoin.
Je me suis dis qu'il serait possible via le reseau de controler mon second PC sans écran avec le premier Pc avec Ecran.

Alors je me suis donné les objectifs suivants:
Pouvoir controler un poste
- linux via un autre poste linux
- linux via un autre poste windows
- windows via un autre poste linux
- windows via un autre poste windows
(heureusement que j'ai pas de mac à la maison ^_^)

J'ai fais quelques recherches sur le net, et on recommande
- VNC pour le controle à distance
- openssh pour la sécurité

Il y a quelques années j'avais utilisé VNC pour controler un poste windows via un autre poste windows et le serveur vnc du poste controlé tombait souvent.
Je me demande si depuis, VNC s'est amélioré (je suppose) ou est ce qu'il n'existe pas d'autres softs mieux que VNC

Si vous avez des conseils ou des retours d'expérience je serai ravi de les connaitre

Merci d'avance de votre aide
Knoax
_________________
S'il n'y a pas de solution c'est qu'il n'y a pas de problème!
Les choses ne sont pas réellement difficile. C'est de ne rien faire qui les rend difficiles.
Back to top
View user's profile Send private message
Temet
Advocate
Advocate


Joined: 14 Mar 2006
Posts: 2586
Location: 92

PostPosted: Thu Mar 06, 2008 1:36 pm    Post subject: Reply with quote

Quote:
- linux via un autre poste linux
- linux via un autre poste windows


Freenx !!!!
Ca explose VNC, même quand t'es pas en réseau local, t'as presque l'impression d'être sur le PC disant.

Quote:
- windows via un autre poste linux
- windows via un autre poste windows


Hum, ptet RDP, je sais pas si c'est sécurisé ce truc.
_________________
Full Gentoo powered.
Back to top
View user's profile Send private message
El_Goretto
Moderator
Moderator


Joined: 29 May 2004
Posts: 3098
Location: Paris

PostPosted: Thu Mar 06, 2008 1:46 pm    Post subject: Reply with quote

VNC n'est pas indiqué dans tous les cas, puisqu'il se raccroche à une session graphique "physique". Or, si tu veux faire de l'admin pendant que madame surfe, c'est mort. Sans compter que c'est une usine à gaz si on veut configurer le truc de façon propre avec du SSH automatique tout çà...
Comme je suppose que tout se fait sur ton LAN, on est pas obligé de chiffrer les flux, on se contentera de filtrer les accès.

Dans la série "plus élégant, plus efficace", je citerai les autres prises de main distantes graphique:
Machine à contrôler:
*windows: activer "bureau distant", le truc dans les propriétés du poste de travail. Ca active le RDP/TS. Si t'es un gars préoccupé par la sécu (ce dont je ne doute pas ;)) tu as un firewall sur ton poste ouinouin (genre Kerio/Sunbelt), donc tu pourras n'autoriser que ton poste LAN à venir se connecter. Attention, 2 sessions distantes max simultannées.
*linux: rien (affichage X déportée par SSH pour chaque appli), ou bien XDMCP activé sur ton KDM/GDM/autre

Prise de main depuis:
*windows: client "bureau distant" pour du RDP/TS, xming pour applis linux et XDMCP
*linux: client rdesktop ou autre pour RDP/TS, rien (via ssh -X) ou xnest pour XDMCP

Ca marche impeccable, c'est bien plus réactif que du VNC même en LAN et optimisé.
_________________
-Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
knoax
n00b
n00b


Joined: 07 Dec 2007
Posts: 68

PostPosted: Thu Mar 06, 2008 2:31 pm    Post subject: Reply with quote

Je suis tjs surpris de la rapidité des réponses dans ce forum (je trouve ça génial)

Bref merci à Temet et El_Goretto pour leur avis

El_Goretto bien que tu me connaisses un peu tu n'as pas tout à fait tord du fait que je souhaite faire ça sur mon LAN.

Mais je souhaite aussi controler (avec accrochage de session graphique) un poste windows (et dans le futur linux) via le net.
En effet ma mère s'est mise à l'informatique et je vous passe les détails sur tous les pbs qu'elle rencontre.
Afin d'éviter tout déplacement inutile, j'aimerai bien aussi controler à distance et de manière sécurisé un poste windows.
Et je sens que ma mère va aussi passer sous linux donc j'anticipe aussi le controle d'un poste linux via le net et bien sur tjs de manière sécurisé.
Si vous avez des propositions, conseil je suis preneur ^_^

Sinon petite question pour EL_Goretto
Tous les postes sur mon LAN n'ont pas de firewall (c'est po bien)
La raison est que tous mes PCs passent par un routeur muni d'un firewall pour aller sur le net alors je ne voyais pas l'utilité d'ajouter un second firewall pour chaque poste.
Il est vrai qu'il y a tjs le risque qu'un PC soit infecté et contamine les autres. Mais pour le moment aucun PC ne se parle entre eux. bien sur les postes windobien sont muni de l'antivirus avast mais rien coté linux.
Y a-t-il d'autres risques de ne pas avoir en plus un firewall supplémentaire sur chaque poste?

