View previous topic :: View next topic |
Author |
Message |
knoax n00b

Joined: 07 Dec 2007 Posts: 68
|
Posted: Thu Mar 06, 2008 1:04 pm Post subject: [SSH] Rech qq conseils sur control à distance sécurisé |
|
|
Bonjour tous le monde
Je recherches quelques idées/conseils/résultats d'expérience sur le control à distance de poste linux en mode graphique et sécurisé.
J'ai actuellement 2 postes en gentoo.
Mais j'ai un seul écran. J'en ai marre de débrancher mon cable d'écran pour le mettre sur le poste dont j'ai besoin.
Je me suis dis qu'il serait possible via le reseau de controler mon second PC sans écran avec le premier Pc avec Ecran.
Alors je me suis donné les objectifs suivants:
Pouvoir controler un poste
- linux via un autre poste linux
- linux via un autre poste windows
- windows via un autre poste linux
- windows via un autre poste windows
(heureusement que j'ai pas de mac à la maison ^_^)
J'ai fais quelques recherches sur le net, et on recommande
- VNC pour le controle à distance
- openssh pour la sécurité
Il y a quelques années j'avais utilisé VNC pour controler un poste windows via un autre poste windows et le serveur vnc du poste controlé tombait souvent.
Je me demande si depuis, VNC s'est amélioré (je suppose) ou est ce qu'il n'existe pas d'autres softs mieux que VNC
Si vous avez des conseils ou des retours d'expérience je serai ravi de les connaitre
Merci d'avance de votre aide
Knoax _________________ S'il n'y a pas de solution c'est qu'il n'y a pas de problème!
Les choses ne sont pas réellement difficile. C'est de ne rien faire qui les rend difficiles. |
|
Back to top |
|
 |
Temet Advocate


Joined: 14 Mar 2006 Posts: 2586 Location: 92
|
Posted: Thu Mar 06, 2008 1:36 pm Post subject: |
|
|
Quote: | - linux via un autre poste linux
- linux via un autre poste windows |
Freenx !!!!
Ca explose VNC, même quand t'es pas en réseau local, t'as presque l'impression d'être sur le PC disant.
Quote: | - windows via un autre poste linux
- windows via un autre poste windows |
Hum, ptet RDP, je sais pas si c'est sécurisé ce truc. _________________ Full Gentoo powered. |
|
Back to top |
|
 |
El_Goretto Moderator


Joined: 29 May 2004 Posts: 3101 Location: Paris
|
Posted: Thu Mar 06, 2008 1:46 pm Post subject: |
|
|
VNC n'est pas indiqué dans tous les cas, puisqu'il se raccroche à une session graphique "physique". Or, si tu veux faire de l'admin pendant que madame surfe, c'est mort. Sans compter que c'est une usine à gaz si on veut configurer le truc de façon propre avec du SSH automatique tout çà...
Comme je suppose que tout se fait sur ton LAN, on est pas obligé de chiffrer les flux, on se contentera de filtrer les accès.
Dans la série "plus élégant, plus efficace", je citerai les autres prises de main distantes graphique:
Machine à contrôler:
*windows: activer "bureau distant", le truc dans les propriétés du poste de travail. Ca active le RDP/TS. Si t'es un gars préoccupé par la sécu (ce dont je ne doute pas ) tu as un firewall sur ton poste ouinouin (genre Kerio/Sunbelt), donc tu pourras n'autoriser que ton poste LAN à venir se connecter. Attention, 2 sessions distantes max simultannées.
*linux: rien (affichage X déportée par SSH pour chaque appli), ou bien XDMCP activé sur ton KDM/GDM/autre
Prise de main depuis:
*windows: client "bureau distant" pour du RDP/TS, xming pour applis linux et XDMCP
*linux: client rdesktop ou autre pour RDP/TS, rien (via ssh -X) ou xnest pour XDMCP
Ca marche impeccable, c'est bien plus réactif que du VNC même en LAN et optimisé. _________________ -Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312 |
|
Back to top |
|
 |
knoax n00b

Joined: 07 Dec 2007 Posts: 68
|
Posted: Thu Mar 06, 2008 2:31 pm Post subject: |
|
|
Je suis tjs surpris de la rapidité des réponses dans ce forum (je trouve ça génial)
Bref merci à Temet et El_Goretto pour leur avis
El_Goretto bien que tu me connaisses un peu tu n'as pas tout à fait tord du fait que je souhaite faire ça sur mon LAN.
Mais je souhaite aussi controler (avec accrochage de session graphique) un poste windows (et dans le futur linux) via le net.
En effet ma mère s'est mise à l'informatique et je vous passe les détails sur tous les pbs qu'elle rencontre.
Afin d'éviter tout déplacement inutile, j'aimerai bien aussi controler à distance et de manière sécurisé un poste windows.
Et je sens que ma mère va aussi passer sous linux donc j'anticipe aussi le controle d'un poste linux via le net et bien sur tjs de manière sécurisé.
Si vous avez des propositions, conseil je suis preneur ^_^
Sinon petite question pour EL_Goretto
Tous les postes sur mon LAN n'ont pas de firewall (c'est po bien)
La raison est que tous mes PCs passent par un routeur muni d'un firewall pour aller sur le net alors je ne voyais pas l'utilité d'ajouter un second firewall pour chaque poste.
Il est vrai qu'il y a tjs le risque qu'un PC soit infecté et contamine les autres. Mais pour le moment aucun PC ne se parle entre eux. bien sur les postes windobien sont muni de l'antivirus avast mais rien coté linux.
Y a-t-il d'autres risques de ne pas avoir en plus un firewall supplémentaire sur chaque poste?
Encore merci pour vos conseils, je vais étudier tous les softs que vous me proposez.
Knoax _________________ S'il n'y a pas de solution c'est qu'il n'y a pas de problème!
Les choses ne sont pas réellement difficile. C'est de ne rien faire qui les rend difficiles. |
|
Back to top |
|
 |
El_Goretto Moderator


