Bonjour,
Voici mon problème :
Je dois installer et configurer une machine sur laquelle on ne doit pouvoir utiliser que le browser web et accéder a un seul site, on doit pouvoir prendre la main a distance sur la machine, et enfin elle doit être sécurisée !
 
Pour la prise de contrôle j'ai pensé a VNC + openSSH. En ce qui concerne la sécurité, je me dit qu'une distrib linux serait approprié, je pourrais facilement jouer sur les regles d'iptables pour sécuriser la machine, de plus ca me permettrai de ne permettre l'accès qu'au seul site désiré. Mais en contreparti, je ne sais pas sous linux si il est possible de restreindre l'utlisation de l'OS.
 
Si qqun a des remarques sur mes solution, ou peut m'en apporter d'autres, elles sont les bienvenues, ca je suis un peu perdu !

ou sur windows avec le bureau à distance pour la prise en main
 
utilisation d'un compte limité, on vire toute les icones, pas de menu demarrer, juste IE.
 
pour l'accès à un seul site : pas de serveur dns +  le site web en fichier hos  (methode la plus simple)
 
 
Ou firewall (genre sp2) + blocage de tout Sauf le site en question

-linux est le bon choix
-VNC est totalement innutil
-openssh sera parfait pour administrer la machine a distance
 
Remarques:
 
Si tu un peu "inquiet" sur l'administration en mode "pure texte" d'un serveur linux rassure toi car :
- C'est tres facile
- 95% des operations sont en fait réalisables de facon graphiques en utilisant soit des pages html (webmin) soit en deportant sur ton pc l'affichage graphique (export du display). cela necessitera d'avoir sur ton poste un serveur X installé (cygwin) et un client ssh (putty). Sachant que les fenetres X passeront elles aussi dans un tunnel d'encryptage ssh. Bref, encore une fois oubli VNC, beaucoup trop lent, pas assez sécurisé, et quasiement ineficace pour faire de l'admin sous linux.
 
Tu n'a pas donné de nom de distribution, une sarge serait surement ideale... et a mon avis pour la suite tu devrai plutot aller voir sur OSA
 
EDIT : je relis le post et je m'appercoit que j'avais mal compris le besoin, je pensai que la machine à sécuriser était un serveur, pas un client. Cela dit mes remarques restent valables, tes utilisateurs seront beaucoup moins enclin a bricoler sur un poste linux que sur du windows (de toute facon, ils pourront pas !) A voir si tu ne devrait pas carrement retirer le disque dur et booter sur un cd... (je ne connais pas le degres de securité et de fiabilité necessaire sur les postes en question)

Tout d'abord merci de vos réponses rapides
L'idée c'est d'avoir un client sécurisé rendant un seul et unique service : fournir l'accès a un seul site (c'est pour ca que je ne peux pas dire que s'est un serveur)
Comme distrib je pensais d'abord a une knoppix, pour eviter de mettre un dd sur la machine, ainsi elle devient casiment plus intéressante pour des hackers, mais je ne sais pas comment faire pour recharger ma configuration si il y a un redémarage (un dhcp au travers d'un wan ca se fait ?). Sinon je pensais a un debian.
Comme
Sinon il me reste la solution windows. Je verrai dans ce cas la un logiciel de restriction + un firewall applicatif, mais cela ne m'emballe pas.

la knoppix est modifiable....  donc tu peux foutre ip fixe...

Pour le coup de recharger la configuration, je vois pas trop a quoi tu fais allusion... l'idée c'est d'avoir sur un cd une config qui correspond exactemnt a ce que tu veux. Apres, a chaque fois que le pc boot, il aura cette conf la et pas une autre. Evidement, l'inconveniant de cette solution c'est que c'est pas super evolutif, si tu as besoin de changer de conf, il faut regraver un cd, pas super pratique quoi.
 
Au niveau de la restriction a certaines pages web et pas aux autres, je me demande si tu prend pas le probleme a l'envers... Ce n'est jamais sur le client que tu place tes restrictions, c'est plutot sur le serveur ! bref pour moi le plus simple c'est :
 
-des postes clients qui boot sur un cd assez generique, sans restrictions particulieres. (mais restreint de par le systeme et les applis installées etc)
 
-Un proxy, seul acces disponible pour les pcs clients, et qui lui filtre et verifie si les pcs ont bien acces aux pages demandés ou pas.

Ca a l'air sympa comme solution.
Je vais me pencher plus en détail sur la knoppix, et voir comment je peux lui entrer certains parametres et packages pour en sortir l'image qui correspond.

Ce que je cherche a mettre en place en fait est une borne d'accès a un site. Elle pourra se trouver n'importe ou, il faut donc qu'elle soit sécurisée, que je puisse intervenir a distance a cas de probleme et que les utilisateurs n'aient accès qu'au browser web.
Je suis pas sur d'arriver a faire tout ce que je veux avec une knoppix.
Je me perd un peud dans mes recherches...

il te faut donc un disque dur sur le pc.

mais encore ? ca m'ade pas bcp la...

Ce serait pas plus simple de laisser un petit mot avec marqué, en cas de probleme (improbable mais....) eteindre et rallumer la machine ? enfin bon si c'est que ca tu pourra aussi le faire a distance. Le truc c'est de savoir si tu veux pouvoir faire des vrais changements de config (et la il te faut un disque dur), ou juste pouvoir vérifier qu'elle est up et la rebooter en cas de besoin (auquel cas, un cd suffit)

Il faut qu eje puisse faire de vrais changement de config...
Quelle est la solution la plus adaptée alors ? windows ? linux ? et avec quels logiciels et quels moyens pour mettre en place mon objectif ?

pour moi, faire de l'admin a distance est forcement synonyme de linux, l'admin graphique ca donne jamais grand chose de terrible. D'ailleur je pense que la plupart des administrateurs windows utilise en fait des scripts, des outils en ligne de commande etc. Ils vont pas faire du vnc ou du mstsc a chaque fois qu'il faut changer un truc.
Donc perso je continue a penser qu'un linux bien configuré sera plus efficace au final, maintenant windows en est tout aussi capable (surtout que je pense pas que t'es besoin de faire des changements de config tous les jours...)

Mais est ce que sous linux je peux restreindre l'utilisation de l'OS ? c'est à dire faire en sorte que les utilisateurs puissent seulement utiliser le browser web et rien d'autre.

Oui.
Mais sous windows aussi

ma question est alors Comment peut on faire ?

j'ai donné deja un debut de réponse, tout au début.
 
Et par GPo on peut désactiver beaucoup, beaucoup de chose.

Sous linux, c'est deja fait de base...
Un utilisateur "normal" ne peut absolument pas "detruire l'os" ou modifier les parametrages systemes.
Pour avoir quelque chose d'encore plus "figé" il suffit de changer les droits sur des fichiers theoriquement modifiables par l'utilisateur pour les mettre en lecture seuls. Ca l'empechera par exemple d'effacer des icones qui se trouverait sur le bureau etc. Bref, sous linux, tout passera par de la gestion de droit "classique" sur les fichers de conf.  
En ce qui concerne Windows, com21 en sait beaucoup plus que moi sur le sujet  
 
Mais a mon avis l'idée du cd bootable etait bonne quand meme, ca te procure une securitée 100% sans rien faire. Quelle type d'operation d'administration pense tu que tu aura a réaliser sur ce poste ?

Peu d'opérations, cela sera du genre pouvoir la rebooter, récupérer la main pour changer des paramètres de conf ou réparer des erreurs... rien de bien méchant.
C'est vrai qu'en changeant les droits sous linux ca devrait le faire.
Donc si je résume :  
1-Prise de controle grâce à un serveur X
2-Limitation à la seule exécution du browser en modifiant les droits des utilisateurs
3-Modifications des règles d'iptables pour autoriser seulement l'accès à un seul site et sécuriser la machine.
c'est tout ce qu'il y a à prévoir ?

Quels parametres de conf ? donne des exemples
et quels erreurs ? le but c'est que justement aucune erreures ne puisse etre comise
 
1) oui si necessaire, dans 80% des cas la commande en lige suffira. Mais si tu veux te loguer dessu de facon graphique, tu pourra
2) Pas tout a fait, le but est surtout de retirer toutes les applis innutiles, et de leur retirer la possibilité de changer leur interface graphique etc, mais ils pouront de toute facon lancer toutes les commandes systemes, meme si ca ne les menera nul part.
3) oui pourquoi pas.
 
Non, il faut aussi faire en sorte qu'ils n'arrive pas avec leur propres binaires sur disquette, clef usb ou je sais pas quoi d'autre. (mais deja t'a moins de risque d'etre ennuye sous linux que sous windows, celui qui arrive avec des binaires linux, il sait a peu pres ce qu'il fait .
Bref, il faudra desactiver ou retirer tous les peripheriques inutiles.

Pour ce qui est des clefs usb c'est pas un probleme vu que le pc est enfermé dans la borne, on ne peut pas y accéder.
Les paramètre de conf c'est par exemple pouvoir changer l'adresse ip, l'adresse du dns, du proxy ou je ne sais quoi d'autre, mais rien de poussé. Pour les erreurs, c'est pouvoir changer un fichier si il est endommagé ou je ne sais quoi.
Merci de ton aide en tout cas

bein adresse ip, dns etc, pour tout ca le plus simple c'est de  le laisser en client dhcp, et si t'a une modification a faire, tu la fait sur le serveur dhcp !
bref, le but c'est que tu n'ai rien a changer sur le poste lui meme, comme ca, plus besoin de disque dur.

Oui mais la machine est hors de mon réseau local, elle est toute seule sur intenet, donc un dhcp a travers un wan je sais pas si ca se fait. Peut ête faudrait-il que je mette en place un vpn entre mon réseau et ma machine ?!

la machine est relié à quoi ?

elle est sur une dmz, dans un autre réseau

physiquement elle est relié à quoi ?
 
Parce que si ya un serveur dhcp, faut que celui-ci soit dans le meme lan que la machine en question  et non sur ton reseau local

Physiquement elle est sur un switch, sur cette dmz, l'accés au net se fait par un routeur d'acces, il n'y a pas de dhcp, c'est pour ca que je me demandais si c t possible de la configurer par dhcp, mais a travers un wan.

non.

ok

J'ai un petit soucis en ce qui concerne les droits des utilisateurs sous windows :
Comment les restreindres ??
Je ne sais pas ou aller. Ce que j'aimerais faire c'est que les utilisateurs puissent seulement lancer IE, et que tout le reste leur soit impossible.
Merci de votre aide...

gpedit.msc