[RESOLU] transfert de fichiers sécurisé avec hôte distant ?

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/sme-server/.

[RESOLU] transfert de fichiers sécurisé avec hôte distant ?

Message par arnaud056 » 05 Déc 2012 20:16

Bonsoir,
je me permets de vous soumettre le cas suivant:

Contexte :
Usage domestique de ma sme8 (serveur+passerelle). Cette machine est sur une IP extérieure dynamique mais gère un domaine (www + mail + ftp ...) qui est accessible de l'extérieur par son nom (DNS enregistrés).
Elle est donc parfaitement joignable.

Du côté des clients qui devraient se connecter avec ma sme, c'est très simple: du windows, une box (il me semble...) et très certainement une config auto (je branche, j'allume et ça marche :oops: ).

Besoin :
Je souhaiterais que des membres de ma famille situés en France puissent se connecter à ma sme pour que nous puissions partager (downloader / uploader) des fichiers trop volumineux pour être transférés par email.
Ceci devrait être fait de manière sécurisée pour les fichiers et ...........pour ma sme (cad sans tout ouvrir à tout le monde).

Les membres de ma famille maîtrisent le double-clic, mais c'est tout!! De plus ils n'ont quasiment aucune compétence en info, (ni surtout l'envie! :evil: ) de se mettre les mains dedans --> il va falloir que je leur fournisse tous les éléments en mode pré-mâché, voir digéré... Les tests et essais vont devoir être réalisés avant, chez moi.

Schéma :
Par acquis de conscience, voici le schéma complet:
20121204_installation_info_AG_partage_fichiers.resized.jpeg
20121204_installation_info_AG_partage_fichiers.resized.jpeg (59.75 Kio) Consulté 1669 fois


Je pense que dans ce cas ci, nous pourrions ne laisser que l'essentiel du schéma, le reste n'ayant à mon avis pas d'importance ici:
20121204_installation_info_AG_partage_fichiers_red.resized.jpeg
20121204_installation_info_AG_partage_fichiers_red.resized.jpeg (31.89 Kio) Consulté 1669 fois


Modem/Routeur/Box :
une fritzbox en mode bridge.
C'est elle qui gère le DNS dynamique.

Firewall/Serveur-passerelle multifonctions :
comme indiqué dans le schéma: ma sme8 "intel" en serveur+passerelle fait quasiment tout ce que pour quoi une sme est faite.
Un détail qui pourrait être utile ultérieurement: dansgardian est actif, configuré, mais laissé volontairement cout-circuitable.

Adressages :
Rien de particulier:
du côté externe je suis en IP dynamique.
du côté interne je suis en IP fixe entre la box et la sme et entre la sme et les clients.

Question :

Je m'applique volontairement à décrire et à détailler plus mon besoin qu’une solution particulière (qui n’est peut être pas nécessairement la plus adaptée à la réponse du besoin/souhait) – la remarque dans ce sens de jdh ces derniers jours m’a fait réfléchir…..

J’aimerais donc bien avoir vos opinions sur les solutions décrites ci-dessous et le cas échéant des pistes sur d’autres solutions qui m’ont échappées (mais pas du style « grave un cd et envoie le par la poste »……svp !).

De plus j’aimerais bien savoir comment ceux d’entre vous qui doivent administrer à distance (=qui ont donc besoin d’un login root + d’un accès total à la machine distante) ont résolu dans la pratique les défauts pré-cités. Pour des connexions à partir d’une IP dynamique ?

Quand nous serons d’accord sur la méthode, j’espère que vous me donnerez des pistes pour en diminuer les inconvénients.

Pistes imaginées :

1) Fichiers déposés dans un répertoire situé dans ibays(de mon domaine)/http, cad au même niveau que « index.html » :
- Avantages : simplicité maximale
- Inconvénients : aucune protection mis à part qu’il faut connaitre l’existence et le nom du répertoire pour avoir la bonne URL.
pas d’upload.
transfert des données en clair


2) Fichiers déposés dans /http d’une ibay d’échange avec mot de passe :
- Avantage : simplicité + pas de mot de passe d’utilisateurs
- Inconvénients : faible protection (il suffit d’un générateur de mots de passe pour y arriver)
transfert des données + mot de passe en clair
pas d’upload.


3) Fichiers déposés dans /file d’une ibay réservée à l’échange. Accès par FTP (utilisateur + mot de passe) :
- Avantage : simplicité
- Inconvénients : protection assez médiocre (user+mot de passe)
Obligation d’autoriser l‘accès FTP pour tous les utilisateurs --> possibilité d’attaque sur tous les logins utilisateurs. En cas de succès, accès au https (Horde) car même login+mot de passe.
Données + mot de passe en clair.

Bien entendu, on peut limiter un peu de casse (accès à toutes les données) avec la contrib’ « accès utilisateurs » en chroot-ant tous les utilisateurs vers l’ibay d’échange. Mas ca ne résout point le problème de l’accès https pré-cité.


4) Accès par ssh, uniquement avec clés publiques/privées (accès via mots de passe seul interdit) :
- Avantage : ne nécessite aucune installation pour windows + tout le nécessaire (client ssh + clé = ~9,2MB) peuvent être envoyés par email (la clé séparément).
Pour les utilisateurs concernés, on peut ajouter une passphrase à la clé.
Les autres utilisateurs n’ont pas de clé de créé à connexion impossible
Bonne sécurité d’après ce que j’ai lu
Via le server-manager, il est possible de gérer les accès individuellement et de tout bloquer en 1 clic


- Inconvénients : vu que ma sme est sauvegardée via affa par une autre sme de mon réseau, je suis obligé d’autoriser root à se connecter par ssh , et sa clé (crée par affa) est sans passphrase. En autorisant les connexions shh depuis l’extérieur, j’autorise de ce fait également celle de root depuis l’extérieur.
J’ai lu sur le forum de contribs qu’il est/serait possible de limiter l’accès ssh à une/des adresse IP. Malheureusement, mes « adversaires » sont en IP dynamique --> pas applicable.
Toutes les ibays sont visibles, même celle que l’on ne peut ouvrir.

Durant les essais que j’ai effectué il y a quelques semaines de ça pour unprojet presque similaire , je peux vous dire que je suis tombé sur le c## au vu du nombre d’attaques qu’a subies ma sme dès que j’ai ouvert ssh à l’internet : en moyenne une toutes les 3 heures et d’une durée d’environ 30 minutes.

--> Une clé ssh sans passphrase (celle de root en plus !) est-elle vraiment suffisante dans la pratique???


Bien sûr il est, tout du moins imaginable, de bloquer la connexion de root depuis l’extérieur tout en l’autorisant depuis l’intérieur, mais je ne sais pas comment et n’ai encore rien trouvé dans cette direction.


5) Accès par OpenVPN :
- Avantage : ne nécessite aucune installation pour windows + tout le nécessaire (client ssh + clé = ~5MB) peuvent être envoyés par email (la clé séparément).
Via le server-manager, il est possible de gérer les accès individuellement et de tout bloquer en 1 clic
Pas de danger de connexion root

- Inconvénients :
En donnant un accès VPN, je donne également accès à ma connexion internet et à mon réseau interne. En fait, je ne voulais donner l’accès qu’à une ibay…………..Ca fait un peu beaucoup !
Toutes les ibays sont visibles, même celle que l’on ne peut ouvrir.
Windows 7 met environ 10 minutes pour trouver le réseau samba de ma sme (ce n’est pas dû au VPN car c’est la même chose en local. Il me semble avoir vu que l’on peut améliorer ça en trifouillant les registry de windows (valables / nécessaires avec sme8 ?) mais je n’ai pas approfondi le sujet par manque de nécessité jusqu’á présent.


Pour bloquer l’accès à ma connexion internet, je pourrais bien entendu utiliser dansgardian (avec authentification) de ma sme. Malheureusement, si l’on ne spécifie pas d’utiliser le port 8080, on ne passe pas par le proxy. Ceci est volontaire car j’ai pas mal de petits grigris (applet de météo, webradios, enregistrement de podcasts vidéo etc…) dans mes ubuntu’s qui ne supportent pas l’authentification du proxy. J’utilise dansgardian non comme contrôle parental, mais comme protection infantile et j’ai simplement configuré mes browsers pour passer par lui et ca me suffit.

Solution possible si l’acceptance du proxy par ubuntu est résolue (ce que je n’ai pas réussi á obtenir, malgré recherches assez intensives)


On peut bien évidemment améliorer considérablement l’aspect sécurité en fermant les accès lorsque ceux-ci ne sont pas utilisés (=prendre RDV avec moi pour que j’ouvre) et utiliser des ruses de sioux en n’utilisant pas les ports standards pour SSH ou FTP, par exemple, mais je ne considère pas ca comme une véritable solution, même si ca ne peut faire de mal de faire ca en plus d’une vraie solution.

Ma préférence perso dans tout ceci: ssh ouvert à la demande, et lors de l’ouverture, blocage du login de root via ssh (2 clics en tout dans le server-manager) à attention à ne pas entrer en collision avec les sauvegardes affa.


Autre piste / remarque d'ordre générale:
Ce qui serait cependant intéressant, et ce pour toutes les méthodes d’authentification (https inclus également dans cette remarque), serait de limiter (à 3 ?) le nombre de tentatives de connexion. Passé ce nombre, le login (root ou utilisateur) depuis l’extérieur se bloquerait et il faudrait le débloquer depuis l’intérieur (un peu comme quand on entre 3 fois un mauvais code à un distributeur de billets : la carte est avalée par le distributeur et il faut le lendemain aller voir le banquier pour la récupérer).


Recherches :
- Re-lecture de la doc au chapitre connexions distantes
- Recherches dans le sens : VPN interdire connexion internet, interdire login root de l’extérieur, acces distant ibay
- Je n’ai pas encore cherché en ce qui concerne la limitation des tentatives de connexions : ca m’est venu à l’écriture de ces lignes.

Logs et tests :
mis à part la vérification que je suis capable de mettre en place les solutions décrites plus haut, encore aucune (normal, j'en suis encore au concept)



En tous cas, je vous remercie déjà de vous être donné la peine de lire attentivement tout ceci !

@+
Arnaud
Dernière édition par arnaud056 le 24 Jan 2013 10:16, édité 1 fois.
Mieux vaut faire envie que pitié...
it's me
arnaud056
 
Message(s) : 98
Inscription : 04 Nov 2011 20:52
Localisation : Allemagne

Re: transfert de fichiers sécurisé avec hôte distant: commen

Message par ccnet » 06 Déc 2012 13:17

Sans rentrer dans les détails, parce que je n'ai pas le temps, Openvpn sans discussion. On peut implémenter du filtrage (iptables) sur l'interface vpn côté serveur pour strictement contrôler les flux autorisés. Comme je n'utilise pas SME, j'ignore la difficulté qu'il y a à implémenter cette solution.
ccnet
 
Message(s) : 113
Inscription : 02 Nov 2011 08:51
Localisation : Paris

Re: transfert de fichiers sécurisé avec hôte distant: commen

Message par jdh » 06 Déc 2012 14:51

Les ibays ne seraient pas accessibles depuis l'extérieur en https ?

(Des systèmes de partages type Dropbox ou autre ne s'appuient pas sur plus qu'https !
Mais bien évidemment dans le cas de SME, le certificat d'origine, nécessaire pour https, demandera une validation ...)

Si, jamais, un user/mdp (long) ne suffisait pas, OpenVPN et ses certificats individuels sont une solution (article 1 : ccnet a raison, article 2 ...).
(En acceptant que les vpn-eurs accèdent à tous l'intérieur du réseau LAN, forcément !)


NB : Il parait qu'un mot de passe constitué de 4 mots ordinaires accolés est extrêmement fort !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: transfert de fichiers sécurisé avec hôte distant: commen

Message par arnaud056 » 06 Déc 2012 18:30

merci bien de porter attention à ma question! ;)

Bon, et bien je crois que j'ai trouvé la contrib' qui est prévue pour: http://wiki.contribs.org/Webshare
Le déclic provient d'une recherche "ibay https"........... :idea:
J'ai également trouvé des posts correspondants dans l'ancien forum: http://forums.ixus.net/viewtopic.php?f=19&t=39246

Ça m'a l'air d'être exactement ce que je recherche. Si "non", pourquoi?

Des tests sont en cours sur ma sme virtuelle 8-)

@+
Arnaud
Mieux vaut faire envie que pitié...
it's me
arnaud056
 
Message(s) : 98
Inscription : 04 Nov 2011 20:52
Localisation : Allemagne

Re: transfert de fichiers sécurisé avec hôte distant: commen

Message par adili » 09 Déc 2012 07:08

transfert de fichiers sécurisé avec hôte distant: comment?


Bonjour,

L'application la plus aboutie pour un partage de fichier est à mon avis "ajaxplorer" il y a même une appli android (1,99 €) qui fonctionne très bien.

Cordialement
adili
 
Message(s) : 18
Inscription : 02 Nov 2011 05:24

Re: transfert de fichiers sécurisé avec hôte distant: commen

Message par arnaud056 » 12 Déc 2012 20:40

Bonsoir tout le monde,
je me permets de vous tenir au courant de l'avancement:
1) webshare:
- fonctionne sans aucune modif
- malheureusement stocke les fichiers sous /opt/webshare. J'ai infructueusement essayé de faire en sorte que ces derniers aillent dans une ibay: avec la méthode du wiki, ils restent dans le répertoire d'origine, sauf une seule fois (je ne sais plus comment... :oops: ) j'ai réussi à les mettre dans l'ibay, mais l'upload était impossible (download + renommer + effacer étaient OK). La méthode donnée dans l'ancien forum ne fonctionne pas non plus (un problème de droits il me semble...).

2) ajaxplorer: au bout de 3-4 soirées à m'entêter sur webshare et les ibaies, j'ai finalement installé ajaxplorer. Avant cela j'avais lu la doc et avais noté qu'il fallait aussi installer la contrib' sharedfolders (--> j'avais peur d'installer une grosse usine à gaz surdimensionnée ). Cependant, je suis durant mon survol de la doc' passé à côté du fait que le https est également possible, et pas seulement http.......
--> installation: 44MB et une palanquée de dépendances (c'est bien une usine à gaz??)
--> fonctionne du premier coup! 8-)
--> merci adili pour le tuyau! ;)

3) installation d'ajaxplorer sur la "vraie" sme dès que j'ai terminé de rédiger ce post.

@+
Arnaud
Mieux vaut faire envie que pitié...
it's me
arnaud056
 
Message(s) : 98
Inscription : 04 Nov 2011 20:52
Localisation : Allemagne

Re: transfert de fichiers sécurisé avec hôte distant: commen

Message par Cool34000 » 12 Déc 2012 21:11

Salut,

arnaud056 a écrit :malheureusement stocke les fichiers sous /opt/webshare

C'est normal... Si tu "râles" parce que tu n'as pas accès aux fichiers dans ton voisinage réseau, il suffit de créer le partage SAMBA avec un custom-template !