Joined: 29 May 2004 Posts: 3101 Location: Paris
|
Posted: Thu Mar 06, 2008 3:01 pm Post subject: |
|
|
Ok, ben pour les linux, un coup de tunnelling ssh à la mano pour faire transiter les protocoles non sécu à travers le net (comme XDMCP) et hop. Mais dès que le poste à contrôler est un windows, ça se complique. Oui, ya toujours la solution serveur openssh sur du cygwin, mais bon, s'il faut que maman lance le truc en ligne de commande pour que tu te connectes... Désolé, pour du Windows, je n'ai pas d'idée, je pars du principe qu'un coup de tightvnc avec le serveur lancé uniquement à la demande, ça suffit le temps de la manip' de SAV. Je ne pense pas qu'on puisse laisser tourner en permanence un service de prise de main distante sur un windows et rester serein. Enfin c'est toi qui vois, si tu es un fils indigne ou non
Ceci dit, tous les PC ouinouin devraient avec leur firewall, toujours... même en LAN. Kerio/Sunbelt étant gratos, on aurait tort de ce priver de ce produit efficace et léger. Ca permet aussi de filter ce qui sort (genre les petites features non documentées made in krosoft, WMP en tête). _________________ -Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312 |
|
Back to top |
|
 |
Oupsman Veteran

Joined: 19 Jul 2004 Posts: 1042
|
Posted: Thu Mar 06, 2008 4:04 pm Post subject: |
|
|
El_Goretto wrote: |
*windows: activer "bureau distant", le truc dans les propriétés du poste de travail. Ca active le RDP/TS. Si t'es un gars préoccupé par la sécu (ce dont je ne doute pas ) tu as un firewall sur ton poste ouinouin (genre Kerio/Sunbelt), donc tu pourras n'autoriser que ton poste LAN à venir se connecter. Attention, 2 sessions distantes max simultannées.
|
Sous XP, la prise de controle à distance verrouille la console et tu ne peux avoir qu'une session maxi (c'est sous 2000/2003/2008 que tu peux avoir 2 sessions distantes, 3 avec la console à laquelle tu peux accéder sous 2003)
Quand au troll^Wdébat firewall sur le lan, je n'ai pas de firewall sur mes PC XP/Vista et je ne m'en porte pas plus mal : ça consomme des ressources pour que dalle. Mais je n'utilise pas WMP et quand j'installe un nouveau soft, un p'tit coup de tcpview permet de savoir ce qui se passe ... Mais sur le portable de ma femme, comodo tourne tout le temps. Et c'est aussi mieux vu ce qu'elle fait dessus  _________________ --
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.
----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong." |
|
Back to top |
|
 |
nico_calais l33t


Joined: 09 Jun 2005 Posts: 628 Location: Saint Julien en Genevois
|
Posted: Thu Mar 06, 2008 4:27 pm Post subject: |
|
|
Pour le windows, l'ideal serait d'avoir une machine sous linux qui fasse office de parefeu et routeur. De là pourrai aussi en faire un serveur openvpn et ainsi monter un tunnel entre ton poste et le serveur openvpn.
Tu configures le parefeu pour laisser passer les ports qui vont bien (openvpn + prise de contrôle à distance). Tu n'as plus besoin de te preocuper de la sécurité au niveau du logiciel de prise de contrôle. penvpn s'en charge à la place
Bon, sachant que dans 99% des cas c'est pas realisable, tu peux peut être chercher s'il existe un serveur vpn gratuit pour windows. Je suppose qu'il y a une box qui fait office de routeur/pseudo parefeu donc ce sera à la box d'ouvrir les ports adequats.
Un truc de ce genre peut le faire. _________________ "Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
Back to top |
|
 |
El_Goretto Moderator


Joined: 29 May 2004 Posts: 3101 Location: Paris
|
Posted: Thu Mar 06, 2008 5:39 pm Post subject: |
|
|
nico_calais: très bonne idée, ya toujours openVPN et sa GUI sous Windows
Oupsman: au temps pour moi, indeed, je ne pensais pas que XP était encore plus limité que 2003... Pardon aux familles tout çà  _________________ -Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312 |
|
Back to top |
|
 |
nico_calais l33t


Joined: 09 Jun 2005 Posts: 628 Location: Saint Julien en Genevois
|
Posted: Thu Mar 06, 2008 8:46 pm Post subject: |
|
|
Quote: | Ceci dit, tous les PC ouinouin devraient avec leur firewall, toujours... même en LAN. Kerio/Sunbelt étant gratos, on aurait tort de ce priver de ce produit efficace et léger. Ca permet aussi de filter ce qui sort (genre les petites features non documentées made in krosoft, WMP en tête). |
Si tu as un parefeu digne de ce nom, il fait lui même le boulot si tu bloques tout de base et que tu n'ouvres uniquement ce que tu as besoin.
C'est d'ailleurs interressant de voir les logs que génère le parefeu. Au moment ou j'avais un mac, il polluait plus que le windows ^^
Quote: | nico_calais: très bonne idée, ya toujours openVPN et sa GUI sous Windows  |
Arff je savais pas qu'il existait sous windows
Mais sinon, il reste aussi la possibilité de mettre un tcho linux à la place du windows  _________________ "Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
Back to top |
|
 |
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|