Encore merci pour vos conseils, je vais étudier tous les softs que vous me proposez.
Knoax
_________________
S'il n'y a pas de solution c'est qu'il n'y a pas de problème!
Les choses ne sont pas réellement difficile. C'est de ne rien faire qui les rend difficiles.
Back to top
View user's profile Send private message
El_Goretto
Moderator
Moderator


Joined: 29 May 2004
Posts: 3098
Location: Paris

PostPosted: Thu Mar 06, 2008 3:01 pm    Post subject: Reply with quote

Ok, ben pour les linux, un coup de tunnelling ssh à la mano pour faire transiter les protocoles non sécu à travers le net (comme XDMCP) et hop. Mais dès que le poste à contrôler est un windows, ça se complique. Oui, ya toujours la solution serveur openssh sur du cygwin, mais bon, s'il faut que maman lance le truc en ligne de commande pour que tu te connectes... Désolé, pour du Windows, je n'ai pas d'idée, je pars du principe qu'un coup de tightvnc avec le serveur lancé uniquement à la demande, ça suffit le temps de la manip' de SAV. Je ne pense pas qu'on puisse laisser tourner en permanence un service de prise de main distante sur un windows et rester serein. Enfin c'est toi qui vois, si tu es un fils indigne ou non ;)

Ceci dit, tous les PC ouinouin devraient avec leur firewall, toujours... même en LAN. Kerio/Sunbelt étant gratos, on aurait tort de ce priver de ce produit efficace et léger. Ca permet aussi de filter ce qui sort (genre les petites features non documentées made in krosoft, WMP en tête).
_________________
-Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1042

PostPosted: Thu Mar 06, 2008 4:04 pm    Post subject: Reply with quote

El_Goretto wrote:

*windows: activer "bureau distant", le truc dans les propriétés du poste de travail. Ca active le RDP/TS. Si t'es un gars préoccupé par la sécu (ce dont je ne doute pas ;)) tu as un firewall sur ton poste ouinouin (genre Kerio/Sunbelt), donc tu pourras n'autoriser que ton poste LAN à venir se connecter. Attention, 2 sessions distantes max simultannées.


8O 8O 8O Sous XP, la prise de controle à distance verrouille la console et tu ne peux avoir qu'une session maxi (c'est sous 2000/2003/2008 que tu peux avoir 2 sessions distantes, 3 avec la console à laquelle tu peux accéder sous 2003)

Quand au troll^Wdébat firewall sur le lan, je n'ai pas de firewall sur mes PC XP/Vista et je ne m'en porte pas plus mal : ça consomme des ressources pour que dalle. Mais je n'utilise pas WMP et quand j'installe un nouveau soft, un p'tit coup de tcpview permet de savoir ce qui se passe ... Mais sur le portable de ma femme, comodo tourne tout le temps. Et c'est aussi mieux vu ce qu'elle fait dessus :twisted:
_________________
--
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.

----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong."
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Thu Mar 06, 2008 4:27 pm    Post subject: Reply with quote

Pour le windows, l'ideal serait d'avoir une machine sous linux qui fasse office de parefeu et routeur. De là pourrai aussi en faire un serveur openvpn et ainsi monter un tunnel entre ton poste et le serveur openvpn.
Tu configures le parefeu pour laisser passer les ports qui vont bien (openvpn + prise de contrôle à distance). Tu n'as plus besoin de te preocuper de la sécurité au niveau du logiciel de prise de contrôle. penvpn s'en charge à la place ;)

Bon, sachant que dans 99% des cas c'est pas realisable, tu peux peut être chercher s'il existe un serveur vpn gratuit pour windows. Je suppose qu'il y a une box qui fait office de routeur/pseudo parefeu donc ce sera à la box d'ouvrir les ports adequats.

Un truc de ce genre peut le faire.
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
El_Goretto
Moderator
Moderator


Joined: 29 May 2004
Posts: 3098
Location: Paris

PostPosted: Thu Mar 06, 2008 5:39 pm    Post subject: Reply with quote

nico_calais: très bonne idée, ya toujours openVPN et sa GUI sous Windows :)
Oupsman: au temps pour moi, indeed, je ne pensais pas que XP était encore plus limité que 2003... Pardon aux familles tout çà :)
_________________
-Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Thu Mar 06, 2008 8:46 pm    Post subject: Reply with quote

Quote:
Ceci dit, tous les PC ouinouin devraient avec leur firewall, toujours... même en LAN. Kerio/Sunbelt étant gratos, on aurait tort de ce priver de ce produit efficace et léger. Ca permet aussi de filter ce qui sort (genre les petites features non documentées made in krosoft, WMP en tête).


Si tu as un parefeu digne de ce nom, il fait lui même le boulot si tu bloques tout de base et que tu n'ouvres uniquement ce que tu as besoin.
C'est d'ailleurs interressant de voir les logs que génère le parefeu. Au moment ou j'avais un mac, il polluait plus que le windows ^^

Quote:
nico_calais: très bonne idée, ya toujours openVPN et sa GUI sous Windows :)


Arff je savais pas qu'il existait sous windows :)



Mais sinon, il reste aussi la possibilité de mettre un tcho linux à la place du windows :roll:
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum