Connexion SSH diffèrente en local et via Internet

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Connexion SSH diffèrente en local et via Internet

Messagepar interfacebia » 02 Oct 2009 07:03

Bonjour

Est-il possible de se connecter a IPCop en ssh de l'extérieur avec une paraphrase pour un utilisateur A et via le réseau local sans paraphrase pour un utilisateur B ?
Le but serait de permettre a l'utilisateur A de se connecter en local ET via Internet alors que l'utilisateur B ne pourrait se connecter qu'en local.

Je sais faire les deux méthodes (sur 2 serveur linux diffèrents), mais pas sur un même serveur.....

Merci d'avance pour vos réponses
Cordialement
interfacebia
Matelot
Matelot
 
Messages: 4
Inscrit le: 02 Déc 2005 09:40

Re: Connexion SSH diffèrente en local et via Internet

Messagepar Titofe » 02 Oct 2009 07:29

interfacebia a écrit:... Est-il possible de se connecter a IPCop en ssh de l'extérieur avec une paraphrase ...
Que veux-tu dire par "paraphrase"?

interfacebia a écrit:... permettre a l'utilisateur A de se connecter en local ET via Internet alors que l'utilisateur B ne pourrait se connecter qu'en local ...
La seul possibilité qui me vient à l'esprit pour faire ça, c'est de n'autoriser l'accès à IPCop de l'extérieur qu'à une seul IP, donc celle de la personne qui peut aussi bien le faire en local qu'en externe.
Et puis c'est beaucoup mieux de faire ainsi pour l'accès en externe de ton IPCop, que de laisser l'accès à tout le Web.

Cdt,
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar interfacebia » 02 Oct 2009 07:56

Bonjour

Par paraphrase, c'est en fait que pour se connecter a IPCop, il faut avoir la clé ET une un MDP associé, pas simplement celui du compte utilisateur.

Certes, avec une IP fixe, cela règle le problème. Malheureusement les 2 utilisateurs qui se connectent de l'extérieur n'en ont pas.

Cordialement
interfacebia
Matelot
Matelot
 
Messages: 4
Inscrit le: 02 Déc 2005 09:40

Messagepar jdh » 02 Oct 2009 08:10

Le terme correct est "passphrase" et non "paraphrase".

Si on veut améliorer la sécurité de ssh, on doit regarder vers
- le choix de protocole : 2 meilleur que 1, limite au protocole 2
- utilisation de passphrase : encore que ssh-agent simplifie la chose !
- interdire l'accès par root
- contrôle sévère de known_hosts

Mais aussi :
- limitation du nombre de users : pourquoi 2 utilisateurs y ont accès ?
- limitation du nombre de sessions NEW par seconde (depuis l'extérieur surtout)
- utilisation d'un vpn plutôt que l'ouverture de ssh vers l'extérieur
- ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Titofe » 02 Oct 2009 08:30

Merci jdh
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar interfacebia » 02 Oct 2009 08:48

jdh a écrit:Le terme correct est "passphrase" et non "paraphrase".

Si on veut améliorer la sécurité de ssh, on doit regarder vers
- le choix de protocole : 2 meilleur que 1, limite au protocole 2
- utilisation de passphrase : encore que ssh-agent simplifie la chose !
- interdire l'accès par root
- contrôle sévère de known_hosts
- ...


Bonjour

C'est exactement ce que j'ai fait.
Je pensais que ssh était plus (ou au moins aussi) sécurisé qu'un vpn.....

Cordialement
interfacebia
Matelot
Matelot
 
Messages: 4
Inscrit le: 02 Déc 2005 09:40


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron