[RESOLU] modifier son mot de passe par internet

[mhemart]

Bonjour à tous,
J'essaye de trouver une solution pour permettre aux personnes qui utilisent mon serveur de pouvoir modifier leur mot de passe ou autre. J'ai installé le rpm user-manager mais pour l'utiliser, il faut être à l'intérieur de son réseau local. La seule méthode que j'avais trouvée était de créer un réseau 0.0.0.0 avec un masque de 0.0.0.0. Ca ne me convient pas parce qu'il ne s'agit pas d'une solution très orthodoxe et encore moins sécurisée ! Je n'y connais pas grand chose en VPN mais j'ai déclaré mes utilisateurs avec un accès VPN mais cela ne change rien à l'accès à cette interface (erreur 403). Quelqu'un aurait-il une solution à me proposer ?
Merci d'avance.

[mhemart]

J'ai trouvé comment faire. Dans les accès à distance, il suffit de modifier le nombre de connexion PPTN et de rajouter 0.0.0.0 et 0.0.0.0 dans les hôtes.

Merci de m'avoir lu malgré tout !

[leso]

avec ce lien ca marchait pas? http://nom ou domaine du sme/user-password

[mhemart]

Salut leso,
Non, ça ne marchait pas, mes utilisateurs tombaient sur un accès 403 (forbidden).
L'essentiel est que ça fonctionne maintenant sans avoir à déclarer tout internet comme un réseau local !!!

[Muzo]

Salut,

Salut leso,
Non, ça ne marchait pas, mes utilisateurs tombaient sur un accès 403 (forbidden).
L'essentiel est que ça fonctionne maintenant sans avoir à déclarer tout internet comme un réseau local !!!

Alors l'authentification ssh fonctionne aussi via le net? donc o eut accéder à ton compte ROOT depuis le net?

[mhemart]

Salut Muzo,
euh oui j'ai mis l'accès à l'authentification SSH par le net et donc par la même occasion, je peux accéder à mon compte ROOT. Je sens que c'est pas une bonne idée ça ???
Disons que pour le moment j'essaye d'installer mon système avant de désactiver l'authentification SSH.
Si tu as des conseils pour sécuriser mon serveur mais tout en me laissant la possibilité de pouvoir y accéder de temps en temps, étant donné que je débute, ce serait sympa !

Petite correction : non, j'ai dit une erreur (pas réveillé ce matin !), j'ai désactivé l'accès SSH à travers internet et j'ai déclaré l'adresse IP fixe de l'ordinateur qui me sert à accéder au serveur en tant que réseau local. Donc pas d'accès SSH à travers le net (seulement pour les réseaux locaux, ce qui inclus l'ordi de l'autre côté du net !). Déjà moins dangereux comme accès ?

[Muzo]

Non car tu as déclaré le net comme faisant parti de ton réseau local.

[mhemart]

OK, donc j'ai ouvert un trou gros comme une maison dans ma sécurité alors ?
J'ai lu sur le site de SMEServer.fr qu'il y avait une autre solution :

la solution la plus sécurisante, consistant à désactiver l'option Autoriser l'administrateur à se connecter au serveur par SSH dans la page Accès à distance du gestionnaire du serveur. Mais ceci impose bien entendu de pouvoir se loguer avec un autre compte pour administrer le serveur via SSH

Y a t il une possibilité de créer un utilisateur ayant les même pouvoirs que le ROOT ?

[Muzo]

Oui, c'est faisable.
Mais là si tu veux en savoir plus je te conseil de surfer sur le site léa-linux

[MasterSleepy]

Salut,

Il y a une autre solution,
modifier le template pour la gestion de user-password.
Voici comment je ferais

ATTENTION uniquement sur la version 6
Création du répertoire de template

Code: Tout sélectionner

mkdir -p /etc/e-smith/templates/etc/httpd/conf/httpd.conf/

Copie de l'ancien template

Code: Tout sélectionner

cp /etc/e-smith/templates/etc/httpd/conf/httpd.conf/92ProxyPassPassword /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/92ProxyPassPassword

Modification du template

Code: Tout sélectionner

pico /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/92ProxyPassPassword

il devra ressembler à

Code: Tout sélectionner

{
# ProxyPass executes a module which relays requests to another server
# We use it to allow transparent access to the admin instance of the
# web server.
}

ProxyPass /e-smith-password http://127.0.0.1:980/user-password/
<Location /e-smith-password>
    RequireSSL on
    order deny,allow
    deny from all
    allow form all
</Location>

ProxyPass /user-password http://127.0.0.1:980/user-password/
<Location /user-password>
    RequireSSL on

    order deny,allow
    deny from all
    allow from all
</Location>


et enfin le classique

Code: Tout sélectionner

/sbin/e-smith/expand-template /etc/httpd/conf/httpd.conf
service httpd-e-smith gracefull

Donc ca se serait pour la version 6.
Je cherche encore pour la 7.
Je reviens dès que j'ai trouvé.

A+

[Grand-Pa]

Plutôt que de créer des comptes "sudo" (qui ne me semblent pas vraiment utiles dans ton cas), une solution plus simple pourrait être, depuis le gestionnaire du serveur :
- "Réseaux locaux" : NE PAS mettre de machines externes (ie. sur Internet) !!!
- "Accès à distance" / "gestion à distance" : tu indiques la ou les machines qui peuvent accéder à la gestion du serveur (pour avoir accès aux gestionnaires du serveur et des mots de passe)
- "Accès à distance" / "Paramètres SSH" : dans l'ordre, il faut mettre "Permettre l'accès public (tout Internet)", "Non", "Non" (pour avoir accès au shell depuis le Net)

Ensuite, tu crées un utilisateur lambda, tu l'autorise à accéder au shell et tu lui crées sa paire de clés SSH.
Comme indiqué dans le dernier lien, tu te connectes avec cet utilisateur et pour ouvrir une session root, il suffit de taper en ligne de commande su et d'indiquer le mot de passe root.

[mhemart]

Salut Master, je crois que cette solution est déjà quelque chose qui me plait beaucoup plus. Je pense avoir compris la façon dont ça fonctionne mais pour simple vérification, si tu pouvais me donner la bonne version pour la SME7, je vais essayer de mon côté de chipoter au template et voir si j'obtiens quelque chose.
En ce qui concerne la méthode de Muzo, j'ai lu quelque chose à propos de la modification du fichier sudoers. Par contre, je ne connais pas encore bien linux donc, je continue de creuser cette piste pour gagner en sécurité.

J'adore cette communauté super-réactive, ça fait plaisir de débuter sous un nouveau système d'exploitation de cette manière !

[mhemart]

Bonjour et merci Grand-Pa !
En combinant ta méthode et celle de Master, je pense arriver au compromis que je voulais obtenir !
Encore merci !

[MasterSleepy]

OK j'ai trouvé la solution pour la version 7.

Voici donc la procédure

Création du répertoire de template

Code: Tout sélectionner

mkdir /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/VirtualHosts

copy de l'ancien template

Code: Tout sélectionner

cp /etc/e-smith/templates/etc/httpd/conf/httpd.conf/VirtualHosts/27ManagerProxyPass /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/VirtualHosts/

Modification du template

Code: Tout sélectionner

pico /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/VirtualHosts/27ManagerProxyPass

Il doit resembler à:

Code: Tout sélectionner

{
    # vim: ft=perl:

    $haveSSL = (exists ${modSSL}{status} and ${modSSL}{status} eq "enabled") ?  'yes' : 'no';
    $plainTextAccess = ${'httpd-admin'}{PermitPlainTextAccess} || 'no';

    $OUT = '';
    foreach $place ('server-manager','server-common')
    {
        if (($port eq "80") && ($haveSSL eq 'yes') && ($plainTextAccess ne 'yes'))
        {
            $OUT .= "    RewriteRule ^/$place(/.*|\$)    https://%{HTTP_HOST}/$place\$1 [L,R]\n";
        } else {
            $OUT .= "    ProxyPass /$place http://127.0.0.1:${'httpd-admin'}{TCPPort}/$place/\n";
        }

        $OUT .= "    <Location /$place>\n";
        $OUT .= "        order deny,allow\n";
        $OUT .= "        deny from all\n";
        if (($haveSSL eq 'yes') && (($port eq "443") || ($plainTextAccess ne 'yes')))
        {
            $OUT .= "        allow from $localAccess $externalSSLAccess\n";
        } else {
            $OUT .= "        allow from $localAccess\n";
        }
        $OUT .= "    </Location>\n";
    }
      if (($port eq "80") && ($haveSSL eq 'yes') && ($plainTextAccess ne 'yes'))
      {
            $OUT .= "    RewriteRule ^/user-password(/.*|\$)    https://%{HTTP_HOST}/user-password\$1 [L,R]\n";
      } else {
            $OUT .= "    ProxyPass /user-password http://127.0.0.1:${'httpd-admin'}{TCPPort}/user-password/\n";
      }

      $OUT .= "    <Location /user-password>\n";
      $OUT .= "        order deny,allow\n";
      $OUT .= "        deny from all\n";
      $OUT .= "        allow from all\n";
      $OUT .= "    </Location>\n";
}


et enfin

Code: Tout sélectionner

expand-template /etc/httpd/conf/httpd.conf
service httpd-e-smith sigusr1

A+

[mhemart]

Merci à vous deux, j'ai enfin réussi à trouver la solution à ce problème ! J'ai pu conserver l'accès administrateur malgré tout et j'ai enfin une base pour modifier les accès pour mes utilisateurs !

Très bonne réactivité de votre part, je tire mon chapeau !!