Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 11/06/2008, à 18:19

Rude Wolf

« port knoking » pour sshfs + autofs

Bonjour,

  j'aimerai utiliser le couple sshfs + autofs pour me connecter à mon home situé sur les serveurs de mon université.

  Toutefois la politique de sécurité mise en œuvre utilise la méthode du port knocking sur le port 22: pour initier une connexion ssh, il faut utiliser la suite de commandes

$ ssh -p port1 serveur.ssh.domaine 
$ ssh -p port2 serveur.ssh.domaine
etc.
$ ssh login@serveur.ssh.domaine

afin d'obtenir une invite de login au serveur (avec port1 et port2 spécifiques) .

  Il est possible d'obtenir le même effet en une seule (ligne de) commande:

$ ssh -p port1 serveur.ssh.domaine || ssh -p port2 serveur.ssh.domaine|| etc. || ssh login@serveur.ssh.domaine

Sur internet je n'ai trouvé peu d'info sur le port knocking,  et aucune relative à sa mise en œuvre dans le cadre de sshfs et autofs.

  J'aimerai savoir si quelqu'un connait un peu la configuration de autofs et pourrait m'éclairer
- sur la faisabilité de la chose,
- sur sa mise en œuvre.

Je joins ma configuration de autofs. Elle fonctionne pour un autre serveur sans port knocking.

$ cat /etc/auto.master 
#
/mnt/sshfs /etc/auto.sshfs uid=1000,gid=1000,--timeout=599,--ghost
$ cat /etc/auto.sshfs 
dossier -fstype=fuse,rw,nodev,nonempty,noatime,allow_other,max_read=65536 :sshfs\#login@autre.serveur\:/home/login/

Hors ligne

#2 Le 11/06/2008, à 18:36

®om

Re : « port knoking » pour sshfs + autofs

Je ne connais pas le port knocking, mais j'ai abandonné autofs pour sshfs, car il fallait lancer ssh en root (sudo ssh ...) et donc avoir des clés publique/privée pour le compte root, et surtout il fallait une clé privée non cryptée par une passphrase pour que ça marche...

Du coup maintenant j'ai 2 scripts, sshfs-mount et sshfs-umount, qui montent et démontent les répertoires que je veux, avec une icône sur le bureau.

Hors ligne

#3 Le 11/06/2008, à 19:03

Rude Wolf

Re : « port knoking » pour sshfs + autofs

car il fallait lancer ssh en root (sudo ssh ...) et donc avoir des clés publique/privée pour le compte root, et surtout il fallait une clé privée non cryptée par une passphrase pour que ça marche...

J'ai suivi/adapté la méthode suivante: http://www.tjansson.dk/?p=84 (en) pour générer des clés, et les transporter sur le compte cible. Essentiellement

# Root crée une clé (je l'ai placée en /root/.ssh/id_dsa.pub)
$ sudo ssh-keygen -t dsa
# Placer la clé sur le serveur avec le compte root (comme j'ai refait la manip plusieurs fois j'ai du nettoyer .ssh/authorized_keys sur la cible)
$ sudo ssh-copy-id -i .ssh/id_dsa.pub login@serveur

Ainsi le démon de autofs demande à root de sshfs sur login@serveur, et root utilise la clé /root/.ssh/id_dsa.pub pour s'authentifier sans invite de login sur login@serveur. Il faut aussi mettre les options correspondantes pour que l'utilisateur soit propriétaire du point de montage (uid=1000,gid=1000 dans auto.master) et puisse y écrire (rw dans auto.sshfs).

Cordialement.

Edit: J'ai lu (sur ce forum?) qu'il ne fallait pas mettre de passphrase sur la clé si l'on souhaite utiliser autofs. Donc je n'en ai pas mise. Bien sûr cela comporte des risques (relatifs) de sécurité qu'il faut apprécier.

Dernière modification par Rude Wolf (Le 11/06/2008, à 19:10)

Hors ligne

#4 Le 11/06/2008, à 22:42

Jérémie78

Re : « port knoking » pour sshfs + autofs

Je plussoie Rom.

Une des meilleurs façon de faire à mon goût est de charger ton home "universitaire" via une commande (manuellement donc), afin d'éviter  d'utiliser ta connexion internet pour rien, et de sécurité de la clé privée.

Hors ligne

#5 Le 13/06/2008, à 14:40

Rude Wolf

Re : « port knoking » pour sshfs + autofs

Finalement, j'ai vu que l'on peut configurer autofs de sorte qu'il lance un script (man -s 5 autofs, man auto.master, man automount). J'ai également trouver quelque références à ce sujet (chercher: autofs, "executable maps").

  Je testerai la méthode quand j'aurai un peu de temps et indiquerai le script utilisé et les références.

Hors ligne

#6 Le 26/03/2009, à 16:45

stopdatrue

Re : « port knoking » pour sshfs + autofs

®om a écrit :

Je ne connais pas le port knocking, mais j'ai abandonné autofs pour sshfs, car il fallait lancer ssh en root (sudo ssh ...) et donc avoir des clés publique/privée pour le compte root, et surtout il fallait une clé privée non cryptée par une passphrase pour que ça marche...

Du coup maintenant j'ai 2 scripts, sshfs-mount et sshfs-umount, qui montent et démontent les répertoires que je veux, avec une icône sur le bureau.

Exemple de port knocking avec netfilter:

iptables -N stage1
iptables -A stage1 -m recent --remove --name knock
iptables -A stage1 -p tcp --dport 3456 -m recent --set --name knock2

iptables -N stage2
iptables -A stage2 -m recent --remove --name knock2
iptables -A stage2 -p tcp --dport 2345 -m recent --set --name heaven

iptables -N door
iptables -A door -m recent --rcheck --seconds 5 --name knock2 -j stage2
iptables -A door -m recent --rcheck --seconds 5 --name knock -j stage1
iptables -A door -p tcp --dport 1234 -m recent --set --name knock

iptables -A INPUT -m --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name heaven -j ACCEPT
iptables -A INPUT -p tcp --syn -j door

Pour tester :

nc -w 1 <ip> 1234 ; nc -w 1 <ip> 3456 ; nc -w 1 <ip> 2345 ; ssh <ip>