Forum général.général Tunnel authentifiant, mais sans compte utilisateur

Posté par .
Tags : aucun
1
22
déc.
2009
Cher forum, c'est encore moi :)

Je recherche pour ma curiosité et ma culture personnelle de quoi faire un tunnel genre ssh mais sans compte utilisateur. Et, plus dur, que le client Windows ne soit juste un exécutable qu'on lance lorsqu'on en a besoin. Pas un truc à installer et configurer.

Avec ssh je peux faire un tunnel entre deux machines si j'ai un compte sur la machine cible. Et si j'ai un compte alors je peux me loguer et tout et tout.

Je voudrais un tunnel qui ne s'appuie pas sur les comptes unix. Par exemple un logiciel qui va chercher les comptes dans /etc/tunnel.conf

Ce qui me bloque le plus, c'est en fait la partie client Windows. Je ne trouve rien qui ressemble à quelque chose d'acceptable.
  • # Putty

    Posté par . Évalué à 0.

    Avec putty sous windows tu devrais y arriver non ?

    Avec un .exe|bat qui met la config comme il faut dans le registre (http://tartarus.org/~simon/putty-snapshots/htmldoc/Chapter4.(...) et lance \path\name\to\putty.exe -load "mysession"
  • # trojan

    Posté par (page perso) . Évalué à 3.

    En gros, le genre de logiciel que tu cherches est un cheval de troie. Ca permet de faire faire des trucs à une machine distante sans avoir de compte dessus.
    • [^] # Re: trojan

      Posté par (page perso) . Évalué à 1.

      C'est bien vrai ça ! TLS est fait pour les vilains pirates nazis zoophiles.
      Il demande justement que la personne n'aie pas de compte sur la machine. C'est probablement parce qu'il ne veut pas que les gens puissent "faire des trucs".

      Lorsque j'ouvre un accès à une machine virtuelle, il est hors de question que les utilisateurs puissent se connecter sur l'hôte. Idem pour n'importe quelle redirection réseau, pour un partage Samba, etc.
  • # sans compte ?

    Posté par . Évalué à 0.

    je vois pas comment ça serait possible sans compte utilisateur avec ssh.

    Sinon pour ouvrir un tunnel d'une manière générale avec une machine, il faut bien des autorisations d'accès donc quelque part c'est avoir un compte ou une clé.

    Si tu veux du multiplateforme, je te conseille openvpn, j'ai fait ça dans le passé et ça marche bien.
  • # stunnel

    Posté par . Évalué à 4.

    De mémoire, stunnel permet de créer des connections sécurisées.

    lien : [http://www.stunnel.org]

    Il y a même des binaires pour windows : [http://www.stunnel.org/download/binaries.html]
    • [^] # Re: stunnel

      Posté par . Évalué à 1.

      'xactement ce que je cherchais :)
      Je connaissais déjà mais j'avais totalement oublié. Merci !

      Par contre la documentation n'est pas fantastique. Je vais essayer de trouver comment authentifier le client et le serveur.
  • # ssh sans compte

    Posté par . Évalué à 0.

    Tu peux toujours utiliser ssh avec un compte dont le shell est à /bin/false. Cela permet de refuser le login sur la machine. Ton client ssh doit alors utiliser l'option '-N' qui permet de ne pas lancer de commande.
    • [^] # Re: ssh sans compte

      Posté par (page perso) . Évalué à 2.

      A ne pas mettre entre toutes les mains. Cette astuce permet tout de même beaucoup de choses. scp est utilisable. Ainsi que le transfert de connexion vers un port pas forcément souhaité.

      Il me semble également que ssh permet de lancer un exécutable quelconque (/bin/bash par exemple) comme rlogin, mais je ne suis vraiment pas sûr de moi.
      • [^] # Re: ssh sans compte

        Posté par . Évalué à 3.


        scp est utilisable

        Non avec un shell à /bin/false il est impossible d'utiliser scp.


        ssh permet de lancer un exécutable quelconque

        Non plus, quand tu n'as pas de shell sur la machine, tu ne peux pas lancer d'exécutable.


        le transfert de connexion vers un port pas forcément souhaité

        Il est possible de configurer ssh pour n'autoriser que le transfert de certains ports. Tu peux même faire cela par client. c.f: man sshd_config, directives Match et PermitOpen.
        • [^] # Re: ssh sans compte

          Posté par . Évalué à 2.

          Je viens de tester.
          En désactivant le shell, je n'arrive pas à effectuer une redirection de port pour la simple raison que je ne peux pas entre le mot de passe. Il faut peut-être que j'utilise une connexion par certificat. Je ferai le test ce soir.

          Cela dit stunnel est bien ce qu'il me fallait.
          • [^] # Re: ssh sans compte

            Posté par . Évalué à -1.

            Comme tu n'as pas l'air de lire jusqu'au bout je graisse: IL FAUT UTILISER L'OPTION -N DE SSH

            Avec Putty c'est l'option "Don't start a shell or command at all"
            • [^] # Re: ssh sans compte

              Posté par . Évalué à 1.

              C'est bien aimable à toi d'être insultant, mais ça ne fonctionne pas.

              J'ai bien coché l'option dont tu parles dans putty sous Windows. Vu le ton employé j'ai refait suite à ton message graissé, on ne sait jamais. Mais non, c'est bien toi qui te trompes.

              Je n'ai pas testé avec l'option -N car le besoin est pour un client Windows.
  • # authorized_keys

    Posté par . Évalué à -1.

    J'ai pas compris grand chose à ton besoin.
    Peut-être que la page suivante peut t'aider:

    http://www.eng.cam.ac.uk/help/jpmg/ssh/authorized_keys_howto(...)

    Cette technique est utilisée notamment pour faire des sauvegardes rsync utilisant ssh et de manière automatique (sans demander le mot de passe).
  • # Openvpn

    Posté par . Évalué à 2.

    Tu peux utiliser openvpn.

    Il utilise au choix:
    - des certificats: il faut donc creer une PKI, et un certificat par client (mais il y a des scripts pour automatiser tout ça).
    - un module pam ou shell pour s authentifier sur ce que tu veux (autre fichier passwd, db sql).

    Ensuite, il te faut distribuer l executable et un fichier de conf sur le poste. Et le lancer par exemple via un .bat

    Sinon www.debian-administration.org/articles/539 , mais c'est assez painfull. Et ssh ou putty à l'autre bout (je comprends pas pourquoi le monsieur qui a parlé de putty a été moinsé)
    • [^] # Re: Openvpn

      Posté par . Évalué à 1.

      OpenVPN ne va pas dans ce cas précis car il nécessite de l'installer avec une carte réseau virtuelle. L'objectif est plutôt d'avoir un truc léger. Tu décompresses l'archive que te donne l'admin et hop ça marche. Ou un truc sur clef USB. Le rêve quoi :)

      J'utilise OpenVPN pour d'autres choses suite aux conseils d'une personne ici, et c'est un bon soft il faut reconnaître.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.