Script CGI et ssh...

par **PELLE** » 25 Sep 2008 17:48

Salut,
je suis en train d'écrire un petit CGI et je bloque sur un truc.

Le script (perl) doit se connecter par ssh sur un autre serveur et y executer une commande tout simplement par :

Code: Tout sélectionner: ssh root@<serveur> ip neigh show

Bon peu importe la commande.

Ca marche très bien en root (j'ai donné la clef publique RSA au serveur).
Par contre quand j'execute le CGI il tourne sous l'identité www et la ca marche plus...

C'est logique mais j'arrive pas à trouver de solution...

Une idée, MercI
A+

par **jdh** » 25 Sep 2008 19:32

Je présume que le but est de connaître la table arp d'une machine cible.

(table arp : table de correspondances "connues" adresses MAC <-> adresses IP)

* réalisation sous Perl
Je ne suis pas sur que Perl (et son système cgi-bin) soit le plus adapté pour réaliser cela. Me semble que SME est plus à l'aise avec php.
L'exécution de commande système est toujours délicat à partir d'un pgm Perl ou pgm Php au travers d'un site web : problèmes de droits, problèmes de users. C'est forcément une faiblesse.

Néanmoins, si root dispose de clé pour exécuter facilement des commandes ssh sur d'autres machines, il me semble que copier ces clés pour l'utilisateur www-data doit permettre d'en faire autant ... (je suis volontairement sybillin).

* y a-t-il d'autre solutions ?
Dans un réseau d'entreprise, il y a une façon (assez) simple de connaître tous les couples adresses mac, adresses ip, y compris dans un réseau multi-sites.

Cela me paraîtrait intéressant de regarder la question avec d'autres outils ... (sous réserves que cela corresponde au besoin).

par **PELLE** » 25 Sep 2008 20:41

jdh a écrit:Je présume que le but est de connaître la table arp d'une machine cible.

(table arp : table de correspondances "connues" adresses MAC <-> adresses IP)

L'objectif final est un tout petit plus compliqué mais pour cette étape c'est bien ca. (J'aurais pu regarder les baux DHCP mais si il y a des machines a adresses statiques ca marche pas.)

* réalisation sous Perl
Je ne suis pas sur que Perl (et son système cgi-bin) soit le plus adapté pour réaliser cela. Me semble que SME est plus à l'aise avec php.
L'exécution de commande système est toujours délicat à partir d'un pgm Perl ou pgm Php au travers d'un site web : problèmes de droits, problèmes de users. C'est forcément une faiblesse.

Je sais que c'est probablement une faiblesse mais je n'ai pas de contraintes de sécurités à gérer... :roll:

Néanmoins, si root dispose de clé pour exécuter facilement des commandes ssh sur d'autres machines, il me semble que copier ces clés pour l'utilisateur www-data doit permettre d'en faire autant ... (je suis volontairement sybillin).

Je me suis dis la même chose mais à priori ca ne marche pas, même avec -i, mais je viens de voir dans le manuel de ssh qui pourrais me faire comprendre pourquoi.

Je vais quand même retester.

* y a-t-il d'autre solutions ?
Dans un réseau d'entreprise, il y a une façon (assez) simple de connaître tous les couples adresses mac, adresses ip, y compris dans un réseau multi-sites.

Cela me paraîtrait intéressant de regarder la question avec d'autres outils ... (sous réserves que cela corresponde au besoin).

J'aurais bien une autre solution en permettant à une autre de mes machine de faire ce travail et d'envoyer les infos au SME mais je trouve ca lourd...

Merci en tout cas.

par **jdh** » 25 Sep 2008 20:57

Si j'écris "Je présume", c'est que je ne comprends pas l'objectif final.

Si je ne cite pas un produit intéressant tournant autour d'arp, c'est que je ne veux pas donner une direction inadaptée.

Néanmoins, si tu disais un peu plus de l'objectif final ...

par **Franck78** » 25 Sep 2008 22:10

ssh possède un mode "debug"
-v Verbose mode. Causes ssh to print debugging messages about its
progress. This is helpful in debugging connection, authentica-
tion, and configuration problems. Multiple -v options increase
the verbosity. The maximum is 3.

C'est quand même pas compliqué de se logguer sous un compte non root sur IPCop et voir ou ça cloche......si vraiment "-v" dans la commande du script cgi ne donne rien.

par **PELLE** » 26 Sep 2008 07:03

jdh a écrit:Si j'écris "Je présume", c'est que je ne comprends pas l'objectif final.

Si je ne cite pas un produit intéressant tournant autour d'arp, c'est que je ne veux pas donner une direction inadaptée.

Néanmoins, si tu disais un peu plus de l'objectif final ...

L'objectiff final est de connaitre sur un réseau microsoft le nom des machines, des groupes, et des usagers connectés. Si tu sait faire sans la lourdeur que je suis obligé de déployer pour y arriver, je suis prenneur...

Ca n'avait rien à voir avec ma question mais bon si tu veux savoir

PS:Au fait je suis arrivé à faire tourner la connection SSH. C'était un problème de droit au niveau des clefs privées. SSH est plutôt pointilleux là dessus, mais tant mieux ;-)

Merci

par **jdh** » 26 Sep 2008 10:03

Concernant les clés ssh,

les clés sont stockées dans un répertoire spécifique prévu à cet effet pour chaque utilisateur, il est donc possible de les copier d'un user vers un autre.

Comme c'est assez dangereux, je suis resté sybillin ...

Concernant ip neigh,

Il me semble que c'est équivalent à "arp -a" car cela retourne la même chose : adresses mac, adresse ip mais pas nom netbios !

Le bon programme dans le domaine arp c'est arpwatch (et arpsnmp bien sur).

Cela ne répond pas à la question ! Pour les noms windows, il suffit d'un serveur wins et de l'avoir activé comme options dhcp ...

Script CGI et ssh...

Script CGI et ssh...

Qui est en ligne ?