Forum général.général Tunnel authentifiant, mais sans compte utilisateur

Posté par gremous le 22 décembre 2009 à 00:06.

Étiquettes : aucune

déc.

2009

Cher forum, c'est encore moi :)

Je recherche pour ma curiosité et ma culture personnelle de quoi faire un tunnel genre ssh mais sans compte utilisateur. Et, plus dur, que le client Windows ne soit juste un exécutable qu'on lance lorsqu'on en a besoin. Pas un truc à installer et configurer.

Avec ssh je peux faire un tunnel entre deux machines si j'ai un compte sur la machine cible. Et si j'ai un compte alors je peux me loguer et tout et tout.

Je voudrais un tunnel qui ne s'appuie pas sur les comptes unix. Par exemple un logiciel qui va chercher les comptes dans /etc/tunnel.conf

Ce qui me bloque le plus, c'est en fait la partie client Windows. Je ne trouve rien qui ressemble à quelque chose d'acceptable.

# Putty

Posté par the_glu le 22 décembre 2009 à 00:16. Évalué à 0.

Avec putty sous windows tu devrais y arriver non ?

Avec un .exe|bat qui met la config comme il faut dans le registre (http://tartarus.org/~simon/putty-snapshots/htmldoc/Chapter4.(...) et lance \path\name\to\putty.exe -load "mysession"
# trojan

Posté par zerkman (site web personnel) le 22 décembre 2009 à 10:22. Évalué à 3.

En gros, le genre de logiciel que tu cherches est un cheval de troie. Ca permet de faire faire des trucs à une machine distante sans avoir de compte dessus.
- [^] # Re: trojan
  
  Posté par Kerro le 22 décembre 2009 à 14:41. Évalué à 1.
  
  C'est bien vrai ça ! TLS est fait pour les vilains pirates nazis zoophiles.
  Il demande justement que la personne n'aie pas de compte sur la machine. C'est probablement parce qu'il ne veut pas que les gens puissent "faire des trucs".
  
  Lorsque j'ouvre un accès à une machine virtuelle, il est hors de question que les utilisateurs puissent se connecter sur l'hôte. Idem pour n'importe quelle redirection réseau, pour un partage Samba, etc.
# sans compte ?

Posté par Dabowl_92 le 22 décembre 2009 à 12:58. Évalué à 0.

je vois pas comment ça serait possible sans compte utilisateur avec ssh.

Sinon pour ouvrir un tunnel d'une manière générale avec une machine, il faut bien des autorisations d'accès donc quelque part c'est avoir un compte ou une clé.

Si tu veux du multiplateforme, je te conseille openvpn, j'ai fait ça dans le passé et ça marche bien.
# stunnel

Posté par xwt le 22 décembre 2009 à 13:06. Évalué à 4.

De mémoire, stunnel permet de créer des connections sécurisées.

lien : [http://www.stunnel.org]

Il y a même des binaires pour windows : [http://www.stunnel.org/download/binaries.html]
- [^] # Re: stunnel
  
  Posté par gremous le 24 décembre 2009 à 23:27. Évalué à 1.
  
  'xactement ce que je cherchais :)
  Je connaissais déjà mais j'avais totalement oublié. Merci !
  
  Par contre la documentation n'est pas fantastique. Je vais essayer de trouver comment authentifier le client et le serveur.
# ssh sans compte

Posté par mxt le 24 décembre 2009 à 12:25. Évalué à 0.

Tu peux toujours utiliser ssh avec un compte dont le shell est à /bin/false. Cela permet de refuser le login sur la machine. Ton client ssh doit alors utiliser l'option '-N' qui permet de ne pas lancer de commande.
- [^] # Re: ssh sans compte
  
  Posté par Kerro le 24 décembre 2009 à 20:06. Évalué à 2.
  
  A ne pas mettre entre toutes les mains. Cette astuce permet tout de même beaucoup de choses. scp est utilisable. Ainsi que le transfert de connexion vers un port pas forcément souhaité.
  
  Il me semble également que ssh permet de lancer un exécutable quelconque (/bin/bash par exemple) comme rlogin, mais je ne suis vraiment pas sûr de moi.
  - [^] # Re: ssh sans compte
    
    Posté par mxt le 25 décembre 2009 à 12:59. Évalué à 3.
    
    scp est utilisable
    
    Non avec un shell à /bin/false il est impossible d'utiliser scp.
    
    ssh permet de lancer un exécutable quelconque
    
    Non plus, quand tu n'as pas de shell sur la machine, tu ne peux pas lancer d'exécutable.
    
    le transfert de connexion vers un port pas forcément souhaité
    
    Il est possible de configurer ssh pour n'autoriser que le transfert de certains ports. Tu peux même faire cela par client. c.f: man sshd_config, directives Match et PermitOpen.
    - [^] # Re: ssh sans compte
      
      Posté par gremous le 27 décembre 2009 à 12:53. Évalué à 2.
      
      Je viens de tester.
      En désactivant le shell, je n'arrive pas à effectuer une redirection de port pour la simple raison que je ne peux pas entre le mot de passe. Il faut peut-être que j'utilise une connexion par certificat. Je ferai le test ce soir.
      
      Cela dit stunnel est bien ce qu'il me fallait.
      - [^] # Re: ssh sans compte
        
        Posté par mxt le 27 décembre 2009 à 13:09. Évalué à -1.
        
        Comme tu n'as pas l'air de lire jusqu'au bout je graisse: IL FAUT UTILISER L'OPTION -N DE SSH
        
        Avec Putty c'est l'option "Don't start a shell or command at all"
        
        [^] # Re: ssh sans compte
        
        Posté par gremous le 28 décembre 2009 à 00:21. Évalué à 1.
        
        C'est bien aimable à toi d'être insultant, mais ça ne fonctionne pas.
        
        J'ai bien coché l'option dont tu parles dans putty sous Windows. Vu le ton employé j'ai refait suite à ton message graissé, on ne sait jamais. Mais non, c'est bien toi qui te trompes.
        
        Je n'ai pas testé avec l'option -N car le besoin est pour un client Windows.
# authorized_keys

Posté par PegaseYa le 26 décembre 2009 à 22:53. Évalué à -1.

J'ai pas compris grand chose à ton besoin.
Peut-être que la page suivante peut t'aider:

http://www.eng.cam.ac.uk/help/jpmg/ssh/authorized_keys_howto(...)

Cette technique est utilisée notamment pour faire des sauvegardes rsync utilisant ssh et de manière automatique (sans demander le mot de passe).
# Openvpn

Posté par geb le 27 décembre 2009 à 15:09. Évalué à 2.

Tu peux utiliser openvpn.

Il utilise au choix:
- des certificats: il faut donc creer une PKI, et un certificat par client (mais il y a des scripts pour automatiser tout ça).
- un module pam ou shell pour s authentifier sur ce que tu veux (autre fichier passwd, db sql).

Ensuite, il te faut distribuer l executable et un fichier de conf sur le poste. Et le lancer par exemple via un .bat

Sinon www.debian-administration.org/articles/539 , mais c'est assez painfull. Et ssh ou putty à l'autre bout (je comprends pas pourquoi le monsieur qui a parlé de putty a été moinsé)
- [^] # Re: Openvpn
  
  Posté par gremous le 28 décembre 2009 à 00:25. Évalué à 1.
  
  OpenVPN ne va pas dans ce cas précis car il nécessite de l'installer avec une carte réseau virtuelle. L'objectif est plutôt d'avoir un truc léger. Tu décompresses l'archive que te donne l'admin et hop ça marche. Ou un truc sur clef USB. Le rêve quoi :)
  
  J'utilise OpenVPN pour d'autres choses suite aux conseils d'une personne ici, et c'est un bon soft il faut reconnaître.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.