Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1678 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  [Apache/SSH] agent SSH pour utilisation dans appli web

 
 


Dernière réponse
Sujet : [Apache/SSH] agent SSH pour utilisation dans appli web
impulse Pour ceux que ça pourrait interesser : mon pb etait lié au fait que j'ai plusieurs agents qui tournent sur mon serveur et ma clé etait ajoutée ds le mauvais. :D
 
Il faut donc exporter la variable SSH_AUTH_SOCK avant de faire un ssh-add /home/www/.ssh/identity et ensuite faire un autre export SSH_AUTH_SOCK dans le script qui est executé sur le serveur web pour que le "bon" agent soit utilisé.
 
^_^

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
impulse Pour ceux que ça pourrait interesser : mon pb etait lié au fait que j'ai plusieurs agents qui tournent sur mon serveur et ma clé etait ajoutée ds le mauvais. :D
 
Il faut donc exporter la variable SSH_AUTH_SOCK avant de faire un ssh-add /home/www/.ssh/identity et ensuite faire un autre export SSH_AUTH_SOCK dans le script qui est executé sur le serveur web pour que le "bon" agent soit utilisé.
 
^_^
impulse

Citation :

Ah tiens, oui.
 
Bah tu ne mets pas de passphrase à l'utilisateur www.
De toute façon, si tu lui en mets une, il faudra l'écrire en dur quelque part, donc ça lui enlève tout intérêt.


 
Ben l'agent sert a ça... si il existe cet agent c'est pas pour rien. Il t'evite d'avoir a taper ta passphrase a chaque fois mais ça veut pas dire que t'as pas de passphrase.  
Ce n'est pas vraiment envisageable ds mon cas de ne pas mettre de passphrase (meme pour un compte limité de ce type). Le barbu va me faire chier si je lui dit ça... :D
 
hihi :D
Jar Jar

impulse a écrit a écrit :

Et pour mon pb ? :D


Ah tiens, oui.
 
Bah tu ne mets pas de passphrase à l'utilisateur www.
De toute façon, si tu lui en mets une, il faudra l'écrire en dur quelque part, donc ça lui enlève tout intérêt.
impulse

Citation :

=> Donc c'est bien à ça que sert ssh-askpass-gnome.


 
Ah ? Cool. :sweat:
Et pour mon pb ? :D
 
hihi :)

Jar Jar => Donc c'est bien à ça que sert ssh-askpass-gnome.
impulse

Citation :

C'est pas le rôle de ssh-askpass-gnome ?

 
 
Euh... peut etre. Mais la je suis sous HP-UX avec CDE...
En fait l'agent fonctionne comme ça :  
 
- tu lances l'agent (il te demande ta passphrase SSH)
- quand un programme (SSH) demande ta passphrase l'agent la donne a ta place
 
=> comme ça y'a pas besoin de s'emmerder a taper sa passphrase de 2 kms a chaque fois que tu te sers de SSH.
 
hihi :)  
 
Jar Jar

impulse a écrit a écrit :

 [quote]Par contre il a besoin d'un term ssh-agent pour donner la passphrase a SSH, c'est la qu'est mon pb...


C'est pas le rôle de ssh-askpass-gnome ?
impulse

Citation :

Jamais utilisé ce truc  :sleep:

 
 
C'est bien pratique pourtant.
Par contre il a besoin d'un term ssh-agent pour donner la passphrase a SSH, c'est la qu'est mon pb...
 
hihi :D
YupYup

impulse a écrit a écrit :

 

Citation :

Qu'est-ce que t'appelles l'agent ? jamais entendu parler de ça.

 
 
man ssh-agent :D
 
hihi ;)



Jamais utilisé ce truc  :sleep:

impulse

Citation :

Qu'est-ce que t'appelles l'agent ? jamais entendu parler de ça.

 
 
man ssh-agent :D
 
hihi ;)
YupYup Qu'est-ce que t'appelles l'agent ? jamais entendu parler de ça.
impulse

Citation :

Ok mais quand t'es en console, il te demande de valider quoi que ce soit ? D'entrer un mot de passe, qqchose ?


