Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1455 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Tunnel SSH - limiter les accès ? (côté serveur SSH)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Tunnel SSH - limiter les accès ? (côté serveur SSH)

n°1287355
Jey-b
Posté le 11-08-2011 à 11:32:52  profilanswer
 

Salut,
 
Je découvre les tunnels SSH.
 
Je dois en urgence donner à un prestataire l'accès à 2 ports d'un serveur interne (80 et 3306/MySQL).
 
Je fais mes essais avec Putty sur mon poste et en fonction de la config de ce dernier, peux aller où je veux, sur n'importe quel port ou serveur.
 
Est-il possible, côté serveur SSH, de limiter les accès à un user que je vais devoir créer ? Lui limiter l'accès à une IP et 2 ports sur cet unique serveur.
 
J'ai bouffé pas mal de docs sur le net, je vois rien pour l'instant :/
 
Une idée svp ?


Message édité par Jey-b le 11-08-2011 à 11:56:52

---------------
www.aurora-maniacs.com - Tout sur les aurores boréales : prévisions aurores, explications, infos pour organiser un voyage en Laponie, photos..
mood
Publicité
Posté le 11-08-2011 à 11:32:52  profilanswer
 

n°1287374
roscocoltr​an
L'enfer c'est les utilisateurs
Posté le 11-08-2011 à 12:57:06  profilanswer
 

Je comprends pas ce que tu veux dire par "limiter l'accès à une IP et 2 ports" et le rapport avec les tunnels ssh
 
C'est un firewall qu'il te faut, pas ssh/putty.


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
n°1287376
Jey-b
Posté le 11-08-2011 à 13:05:08  profilanswer
 

Non..
Le firewall aura bien sa règle permettant à l'IP de notre presta d'accéder au serveur interne via SSH.
 
Quand tu montes un tunnel via le client SSH (putty dans notre cas), tu peux paramétrer la création du tunnel, et demander au serveur SSH de te renvoyer vers tel ou tel serveur et sur tel ou tel port, voir même en mode dynamique d'utiliser le tunnel "comme" un proxy pour un navigateur (config SOCKS).
 
Mon besoin est de limiter le tunnel SSH qu'à un seul serveur et 2 port (web et MySQL), pour que le presta ne puisses pas modifier son putty et y mettre n'importe quelle adresse, voir même utiliser notre serveur SSH comme "proxy" et surfer (je vais un peu loin, les proba sont faibles, mais je veux malgré tout verrouiller un max ce tunnel SSH, car le presta va en avoir besoin pendant plusieurs mois.


---------------
www.aurora-maniacs.com - Tout sur les aurores boréales : prévisions aurores, explications, infos pour organiser un voyage en Laponie, photos..
n°1287377
roscocoltr​an
L'enfer c'est les utilisateurs
Posté le 11-08-2011 à 13:12:34  profilanswer
 

si ton besoin est qu'il accède à deux ports sur un serveur interne, alors pourquoi ne pas simplement forwarder les requêtes de son IP sur un port de ta gateway, vers le port mysql du serveur interne ?


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
n°1287378
Jey-b
Posté le 11-08-2011 à 13:21:56  profilanswer
 

Car je préfère ajouter une couche de sécurité en plus (le serveur de dev n'est pas en DMZ par ex). J'ai de gros doute sur la config de ce serveur niveau sécurité (je suis là depuis peu, mais j'en suis conscient) et désire faire les choses bien, en tout cas dans le peu de temps que j'ai pour leur donner accès.


---------------
www.aurora-maniacs.com - Tout sur les aurores boréales : prévisions aurores, explications, infos pour organiser un voyage en Laponie, photos..
n°1287440
Jey-b
Posté le 11-08-2011 à 15:52:36  profilanswer
 

Voilà, ce que j'ai mis en place fonctionne depuis l'extérieur, je peux monter le tunnel avec l'utilisateur spécialement créé pour notre presta, mais de leur côté on peut vraiment faire ce que l'on veut via ce tunnel, surfer à travers, accéder à n'importe quelle machine/port du LAN, etC.
 
:(


---------------
www.aurora-maniacs.com - Tout sur les aurores boréales : prévisions aurores, explications, infos pour organiser un voyage en Laponie, photos..
n°1287456
roscocoltr​an
L'enfer c'est les utilisateurs
Posté le 11-08-2011 à 17:10:52  profilanswer
 

Je ne comprends pas en quoi c'est plus secure que de simplement forwarder un port sur ta machine publique.


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
n°1287458
Jey-b
Posté le 11-08-2011 à 17:18:01  profilanswer
 

Un seul port ouvert / Un seul service accessible depuis l'extérieur / un flux crypté, tu ne vois pas en quoi c'est préférable ?
 
Au final, tant que je ne trouve pas comment limiter ce tunnel SSH, j'ai créé des règles de portforwarding juste pour l'IP du presta.


---------------
www.aurora-maniacs.com - Tout sur les aurores boréales : prévisions aurores, explications, infos pour organiser un voyage en Laponie, photos..
n°1287459
roscocoltr​an
L'enfer c'est les utilisateurs
Posté le 11-08-2011 à 17:29:24  profilanswer
 

apache et mysql supportent SSL. Donc non, je ne vois pas tellement.


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
n°1287501
Jey-b
Posté le 12-08-2011 à 09:32:04  profilanswer
 

Je ne peux pas toucher à ce serveur de dev, il doit rester dans une config définie par ceux qui bossent dessus.


---------------
www.aurora-maniacs.com - Tout sur les aurores boréales : prévisions aurores, explications, infos pour organiser un voyage en Laponie, photos..

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Tunnel SSH - limiter les accès ? (côté serveur SSH)

 

Sujets relatifs
Annuler un tunnel SSH ?utiliser un fichier MDB(acces) sous android 3.1
acces internet lentlimiter la vitesse de telechargement
[résolu] plus d'accès à mon home. impossible de booter (ubuntu 11.04)Accès en écriture au réseau
Accès au serveur web par des machines WindowsIpcop: pas d'accès à internet
Accès disque en NTFS sur Centos 5.2 
Plus de sujets relatifs à : Tunnel SSH - limiter les accès ? (côté serveur SSH)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR