In article <g96n0f$19u$2@biggoron.nerim.net>,
William Dode <wilk@flibuste.net> wrote:
On 28-08-2008, Thomas wrote:
In article <g95ms2$30l6$2@biggoron.nerim.net>,
William Dode <wilk@flibuste.net> wrote:
On 27-08-2008, Thomas wrote:
C'est pour ça que je veux toucher au moins de chose possible, c'est pas
mon job. Du coup je prévois que le cheval de troie ne puisse faire que
lancer un exécutable donné qui lui va se connecter en reverse chez moi,
ip fixe.
ah oui, si on part du principe qu'un pirate qui contrôle le serveur ne
pourra faire absolument rien d'autre, ta solution est plutôt plus
sécurisée que la mienne
cela dit, il y a un risque lié au fait que c'est un prgm perso qui n'est
donc pas très "éprouvé", par rapport à ssh
je peux te donner tout ce qu'il faut pour sécuriser (solidement) le
serveur avec ssh, si ça t'intéresse (j'ai pas bien compris si oui ou
non, en fait)
(je te le donne pas d'emblée parce qu'il faut que je le recherche)
il s'agit d'avoir
- vnc chez le client qui écoute
- une connexion ssh en permanence de chez le client sur ton serveur,
avec un tunnel à l'envers
- quand tu veux te connecter, tu fais une connexion ssh sur ton serveur,
avec un tunnel à l'endroit
et voilà :-)
Oui pourquoi pas, mais je ne sais pas si c'est beaucoup plus simple ni
plus sécurisé.
en fait, pour moi c'est beaucoup plus simple parce que je connais bien
ssh (et du coup il n'y a rien à écrire en plus)
plus sécurisé : je m'étais pas rendu compte au début, mais si tu
maîtrises vraiment très très bien le python et que t'es absolument
certain à la fois de l'absence de bug dans ton prgm et de l'absence de
faille de sécurité dans le compilateur ou l'interpreteur, y a un point
pour toi, puisque ça ne dépend pas de la sécurité du serveur ... :-)
(le plus de ssh c'est que les tunnels sont très solidement cryptés)
Rien n'empêchera mon programme d'être crypté en ssl si besoin ou
d'utiliser un tunnel... C'est surtout le principe qui me semble sûr. De
ne faire qu'une chose, lancer tel exécutable. Par rapport à un tunnel,
crypté certe, mais qui laisse faire quoi ?
prendre le contrôle via vnc sans mdp
comme je j'ai dit dans mes messages précédents, quand je t'ai proposé
cette solution je n'avais pas réalisé cet aspect sécurité dans ta
solution à toi :-)
donc j'imaginais que t'étais obligé de toutes façons d'avoir un serveur
dédié à ça (pas de serveur web dessus),
et que tu t'occupais de la sécurité maximale du serveur
(ce que je pense savoir très bien faire avec ssh)
en fait je crois que je croyais aussi que tu cherchais /une/ solution
pour
- ne pas avoir à t'occuper du routeur coté client
- pouvoir te connecter quand il est pas chez lui
et j'avais pas compris que t'avais deja un cahier des charges assez
serré sur ce que tu cherchais réellement ;-)
(faut dire que ton msg de départ n'était pas très clair, d'ailleurs je
te l'avais dit)
Mais bon, ton idée de tunnel me donne une solution pour résoudre le
problème de celui qui va faire la maintenance et qui n'aurait pas d'ip
publique...
ok :-)
si oui, c'est gagné :-)) plus besoin de vnc inversé pour ça :-)
je te donnes les détails si ça t'intéresse :-)
Tu ne serais pas entrain de réinventer le vpn par hasard ;-) ?
heu non, c'est juste des tunnels ssh,
tu connais pas ? même pas le principe ?
je te conseille vivement de t'informer :-)
j'ai eu un peu de mal au début, mais maintenant que je connais je ne
m'en passe plus ;-)
c'est pas tout à fait aussi souple que le vpn
Mais ce que tu décris *est* un vpn !
ah ?
pour toi c'est quoi la définition d'un vpn ?
Pour tout le monde je crois, c'est un tunnel dans lequel passe tout un
réseau privé.
http://fr.wikipedia.org/wiki/Virtual_Private_Network
je viens de voir que ssh permet aussi de faire du vpn
(en fait je l'avais "aperçu" en lisant le man, mais j'ai pas cherché Ã
comprendre parce que j'avais vu que c'était pas de mon niveau, et du
coup après j'ai oublié)
mais ce que je t'indiquais c'était juste de faire passer *une connexion
TCP* par le tunnel ssh, pas tout un réseau privé
chacun ses avantages et inconvénients :
pour une connexion TCP, l'utilisateur le plus simple suffit, même du
coté qui écoute,
alors que pour un vpn, obligé d'être root des 2 cotés (comme l'indique
le document externe sur ssh) ...
--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