 
Ben ça depend : avec l'agent y'a pas besoin (heureusement, c'est fait pour :D) et quand mon agent est pas lancé je dois entrer ma passphrase. Normal, quoi. Je pensais que si l'agent tournait c'etait bon mais en fait il lui faut un terminal quand meme...
 
 

Citation :

Mouais, encore un barbu ça :D

 
 
Gagné. C'est le metier qui veut ça...
 
hihi :D
YupYup

impulse a écrit a écrit :

 [On m'a dit : "Si tu veux te connecter a ce serveur tu dois utiliser SSH/SCP. Point.". Alors moi j'ai dit : "Ok monsieur le responsable de la securité HP Germany". J'ai pas vraiment le choix en fait...  



Mouais, encore un barbu ça :D
YupYup

impulse a écrit a écrit :

 SCP marche tres bien quand je tape les commandes ds la console ou que j'utilise un script quand j'ai lancé mon agent. Le probleme intervient quand j'essaye d'utiliser SCP avec mon appli web car je n'ai pas de console a ce moment la...



Ok mais quand t'es en console, il te demande de valider quoi que ce soit ? D'entrer un mot de passe, qqchose ?
impulse

Citation :

Mais rassure-moi, t'as bien copié les keys kivonbien sur tes serveurs quand même ?

 
 
:sarcastic:
 
SCP marche tres bien quand je tape les commandes ds la console ou que j'utilise un script quand j'ai lancé mon agent. Le probleme intervient quand j'essaye d'utiliser SCP avec mon appli web car je n'ai pas de console a ce moment la...
 
 

Citation :

Quand tu dis que tu n'as pas le choix pour SSH, ça veut dire que tu n'as pas l'admin du firewall distant ? Ou que tu n'as pas l'admin de la machine et seulement un accès SSH ?


 
On m'a dit : "Si tu veux te connecter a ce serveur tu dois utiliser SSH/SCP. Point.". Alors moi j'ai dit : "Ok monsieur le responsable de la securité HP Germany". J'ai pas vraiment le choix en fait...  
 
hihi :D
YupYup Quand tu dis que tu n'as pas le choix pour SSH, ça veut dire que tu n'as pas l'admin du firewall distant ? Ou que tu n'as pas l'admin de la machine et seulement un accès SSH ?
YupYup

impulse a écrit a écrit :

 J'ai aussi essayé d'utiliser scp en batch mode (-B) pour qu'il ne demande pas le pass mais je ne pense pas que ce soit la bonne solution (pis ça passe pas non plus de toute façon).



Mais rassure-moi, t'as bien copié les keys kivonbien sur tes serveurs quand même ?
impulse

Citation :

Sinon, le plus simple serait d'abandonner scp et de plutôt te pencher vers une ACL sur ton routeur distant qui autoriserait les connexions de ton apache vers la machine qu'il veut taper.


 
Nope. Je ne peux utiliser que SSH/SCP. Seule solution envisageable dans mon cas (je suis en stage, je ne peux pas faire ce que je veux niveau securité... mon boss non plus d'ailleurs).  
 
 

Citation :

Le problème c'est qu'apparemment SSH a absolument besoin d'un TTY.
Alors je sais pas, essaie d'exécuter un shell qui exécute ton scp plutôt que d'exécuter ton scp directement, mais je doute que ça fonctionne.

 
 
J'ai aussi essayé d'utiliser scp en batch mode (-B) pour qu'il ne demande pas le pass mais je ne pense pas que ce soit la bonne solution (pis ça passe pas non plus de toute façon).
 
Je trouverai bien la solution...
 
hihi :p
YupYup Le problème c'est qu'apparemment SSH a absolument besoin d'un TTY.
Alors je sais pas, essaie d'exécuter un shell qui exécute ton scp plutôt que d'exécuter ton scp directement, mais je doute que ça fonctionne.
 
Sinon, le plus simple serait d'abandonner scp et de plutôt te pencher vers une ACL sur ton routeur distant qui autoriserait les connexions de ton apache vers la machine qu'il veut taper.
 
