[SSH] Rech qq conseils sur control à distance sécurisé

[knoax]

Bonjour tous le monde

Je recherches quelques idées/conseils/résultats d'expérience sur le control à distance de poste linux en mode graphique et sécurisé.

J'ai actuellement 2 postes en gentoo.
Mais j'ai un seul écran. J'en ai marre de débrancher mon cable d'écran pour le mettre sur le poste dont j'ai besoin.
Je me suis dis qu'il serait possible via le reseau de controler mon second PC sans écran avec le premier Pc avec Ecran.

Alors je me suis donné les objectifs suivants:
Pouvoir controler un poste
- linux via un autre poste linux
- linux via un autre poste windows
- windows via un autre poste linux
- windows via un autre poste windows
(heureusement que j'ai pas de mac à la maison ^_^)

J'ai fais quelques recherches sur le net, et on recommande
- VNC pour le controle à distance
- openssh pour la sécurité

Il y a quelques années j'avais utilisé VNC pour controler un poste windows via un autre poste windows et le serveur vnc du poste controlé tombait souvent.
Je me demande si depuis, VNC s'est amélioré (je suppose) ou est ce qu'il n'existe pas d'autres softs mieux que VNC

Si vous avez des conseils ou des retours d'expérience je serai ravi de les connaitre

Merci d'avance de votre aide
Knoax
_________________
S'il n'y a pas de solution c'est qu'il n'y a pas de problème!
Les choses ne sont pas réellement difficile. C'est de ne rien faire qui les rend difficiles.

[Temet]

[El_Goretto]

VNC n'est pas indiqué dans tous les cas, puisqu'il se raccroche à une session graphique "physique". Or, si tu veux faire de l'admin pendant que madame surfe, c'est mort. Sans compter que c'est une usine à gaz si on veut configurer le truc de façon propre avec du SSH automatique tout çà...
Comme je suppose que tout se fait sur ton LAN, on est pas obligé de chiffrer les flux, on se contentera de filtrer les accès.

Dans la série "plus élégant, plus efficace", je citerai les autres prises de main distantes graphique:
Machine à contrôler:
*windows: activer "bureau distant", le truc dans les propriétés du poste de travail. Ca active le RDP/TS. Si t'es un gars préoccupé par la sécu (ce dont je ne doute pas ) tu as un firewall sur ton poste ouinouin (genre Kerio/Sunbelt), donc tu pourras n'autoriser que ton poste LAN à venir se connecter. Attention, 2 sessions distantes max simultannées.
*linux: rien (affichage X déportée par SSH pour chaque appli), ou bien XDMCP activé sur ton KDM/GDM/autre

Prise de main depuis:
*windows: client "bureau distant" pour du RDP/TS, xming pour applis linux et XDMCP
*linux: client rdesktop ou autre pour RDP/TS, rien (via ssh -X) ou xnest pour XDMCP

Ca marche impeccable, c'est bien plus réactif que du VNC même en LAN et optimisé.
_________________
-Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312

[knoax]

Je suis tjs surpris de la rapidité des réponses dans ce forum (je trouve ça génial)

Bref merci à Temet et El_Goretto pour leur avis

El_Goretto bien que tu me connaisses un peu tu n'as pas tout à fait tord du fait que je souhaite faire ça sur mon LAN.

Mais je souhaite aussi controler (avec accrochage de session graphique) un poste windows (et dans le futur linux) via le net.
En effet ma mère s'est mise à l'informatique et je vous passe les détails sur tous les pbs qu'elle rencontre.
Afin d'éviter tout déplacement inutile, j'aimerai bien aussi controler à distance et de manière sécurisé un poste windows.
Et je sens que ma mère va aussi passer sous linux donc j'anticipe aussi le controle d'un poste linux via le net et bien sur tjs de manière sécurisé.
Si vous avez des propositions, conseil je suis preneur ^_^

Sinon petite question pour EL_Goretto
Tous les postes sur mon LAN n'ont pas de firewall (c'est po bien)
La raison est que tous mes PCs passent par un routeur muni d'un firewall pour aller sur le net alors je ne voyais pas l'utilité d'ajouter un second firewall pour chaque poste.
Il est vrai qu'il y a tjs le risque qu'un PC soit infecté et contamine les autres. Mais pour le moment aucun PC ne se parle entre eux. bien sur les postes windobien sont muni de l'antivirus avast mais rien coté linux.
Y a-t-il d'autres risques de ne pas avoir en plus un firewall supplémentaire sur chaque poste?

Encore merci pour vos conseils, je vais étudier tous les softs que vous me proposez.
Knoax
_________________
S'il n'y a pas de solution c'est qu'il n'y a pas de problème!
Les choses ne sont pas réellement difficile. C'est de ne rien faire qui les rend difficiles.

[El_Goretto]

Ok, ben pour les linux, un coup de tunnelling ssh à la mano pour faire transiter les protocoles non sécu à travers le net (comme XDMCP) et hop. Mais dès que le poste à contrôler est un windows, ça se complique. Oui, ya toujours la solution serveur openssh sur du cygwin, mais bon, s'il faut que maman lance le truc en ligne de commande pour que tu te connectes... Désolé, pour du Windows, je n'ai pas d'idée, je pars du principe qu'un coup de tightvnc avec le serveur lancé uniquement à la demande, ça suffit le temps de la manip' de SAV. Je ne pense pas qu'on puisse laisser tourner en permanence un service de prise de main distante sur un windows et rester serein. Enfin c'est toi qui vois, si tu es un fils indigne ou non

Ceci dit, tous les PC ouinouin devraient avec leur firewall, toujours... même en LAN. Kerio/Sunbelt étant gratos, on aurait tort de ce priver de ce produit efficace et léger. Ca permet aussi de filter ce qui sort (genre les petites features non documentées made in krosoft, WMP en tête).
_________________
-Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312

[Oupsman]

[nico_calais]

Pour le windows, l'ideal serait d'avoir une machine sous linux qui fasse office de parefeu et routeur. De là pourrai aussi en faire un serveur openvpn et ainsi monter un tunnel entre ton poste et le serveur openvpn.
Tu configures le parefeu pour laisser passer les ports qui vont bien (openvpn + prise de contrôle à distance). Tu n'as plus besoin de te preocuper de la sécurité au niveau du logiciel de prise de contrôle. penvpn s'en charge à la place

Bon, sachant que dans 99% des cas c'est pas realisable, tu peux peut être chercher s'il existe un serveur vpn gratuit pour windows. Je suppose qu'il y a une box qui fait office de routeur/pseudo parefeu donc ce sera à la box d'ouvrir les ports adequats.

Un truc de ce genre peut le faire.
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no

[El_Goretto]

nico_calais: très bonne idée, ya toujours openVPN et sa GUI sous Windows
Oupsman: au temps pour moi, indeed, je ne pensais pas que XP était encore plus limité que 2003... Pardon aux familles tout çà
_________________
-Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312

[nico_calais]