Alors j'ai finalement réussi à faire ce que je cherchais :
Après avoir configuré le /etc/ssh/sshd_conf sur mon serveur ssh :
AllowUsers user1
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no
ChallengeResponseAuthentication no
Puis toujours sur le serveur ssh : Ajout d'un user:
useradd -m user1
Création clé public/clé privé avec une passphrase:
ssh-keygen -t rsa -b 1024
Configuration du authorized_key:
cat id_rsa.pub >> authorized_keys
vi /home/user1/.ssh/authorized_keys
permitopen="IPCLIBLE:5900",no-pty,command="/bin/cat" ssh-rsa AAAAB3NzaC1qsAAAABIwAAAIEqsdG/kgpLSCTeBJHpnDqzqs0pTCsbB4nqlet5tUIkWCk+TiZELj5kFi2G6WnKPSY7xTI4/xX+utaFGAd5PHk5H43FCqPw1d6FDjPOBzyQVhy5sUMsvd73Gl7iuayziSnFInNgGQ5ErN9urK06SI+57yAvpaCjFS3W5TBKPc= user1
(no-pty => on ne donne pas de terminal au user, IPCIBLE:5900 => on restreind uniquement l'accès forward à une ip et un port donné)
Pour finir, sur le client en remote :
On configure putty de manière à utiliser la clé privé que l'on aura précédement adapté au format putty à l'aide de Puttygen.
=> test OK :D
Dernière chose : j'aimerais pouvoir convertir la clé privé au format putty directement sur mon serveur linux afin de la transmettre directement au user par mail .... une idée ??
Merci à tous pour votre aide
Romain
ps : sov36, merci pour la précision, du coup je vais plutôt utiliser le controle via ssh mais c'est bon à savoir :)
Bonjour,
Merci pour vos réponses. La solution que tu as mis en place semble pas mal du tout. Couplé à ce qu'à rajouté cyriltom.
Juste pour bien voir si j'ai compris avant de me lancer :
/etc/ssh/sshd_config
AllowUsers user1 user2 user3 ...
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
ChallengeResponseAuthentication no
Bonjour,
J'ai bien regardé dans la doc (http://www.linux-france.org/prj/inetdoc/guides/iptables-tuto(...) mais je ne trouve pas la fonctione fitre par user. Je ne vois que des fonctions de filtrages sur différentes couches travaillant sur l'entête des paquets entrants/sortants. Je ne pense pas que l'info du user se trouve dans l'entente d'un paquet TCP/IP ??
[^] # Solution utilisée
Posté par romain06 . En réponse au message Control des adresses cibles passant par un tunnel SSH. Évalué à 1.
Après avoir configuré le /etc/ssh/sshd_conf sur mon serveur ssh :
AllowUsers user1
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no
ChallengeResponseAuthentication no
Puis toujours sur le serveur ssh :
Ajout d'un user:
useradd -m user1
Création clé public/clé privé avec une passphrase:
ssh-keygen -t rsa -b 1024
Configuration du authorized_key:
cat id_rsa.pub >> authorized_keys
vi /home/user1/.ssh/authorized_keys
permitopen="IPCLIBLE:5900",no-pty,command="/bin/cat" ssh-rsa AAAAB3NzaC1qsAAAABIwAAAIEqsdG/kgpLSCTeBJHpnDqzqs0pTCsbB4nqlet5tUIkWCk+TiZELj5kFi2G6WnKPSY7xTI4/xX+utaFGAd5PHk5H43FCqPw1d6FDjPOBzyQVhy5sUMsvd73Gl7iuayziSnFInNgGQ5ErN9urK06SI+57yAvpaCjFS3W5TBKPc= user1
(no-pty => on ne donne pas de terminal au user, IPCIBLE:5900 => on restreind uniquement l'accès forward à une ip et un port donné)
Pour finir, sur le client en remote :
On configure putty de manière à utiliser la clé privé que l'on aura précédement adapté au format putty à l'aide de Puttygen.
=> test OK :D
Dernière chose : j'aimerais pouvoir convertir la clé privé au format putty directement sur mon serveur linux afin de la transmettre directement au user par mail .... une idée ??
Merci à tous pour votre aide
Romain
ps : sov36, merci pour la précision, du coup je vais plutôt utiliser le controle via ssh mais c'est bon à savoir :)
[^] # Re: Plusieurs solutions sur le serveur
Posté par romain06 . En réponse au message Control des adresses cibles passant par un tunnel SSH. Évalué à 1.
Merci pour vos réponses. La solution que tu as mis en place semble pas mal du tout. Couplé à ce qu'à rajouté cyriltom.
Juste pour bien voir si j'ai compris avant de me lancer :
/etc/ssh/sshd_config
AllowUsers user1 user2 user3 ...
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
ChallengeResponseAuthentication no
/home/user1/.ssh/authorized_keys
permit-open= ADRESSE_CIBLE:PORT_CIBLE ssh-rsa clef-en-base64
Qu'en pensez vous ?
Merci
Romain
[^] # Re: iptables : filtre sur l'user qui émet le paquet
Posté par romain06 . En réponse au message Control des adresses cibles passant par un tunnel SSH. Évalué à 1.
J'ai bien regardé dans la doc (http://www.linux-france.org/prj/inetdoc/guides/iptables-tuto(...) mais je ne trouve pas la fonctione fitre par user. Je ne vois que des fonctions de filtrages sur différentes couches travaillant sur l'entête des paquets entrants/sortants. Je ne pense pas que l'info du user se trouve dans l'entente d'un paquet TCP/IP ??