Non, là, j'ai pas plus d'idées :??:
impulse up.
 
hihi :D
impulse

Citation :

c'est mieux : je comprends pas le passage qui met en relation ton ssh et ton apache (pour la gestion des compte user) ?


 
:sweat:
 
Ah ouais. T'as raison. J'ai tout melangé dans mon explication. Pas besoin que le user apache et SSH soit le meme. Dans mon cas ce sera le meme user mais c'est pas obligé.
 
Une idée sinon pour mon pb ? :D
 
hihi :D
djoh

impulse a écrit a écrit :

Ok.  
 
J'ai une appli web. Cette appli permet de modifier des fichiers via une interface graphique. Je modifie ces fichiers en local mais je dois d'abord les recuperer sur des serveurs (puis ensuite les remettre en place). Pour recuperer les fichiers sur ces serveurs j'utilise SCP (Secure CoPy). L'acces au site est bien entendu controlé et seulement les personnes qui possedent un login/pass valide peuvent acceder a l'appli (utilisation des htpasswd pour ça). Le truc c'est que c'est ingerable de creer des centaines de nouveaux utilisateurs SSH. La solution consiste donc a creer un seul utilisateur SSH, ce meme utilisateur etant celui utilisé par Apache, avec des droits limités pour eviter les pb en cas de crackage de l'appli (ce user SSH pourra seulement copier les fichiers du serveur web vers le serveur de fichiers). Pour que SCP fonctionne il faut lui fournir la passphrase, c'est donc pour cela que je veux lancer un agent SSH en meme temps que le serveur web.
 
C'est plus clair ?
 
hihi ;)    




 
c'est mieux : je comprends pas le passage qui met en relation ton ssh et ton apache (pour la gestion des compte user) ?
impulse Ok.  
 
J'ai une appli web. Cette appli permet de modifier des fichiers via une interface graphique. Je modifie ces fichiers en local mais je dois d'abord les recuperer sur des serveurs (puis ensuite les remettre en place). Pour recuperer les fichiers sur ces serveurs j'utilise SCP (Secure CoPy). L'acces au site est bien entendu controlé et seulement les personnes qui possedent un login/pass valide peuvent acceder a l'appli (utilisation des htpasswd pour ça). Le truc c'est que c'est ingerable de creer des centaines de nouveaux utilisateurs SSH. La solution consiste donc a creer un seul utilisateur SSH, ce meme utilisateur etant celui utilisé par Apache, avec des droits limités pour eviter les pb en cas de crackage de l'appli (ce user SSH pourra seulement copier les fichiers du serveur web vers le serveur de fichiers). Pour que SCP fonctionne il faut lui fournir la passphrase, c'est donc pour cela que je veux lancer un agent SSH en meme temps que le serveur web.
 
C'est plus clair ?
 
hihi ;)  
djoh tu peux réexpliquer ce que tu cherches a faire, pas tout compris là
impulse

Citation :

Tu les rapatries d'où, tes fichiers ? Depuis un réseau local situé derrière ton apache ?

 
 
Pourquoi cette question au fait ?
 
hihi :D
impulse

Citation :

Tu les rapatries d'où, tes fichiers ? Depuis un réseau local situé derrière ton apache ?

 
 
Non. Apache est installé sur un serveur qui n'appartient pas au meme reseau que celui sur lequel est le serveur de fichiers.
 
hihi :jap:
YupYup Tu les rapatries d'où, tes fichiers ? Depuis un réseau local situé derrière ton apache ?
impulse J'ai un petit probleme : je voudrais rapatrier des fichiers en passant par SSH via mon appli web. J'ai donc creé un user special (www) qui ne possede que des droits limités pour SSH (copie de certains fichiers seulement). Je lance donc mon serveur Apache (user : www) et je lance mon agent SSH (pour que www n'ait pas besoin de taper sa passphrase). Voici ce que j'ai dans le log quand j'essaye d'utiliser SCP a partir de mon appli :  
 
Could not open a connection to your authentication agent.
You have no controlling tty. Cannot read passphrase.
 
Une idée ? (je comprends le pb mais je vois pas comment le regler)
 
hihi :jap:
 
EDIT : petites precisions.

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)