C'est assez simple à faire, voici un exemple de ce que j'avais fait pour le RPM de kPlaylist (le custom template est stocké dans le fichier "/etc/smb.conf/91kplaylist") :
Code : Tout sélectionner

[kplaylist]
comment = KPlaylist folder
path = /opt/kplaylist/files/
read only = no
writable = yes
printable = no
inherit permissions = yes
create mode = 0660
directory mode = 0770


Simple, non ?
In a world without walls and fences, who needs windows and gates?
Cool34000
 
Message(s) : 199
Inscription : 12 Sep 2011 19:02
Localisation : Nimes, France

Re: transfert de fichiers sécurisé avec hôte distant: commen

Message par arnaud056 » 13 Déc 2012 14:57

suite.....
1)webshare: merci bien pour ton indication Cool34000: c'est gros ce que j'ai essayé de faire. Sous Ubuntu, je pense que l'idée de bricoler samba me serait venue, mais sous sme il ne m'est rien venu d'autre a l'esprit que d'essayer de faire une sorte de pont avec des liens symboliques! :oops:
Pour répondre à ta question: oui, c'est simple 8-) je garde cette astuce sous le coude car.........

2) ajaxplorer dans la "vraie" sme (car cette usine à gaz m'a tapé dans l'œil... sympa l'interface web!) :
téléchargement et installation de 69 paquets.
erreur durant l'installation du paquet "ajaxplorer": :o
Code : Tout sélectionner
warning: group apache does not exist - using root

Mais l'installation s'est poursuivie jusqu'au bout.
Configuration d'un partage de test dans le server-manager
Malheureusement, quand j'essaie de me connecter: "https://ma_sme/ajaxplorer", j'obtiens la petite fenêtre d'authentification, j'y rentre ce qu'il faut et j'obtiens une page absolument blanche au lieu de
l'interface d'ajaxplorer. Aucun message d'erreur affiché.

Je pense / suppose / crois que ceci est lié au message d'erreur durant l'installation.

--> recherche google "sme server ajaxplorer group apache " ne débouche sur aucune piste
--> vu ici: http://forums.contribs.org/index.php?topic=48680.0 j'ai essayé:
Code : Tout sélectionner
yum remove ajaxplorer
yum clean
yum --enablerepo=fws --enablerepo=rpmforge install smeserver-ajaxplorer
signal-event webapps-update

au cas où l'installation ait eu un problème temporaire, mais ce dernier persiste.

Voici le protocole complet de l'installation:
Code : Tout sélectionner
[root@sme-intel ~]# yum --enablerepo=fws --enablerepo=rpmforge install smeserver-ajaxplorer
Loaded plugins: fastestmirror, protect-packages, smeserver
Determining fastest mirrors
 * base: mirror.atrpms.net
 * smeaddons: aubrac-medical.fr
 * smeextras: aubrac-medical.fr
 * smeos: aubrac-medical.fr
 * smeupdates: aubrac-medical.fr
 * updates: mirror.atrpms.net
http://mirror.atrpms.net/centos/5.8/os/i386/repodata/repomd.xml: [Errno 14] HTTP Error 404: Not Found
Trying other mirror.
base                                                                                                                                    | 1.1 kB     00:00     
base/primary                                                                                                                            | 967 kB     00:01     
base                                                                                                                                                 2725/2725
smeaddons                                                                                                                               | 2.3 kB     00:00     
smeaddons/primary_db                                                                                                                    |  26 kB     00:00     
smeextras                                                                                                                               | 2.3 kB     00:00     
smeextras/primary_db                                                                                                                    |  83 kB     00:00     
smeos                                                                                                                                   | 2.8 kB     00:00     
smeos/primary_db                                                                                                                        | 648 kB     00:00     
smeupdates                                                                                                                              | 2.3 kB     00:00     
smeupdates/primary_db                                                                                                                   | 1.7 kB     00:00     
http://mirror.atrpms.net/centos/5.8/updates/i386/repodata/repomd.xml: [Errno 14] HTTP Error 404: Not Found
Trying other mirror.
updates                                                                                                                                 | 1.9 kB     00:00     
updates/primary_db                                                                                                                      | 926 kB     00:01     
Excluding Packages from CentOS - os
Finished
Excluding Packages from Dag - EL5
Finished
Excluding Packages from CentOS - updates
Finished
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package smeserver-ajaxplorer.noarch 0:0.1.6-1.el5.fws set to be updated
--> Processing Dependency: ajaxplorer >= 4.0.0 for package: smeserver-ajaxplorer
--> Running transaction check
---> Package ajaxplorer.noarch 0:4.2.3-1.el5.fws set to be updated
--> Finished Dependency Resolution

Dependencies Resolved

===============================================================================================================================================================
 Package                                        Arch                             Version                                   Repository                     Size
===============================================================================================================================================================
Installing:
 smeserver-ajaxplorer                           noarch                           0.1.6-1.el5.fws                           fws                            34 k
Installing for dependencies:
 ajaxplorer                                     noarch                           4.2.3-1.el5.fws                           fws                           7.3 M

Transaction Summary
===============================================================================================================================================================
Install       2 Package(s)
Upgrade       0 Package(s)

Total size: 7.3 M
Is this ok [y/N]: y
Downloading Packages:
Running rpm_check_debug
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing     : ajaxplorer                                                                                                                              1/2
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
warning: group apache does not exist - using root
  Installing     : smeserver-ajaxplorer                                                                                                                    2/2
Migrating existing database backups
Migrating existing database yum_installed
Migrating existing database mailpatterns
Migrating existing database networks
Migrating existing database accounts
Migrating existing database yum_updates
Migrating existing database configuration
Migrating existing database yum_available
Migrating existing database yum_repositories
Migrating existing database hosts
Migrating existing database spamassassin
Migrating existing database domains

Installed:
  smeserver-ajaxplorer.noarch 0:0.1.6-1.el5.fws                                                                                                               

Dependency Installed:
  ajaxplorer.noarch 0:4.2.3-1.el5.fws                                                                                                                         

Complete!

==============================================================
WARNING: You now need to run BOTH of the following commands
to ensure consistent system state:

signal-event post-upgrade; signal-event reboot

You should run these commands unless you are certain that
yum made no changes to your system.
==============================================================
[root@sme-intel ~]#



questions:
- quel journal pourrait nous en dire plus, soit sur l'erreur de l'installation, soit sur la page blanche?

Mon plan:
- réinstaller ajaxplorer et apache avec l'option --verbose pour essayer d'en savoir plus.
- essayer de cloner ma "vraie" sme sur ma sme de test pour limiter la casse durant les essais
- en dernière ressource essayer en rechargeant une sauvegarde affa et en réinstallant les contribs. Avec un peu de chance, par miracle.......

@+
Arnaud
Mieux vaut faire envie que pitié...
it's me
arnaud056
 
Message(s) : 98
Inscription : 04 Nov 2011 20:52
Localisation : Allemagne

Re: transfert de fichiers sécurisé avec hôte distant: commen

Message par jdh » 13 Déc 2012 16:10

Je me trompe peut-être mais ni webshare ni ajaxexplorer n'améliore la sécurité.
Ce sont juste des outils pour faciliter le transfert.
On s'éloigne de la question originelle ... (sans compter que ces ajouts fragilisent la solution puisqu'on ajoute des paquets et des paquets ...)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: transfert de fichiers sécurisé avec hôte distant: commen

Message par arnaud056 » 15 Déc 2012 11:14

Bonjour,
je suis tout à fait d'accord avec les 3 phrases precédentes :!:
Et effectivement, en ce moment je m'éloigne de l'objectif, mais pour une autre raison: à cause de 2 bêtises consécutives, j'ai perdu ma sme de backup (avec les sauvegardes qui étaient dessus, of course) hier soir :cry:
--> je m'emploie à réinstaller et à recréer un jeu de sauvegardes.... :oops:
@+
Arnaud, qui va devoir aussi apprendre à récupérer les données d'une sme qui ne veut plus redémarrer.........
Mieux vaut faire envie que pitié...
it's me
arnaud056
 
Message(s) : 98
Inscription : 04 Nov 2011 20:52
Localisation : Allemagne

Suivant

Retour vers SME

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron