Partage de données client/serveur sécurisé

Partage de données client/serveur sécurisé - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 03-05-2006 à 15:25:11    

Bonjour
 
Actuellement sur mon serveur linux j'utilise SSH/SFTP pour l'administration et PureFTPd pour le transfert de fichiers.
 
J'aimerais sécuriser le transfert de fichier et pour certains utilisateurs donner la possibilité d'accéder à distance aux fichiers. Les clients sont des machines Win/Linux/MacOS donc il faut une solution portable. De plus il est important que la mise en place soit simple côté clients qui ne sont pas doués en bidouille ;)
 
Pour le transfert de fichier classique je pensais ajouter le support SSL/TLS à PureFTPd mais apparement ça ne crypte que la phase de login. Les données passent en clair ce qui n'est pas terrible :/
 
Pour accéder directement aux fichiers j'ai pensé à Samba, mais est-ce vraiment une bonne idée par Internet? Pour le sécuriser je suppose que je seul moyen est de faire les échanges au travers d'un tunel VPN.
Là je crois que PPTP est le plus simple mais assez instable et bugué... sinon il y a IPsec fonctionnant moyennement sous Windows surtout avec du NAT et enfin OpenVPN. Celui-ci semble être la meilleur solution mais pas la plus simple pour les clients (PPTP est le meilleur de ce côté là).
PPTP est il vraiment une passeoire comme on entend un peu partout ou il est possible de l'utiliser sans soucis?
D'autre part utilise t'il beaucoup de ressources processeur côté serveur?
 
Si il ne présente pas trop de soucis de sécurité je pense que je vais opter pour ce dernier :)
 
Donnez votre avis, merci! :hello:

Reply

Marsh Posté le 03-05-2006 à 15:25:11   

Reply

Marsh Posté le 03-05-2006 à 17:27:02    

Le cryptage de PPTP laissant à désirer je vais surement m'orienter vers OpenVPN :o
 
D'après ce que j'ai pu lire on est obligé de faire un certificat pour le serveur et un certificat par client qui doit s'y connecter.
Est-il possible de se passer du certificat client pour faire comme avec SSH, quand le client se connecte il obtient un certificat du serveur, ouvre un tunnel avec celui-ci et peut ensuite s'authentifier en tout sécurité? :??:

Reply

Marsh Posté le 03-05-2006 à 20:56:58    

Si tes utilisateurs sont à l'aise avec les logiciels de type client ftp, pourquoi tu laisses pas ton serveur ssh puis que tu leur fourni un client ssh ou ftp qui comprend le sftp ?
 
windows : http://ssh.com/support/downloads/s [...] rcial.html  
  ou encore http://filezilla.sourceforge.net/
 
mac : http://www.openssh.com/macos.html
 
Un VPN, ça risque de pas être une solution simple ni pour toi, ni pour tes utilisateurs, si ?


Message édité par brojnev le 03-05-2006 à 21:07:37
Reply

Marsh Posté le 04-05-2006 à 13:16:14    

un serveur ssh est une solution intéressante en effet. si tu trouve un client ssh qui fonctionne comme konqueror, c'est encore mieux !
en effet avec konqueror, lorsque tu accèdes à un serveur ssh, il affiche les fichiers distant de ton serveur ssh comme si c'était un partage réseau ... vraiment cool.


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 04-05-2006 à 14:24:32    

est-il possible de chrooter les utilisateurs par SSH?
 
effectivement si un client permet d'afficher les fichiers comme un partage réseau ce serait beaucoup plus simple qu'un VPN :)

Reply

Marsh Posté le 04-05-2006 à 14:42:36    

Reply

Marsh Posté le 04-05-2006 à 16:09:25    

L'avantage d'un serveur Samba par VPN c'est quand même de pouvoir consulter des fichiers direct sans avoir besoin de les télécharger au préalable... Au pire je testerai plusieurs solutions, dommage qu'il n'existe pas une ultime solution qui utilise le meilleur de chacun ;)

Reply

Marsh Posté le 04-05-2006 à 17:02:29    

tu peux aussi faire passer ton serveur samba à travers un tunnel ssh. Tu gardes l'avantage de samba tout en ayant la sécurisation de ssh


---------------
TriScale innov
Reply

Marsh Posté le 06-05-2006 à 10:24:29    

Bon voilà j'ai fais un tunnel SSH vers mon serveur Samba, je connecte mes lecteurs réseau à travers le tunnel.
Ca fonctionne très bien sous MacOSX avec la commande :

ssh user@monserveur.com -L 137:monserveur.com:137 -L 138:monserveur.com:138 -L 139:monserveur.com:139


 
Je monte le dossier "smb://localhost/monpartage" et sans soucis j'accède à mes fichiers se trouvant sur le serveur :)
 
Sous Windows XP je fais :

putty admin@monserveur.com -L 137:monserveur.com:137 -L 138:monserveur.com:138 -L 139:monserveur.com:139


 
malgrès le fait que je sois bien connecté au serveur lorsque je me connecte au lecteur réseau j'ai le message "le chemin réseau n'a pas été trouvé". Comment vérifier que mes ports ont bien été forwardés vers le serveur? Qu'est-ce qui ne va pas? Je pense que les ports ne se forwardent pas bien mais je n'ai pas de message d'erreur, je suis bien en admin, y a t'il une commande pour savoir? :??:
 
J'ai aussi essayé de rajouter les ports 135 et 445 mais ça ne change rien...

Reply

Marsh Posté le 06-05-2006 à 13:52:12    

Pour du transfert de fichier sécurisé, avec des utilisateurs chrootés, il existe mysecureshell.
C'est basé sur openssh, l'install et la config sont rapides, on peut limiter les débits up/down, cacher certains type de fichiers.
 
Le site:
http://mysecureshell.sourceforge.net/fr/frame.html


Message édité par hwlm le 06-05-2006 à 13:52:50
Reply

Marsh Posté le 06-05-2006 à 13:52:12   

Reply

Marsh Posté le 07-05-2006 à 01:01:41    

il y a sfs aussi, du nfs sécurisé en gros.

Reply

Marsh Posté le 09-05-2006 à 11:03:53    

Merci pour vos propositions mais j'ai finis par arriver à faire passer Samba par le tunnel SSH sous Windows :)
 
Avant d'ouvrir le tunnel il faut arrêter un service avec la commande "net stop server".
Pour désactiver le service définitivement il faut faire "sc config lanmanserver start= disabled" et pour le réactiver c'est "sc config lanmanserver start= auto" puis "net start server".

Reply

Marsh Posté le 10-07-2006 à 09:40:04    

XK a écrit :

Merci pour vos propositions mais j'ai finis par arriver à faire passer Samba par le tunnel SSH sous Windows :)
 
Avant d'ouvrir le tunnel il faut arrêter un service avec la commande "net stop server".
Pour désactiver le service définitivement il faut faire "sc config lanmanserver start= disabled" et pour le réactiver c'est "sc config lanmanserver start= auto" puis "net start server".


 
Bonjour,
 
Très intéressant ! Est-il possible de savoir quels ports il faut forwarder via SSH pour que cela fonctionne ? Je suppose qu'ensuite sous Win XP, il faut faire "connecter un lecteur réseau" -> "\\localhost\mon_repertoire_distant\" ?
 
Autre question : pour éviter de devoir arrêter le service "serveur", n'y a-t-il pas moyen de connecter un lecteur réseau sur un autre port que le port standard, en précisant quelque chose comme ceci :
"\\localhost:8000\mon_repertoire_distant\", en redirigeant ensuite le port 8000 vers le bon port distant via SSH ?
 
Dernière question : cela fonctionne pour connecter une ressource partagée avec SAMBA sous Linux, si j'ai bien compris. Dans mon cas, je voudrais me connecter à une ressource partagée sous Windows, au travers d'un serveur SSH sous Linux. J'arrive bien à monter des tunnels vers mon PC sous Windows, pour le prendre à distance sous VNC, par exemple. Mais je n'arrive pas à connecter mes répertoires partagés. J'ai également le message d'erreur :
Impossible de trouver le chemin d'accès réseau \\localhost\partage_marine\
 
Quelqu'un a-t-il une idée ? J'ai arrêté le service "serveur", J'ai forwardé les ports 445, 135, 136, 137, 138, 139 (à vrai dire, je ne sais pas vraiment lesquels je dois forwarder), mais ça ne marche pas.
 
Merci d'avance.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed