Nouveau forum : https://forum.slackware-fr.eu.org/

Annonce

29/01/2017 : Ce forum est désormais en lecture seule. Merci d'utiliser le nouveau forum.

13/12/2014 : Inscriptions désactivées pour un moment en raison d'une recrudescence d'inscriptions plus que douteuses.

#1 19-01-2015 16:13:09

hapalemur
Membre très actif
Lieu: Basse Normandie
Date d'inscription: 30-05-2007
Messages: 123

Controle d'un système Linux distant

Hello,
Dans le cadre d'une activité associative, j'ai besoin d'avoir la main sur un système Linux situé en pleine nature. Des explications :
Buts
Effectuer la surveillance d'équipements électroniques (consommation, température, intrusion ... ) situés dans un local isolé; surveillance effectuée grace à un système informatique relié à internet. Ce système informatique embarque un mini serveur web accessible à distance par l'intermédiaire d'un navigateur; les pages afficheront les différents paramètres physiques/techniques.
Le système informatique est relié au réseau grâce à un modem ADSL/routeur.
Solution
Une solution basique a été mise en place, solution qui s'appuie sur un système Arduino, mais qui a de nombreux inconvénients :
- pauvreté des possibilités web (on construit les pages en mettant le HTML dans des print)
- toute évolution oblige à se rendre sur site pour mettre à jour le logiciel
- quelques difficultés avec le modem/routeur qui gère mal les IP dynamiques (ce qui à pour conséquence de rendre l'url du site non accessible);
Une solution plus performante s'appuyant sur un module plus puissant (de type Rasberry pi, BeagleBoneBlack) est en cours de développement.
Finalement c'est un système pcDuino qui a été choisi; ce module embarque un système Linux LUbuntu ( LXDE+Ubuntu ) et permet de conserver la compatibilité avec les modules ("shields") Arduino.
Questions
Pour administrer à distance ce système LUbuntu (arrêter/démarrer les services, visualiser les logs,  uploader une nouvelle version de l'application, etc ...) par quoi doit t'on passer pour se connecter (telnet/SSH) et que faut-il mettre en oeuvre sur chaque équipement. Du coté Slackware, la console suffit-elle ou faut-il passer par un émulateur de type putty.
Idées et remarques sont les bienvenues smilesmile

Hors ligne

 

#2 19-01-2015 18:15:59

Ellendhel
Membre très actif
Lieu: Alexandria, VA - USA
Date d'inscription: 15-08-2008
Messages: 414
Site web

Re: Controle d'un système Linux distant

hapalemur a écrit:

Questions
Pour administrer à distance ce système LUbuntu (arrêter/démarrer les services, visualiser les logs,  uploader une nouvelle version de l'application, etc ...) par quoi doit t'on passer pour se connecter (telnet/SSH) et que faut-il mettre en oeuvre sur chaque équipement. Du coté Slackware, la console suffit-elle ou faut-il passer par un émulateur de type putty.
Idées et remarques sont les bienvenues smilesmile

Ne pas utiliser Telnet, jamais. C'est un protocole non sécurisé et il manque un certain nombre de fonctions comparé à SSH (transfert de fichiers, ...).

SSH est généralement suffisant pour administrer un serveur distant : on se connecte via un compte utilisateur standard, puis soit on passe root (via la commande su), soit on utilise sudo à tour de bras. Tout cela évidemment en partant du principe que l'on utilise des outils en ligne de commande. Pour des applications en mode graphique il est possible de créer un tunnel X11 pour que l'affichage soit déporté sur ton écran ; cela requiert plus de bande passante bien sûr.

L'un des avantages, qui peut être utilisé dans un second temps, est qu'il est possible d'automatiser des actions depuis le serveur en utilisant des scripts et une authentification par clés (au lieu de mot de passe).

Côté client, rien de particulier à installer sur une Slackware ; PuTTY est le client SSH de référence pour les ordinateurs sous MS Windows.

Je donne plus de détails d'ici peu, à moins que quelqu'un ne réponde entre temps.

Hors ligne

 

#3 19-01-2015 20:41:40

Ellendhel
Membre très actif
Lieu: Alexandria, VA - USA
Date d'inscription: 15-08-2008
Messages: 414
Site web

Re: Controle d'un système Linux distant

Voici quelques indications pour mettre en place tout cela (sans rentrer dans tous les détails) ; cela implique que tu sois sur place pour la mise en place (ce que je recommende chaudement), ou que tu ais quelqu'un pour être tes yeux et tes doigts (et qui ne soit pas manchot devant un ordinateur wink ).

1 - Activer OpenSSH sur le serveur.
2 - Noter les empreintes de clés publiques, résultant de la commande suivante :

Code:

for keyfile in /etc/ssh/*.pub ; do ssh-keygen -l -f $keyfile ; done

3 - Configurer OpenSSH. En vrac: interdire les connections en root, autoriser la connexion par clé, activer le forwarding X11 pour les outils graphiques si nécessaire, vérifier que le port utilisé par défaut est bien TCP/22, ...
4 - Si un pare-feu est actif sur le serveur, le configurer pour autoriser les connections SSH entrantes.
5 - Les ennuis commencent : paramétrer la box ADSL/routeur pour autoriser les connections SSH entrantes, depuis Internet. Comme cela dépend du fabricant et du modèle je ne saurais que te conseiller de lire la documentation. Et en priant que le FAI ne bloque rien (sait-on jamais...).
6 - Tester et vérifier que tout fonctionne comme prévu, en particulier lors de la première connexion distante, le client OpenSSH doit demander d'accepter l'empreinte d'une des clé publiques comme vu précédemment.
7 - Boire une boisson chaude ou froide pour célébrer le succès tongue

Plusieurs points peuvent être discutés en terme de sécurité : choisir un autre port que TCP/22, n'autoriser que les connexions par clé (et pas par mot de passe), créer un seul utilisateur autorisé à effectuer une connextion distante, ... Mais il faudra déjà avoir mis en place tous les éléments de base en premier lieu.

Un peu de documentation sur OpenSSH, à toutes fins utiles :

- Améliorer la sécurité d'OpenSSH
- Utiliser des clés pour se connecter sans mot de passe

Hors ligne

 

#4 21-01-2015 21:52:07

hapalemur
Membre très actif
Lieu: Basse Normandie
Date d'inscription: 30-05-2007
Messages: 123

Re: Controle d'un système Linux distant

Merci pour toutes ce précisions et conseils que je garde sous le coude pour dans quelques semaines le temps de finaliser l'application.

Ellendhel a écrit:

5 - Les ennuis commencent : paramétrer la box ADSL/routeur pour autoriser les connections SSH entrantes, depuis Internet. Comme cela dépend du fabricant et du modèle je ne saurais que te conseiller de lire la documentation. Et en priant que le FAI ne bloque rien (sait-on jamais...).

Pour le routeur Dlink (ce n'est pas une box) celà ne devrait pas poser de Pb; il me suffit de définir les paramètres dans le Port Forwarding.
Reste à savoir si le FAI Orange laisse passer SSH sur la ligne en question!
Pour le reste il faudra faire un peu de gymnastique mentale : on quitte Slackware pour une Debian-like yikesyikes

Hors ligne

 

#5 25-01-2015 17:45:01

Nh3xus
Membre
Date d'inscription: 29-08-2012
Messages: 28

Re: Controle d'un système Linux distant

hapalemur a écrit:

Reste à savoir si le FAI Orange laisse passer SSH sur la ligne en question!

Je suis un ancien client Orange ADSL, FAI que je viens tout juste de quitter (1 mois environ)

Le SSH n'est pas bloqué chez Orange donc tu n'auras aucun soucis hormis une mauvaise configuration de ton routeur bien entendu.

C'est le POP entrant qui est bloqué chez Orange (et chez presque tout le monde) sur les offres grand public.

C'est uniquement gênant pour le fou qui veut héberger soi-même ses mails.

(Sur de l'ADSL, je...hum...)

Edit: typo.

Dernière modification par Nh3xus (25-01-2015 17:45:39)

Hors ligne

 

#6 26-01-2015 06:44:28

Thom1
Administrateur
Date d'inscription: 21-09-2007
Messages: 524
Site web

Re: Controle d'un système Linux distant

Nh3xus a écrit:

C'est le POP entrant qui est bloqué chez Orange (et chez presque tout le monde) sur les offres grand public.

Tu ne veux pas dire le SMTP sortant (port 25) ? Je n'ai jamais entendu parler du port POP bloqué chez quel FAI que ce soit.

Nh3xus a écrit:

C'est uniquement gênant pour le fou qui veut héberger soi-même ses mails.

Je n'ai pas la sensation d'être fou et ça marche très bien depuis un autre FAI grand public.

Dernière modification par Thom1 (26-01-2015 06:46:50)

Hors ligne

 

#7 27-01-2015 15:00:35

Nh3xus
Membre
Date d'inscription: 29-08-2012
Messages: 28

Re: Controle d'un système Linux distant

C'est bien le SMTP sortant qui est bloqué. Je me suis fourvoyé tongue

Je pensais ce blocage généralisé chez les FAI grand public.

A moins que tu sois chez un FAI associatif, ou que je me trompe encore smile

Dernière modification par Nh3xus (27-01-2015 15:01:42)

Hors ligne

 

#8 27-01-2015 17:53:53

Thom1
Administrateur
Date d'inscription: 21-09-2007
Messages: 524
Site web

Re: Controle d'un système Linux distant

Nh3xus a écrit:

Je pensais ce blocage généralisé chez les FAI grand public.

A moins que tu sois chez un FAI associatif, ou que je me trompe encore smile

À ma connaissance, il n'y a que chez orange et numericable où ne l'on ne peut pas faire de smtp chez soi. J'ai un serveur smtp chez ovh et deux smtp secondaires chez free : RAS.

Hors ligne

 

#9 22-02-2015 11:06:54

Didier Spaier
Membre actif
Date d'inscription: 26-04-2013
Messages: 93

Re: Controle d'un système Linux distant

Je confirme (s'il en était besoin) : chez Free un réglage sur "mon compte" permets de bloquer ou non le SMTP sortant.

J'ai installé occasionnellement un serveur SMTP sur mon Thinkpad (avec Postfix), inconvénient : certains serveurs refusaient les courriels venus d'une adresse IP inconnue d'eux.

Hors ligne

 

#10 22-02-2015 11:12:22

Thom1
Administrateur
Date d'inscription: 21-09-2007
Messages: 524
Site web

Re: Controle d'un système Linux distant

Didier Spaier a écrit:

J'ai installé occasionnellement un serveur SMTP sur mon Thinkpad (avec Postfix), inconvénient : certains serveurs refusaient les courriels venus d'une adresse IP inconnue d'eux.

Dans ce cas il faut indiquer son ip sur liste blanche comme spamhaus.

Hors ligne

 

#11 22-02-2015 21:57:44

Didier Spaier
Membre actif
Date d'inscription: 26-04-2013
Messages: 93

Re: Controle d'un système Linux distant

Thom1 a écrit:

Didier Spaier a écrit:

J'ai installé occasionnellement un serveur SMTP sur mon Thinkpad (avec Postfix), inconvénient : certains serveurs refusaient les courriels venus d'une adresse IP inconnue d'eux.

Dans ce cas il faut indiquer son ip sur liste blanche comme spamhaus.

Oui, mais... Le problème se complique que du fait que certains serveurs se basent pour refuser des courriels entrants sur des listes fournies par différents prestataires, qui ne sont pas toujours fiables. Quelquefois le prestataire ignore simplement les requêtes d'enlèvement d'une adresse IP d'une liste noire, ou même fait payer ce "service"... J'ai eu les deux cas, comme l'a constaté mon hébergeur (o2switch.fr, que je recommande au passage).

Hors ligne

 

#12 23-02-2015 00:07:24

Ellendhel
Membre très actif
Lieu: Alexandria, VA - USA
Date d'inscription: 15-08-2008
Messages: 414
Site web

Re: Controle d'un système Linux distant

Didier Spaier a écrit:

J'ai installé occasionnellement un serveur SMTP sur mon Thinkpad (avec Postfix), inconvénient : certains serveurs refusaient les courriels venus d'une adresse IP inconnue d'eux.

Définir des enregistrements SPF et DKIM (avec signature des messages effectués par OpenDKIM) peut aussi aider, cela dépend de la politique de filtrage du serveur destinataire.

Hors ligne

 

#13 04-03-2015 15:58:55

hapalemur
Membre très actif
Lieu: Basse Normandie
Date d'inscription: 30-05-2007
Messages: 123

Re: Controle d'un système Linux distant

Bjr,
Mettre en place ssh est assez facile une fois qu'on en a compris les principes de cryptage. J'ai mis un seul utilisateur en accès ssh sur le serveur;
Celà fonctionne sur mon réseau local, reste à préciser quelques points et valider la mise en service derrière un routeur ADSL.
Parmi les choses qu'il me reste à préciser :
Génération des clefs RSA :
Lors de l'installation, il y a les clefs dans /etc/ssh, mais, à mon avis, ces clefs ne proviennent pas d'une génération locale.
Le système Ubuntu du pcDuino est construit en 2 phases (a) copie du Kernel sur une carte microSD puis chargement du Kernel en mémoire nand (b) copie d'un fichier image (Ubuntu) sur carte microSD et chargement de cette image dans la mémoire nand du pcDuino. Donc selon moi les clefs sont déjà contenues dans ce fichier image; ce qui signifie que les mêmes clefs se retrouvent chez tous les utilisateurs de pcDuino ayant chargé cette image.
D'ou ma question : doit-on générer de nouvelles clefs?
Utilisation du port 22 :
A différents endroits, j'ai pu lire que pour des raisons de sécurité il est conseillé de changer le numéro de port : très bien!!
Sauf qu'au cours de ces lectures, je suis tombé sur :
https://www.adayinthelifeof.nl/2012/03/ … -bad-idea/
Alors, je ne sais plus trop quoi penser.
Authentification
Pour l'instant elle se fait par mot de passe,voir l'authentification par clés.
Administration
Voir l'écriture de quelques scripts pour administrer le serveur.

Dernière modification par hapalemur (04-03-2015 16:04:33)

Hors ligne

 

#14 05-03-2015 04:59:56

Ellendhel
Membre très actif
Lieu: Alexandria, VA - USA
Date d'inscription: 15-08-2008
Messages: 414
Site web

Re: Controle d'un système Linux distant

hapalemur a écrit:

D'ou ma question : doit-on générer de nouvelles clefs?

OUI. Utiliser des clés dont on ne sait pas comment elles ont été générées n'est pas une bonne idée.

hapalemur a écrit:

Utilisation du port 22 :
A différents endroits, j'ai pu lire que pour des raisons de sécurité il est conseillé de changer le numéro de port : très bien!!
Sauf qu'au cours de ces lectures, je suis tombé sur :
https://www.adayinthelifeof.nl/2012/03/ … -bad-idea/
Alors, je ne sais plus trop quoi penser.

Changer de numéro de port n'apporte pas de véritable sécurité. Cela réduit les tentatives d'accès faites sur le port TCP/22 (et donc moins de lignes dans les logs) mais à part ça rien.

Pire : si tu te retrouves sur un réseau d'hôtel/université/centre de conférence/else et que tu as besoin d'accéder à ton serveur, il n'y a aucune garantie que le port TCP/4422 que tu as choisi soit utilisable (certes, TCP/22 n'est pas toujours utilisable non plus, mais les chances sont plus élevées). Quand à utiliser le port TCP/80 ou TCP/443, ce n'est pas une bonne idée non plus, il y aura toujours des tentatives d'accès comme pour un "véritable" serveur web.

Et juste pour le principe, si quelqu'un veut vraiment cibler ton serveur, un scan de ports dans les règles détectera sûrement celui utilisé par SSH.

hapalemur a écrit:

Authentification
Pour l'instant elle se fait par mot de passe,voir l'authentification par clés.

Les clés, c'est bien. cool

Hors ligne

 

#15 14-10-2015 12:23:43

hapalemur
Membre très actif
Lieu: Basse Normandie
Date d'inscription: 30-05-2007
Messages: 123

Re: Controle d'un système Linux distant

Bonjour,
Longtemps que je n'avais pas eu besoin d'aide, c'est vrai que je suis plus souvent au dessus de l'OS qu'au niveau de l'OS.
Donc petit souci ce matin, si ma connexion ssh fonctionne correctement, pas moyen de copier un fichier : local -> distant

Code:

bash-4.2$ scp -P 2423 /home/hubert/NetBeansProjects/test/dist/test.war hubert@.....

Après avoir validé la commande, le shell me rend la main immédiatement sans demande de mot de passe ou message d'information.
Des idées ?

Hors ligne

 

#16 15-10-2015 01:37:29

Ellendhel
Membre très actif
Lieu: Alexandria, VA - USA
Date d'inscription: 15-08-2008
Messages: 414
Site web

Re: Controle d'un système Linux distant

hapalemur a écrit:

Bonjour,
Après avoir validé la commande, le shell me rend la main immédiatement sans demande de mot de passe ou message d'information.
Des idées ?

Peut-être, mais comme la ligne de commande est incomplète je ne suis pas certain.

Une erreur commune en utilisant scp est d'oublier le caractère deux points pour signifier "vers le serveur distant" :

Code:

scp fichier-a-copier identifiant@serveur-distant:repertoire-de-destination

Sans le caractère deux points, scp effectue une copie locale avec "identifiant@serveur-distant" comme nom de fichier. Oui, c'est couillon mais scp peut fonctionner comme cp. Et du coup, la copie locale fonctionne, sans demande de mot de passe ou de message d'erreur.

Hors ligne

 

#17 15-10-2015 21:28:08

hapalemur
Membre très actif
Lieu: Basse Normandie
Date d'inscription: 30-05-2007
Messages: 123

Re: Controle d'un système Linux distant

200%

Ellendhel a écrit:

Une erreur commune en utilisant scp est d'oublier le caractère deux points pour signifier "vers le serveur distant"

Tout à fait.
C'est le genre de commande un peu longue, et par facilité j'utilise l'historique (^ : flèche vers le haut); de plus comme cette commande n'est pas utilisée régulièrement, j'ai du remonter assez haut, et comme elle faisait 2 lignes dans la console, je l'ai bidouillée et j'ai supprimé les 2 points par inadvertance.
De plus il était 9h du mat (ce qui n'est pas mon heure) et je me suis acharné sur des modifs sans voir l'absence de 2 points.
Je devrais travailler à l'heure US wink
Merci.

Hors ligne

 

#18 16-10-2015 14:42:56

paradise
Membre très actif
Lieu: Annecy
Date d'inscription: 04-03-2011
Messages: 453

Re: Controle d'un système Linux distant

Pourquoi n'essayes-tu pas Teamviewer ?


PC : CM Asus P5Q - CPU Intel Q9650 - RAM 8 Go DDR2 1066 - CG eVga 260GTX 216  - Webcam Hercules Infinite
Portable : Fujitsu A530 (Fedora)
OS : Slackware64 14.1 KDE multilib - Mageia - Openindiana

Hors ligne

 

#19 20-10-2015 22:11:28

hapalemur
Membre très actif
Lieu: Basse Normandie
Date d'inscription: 30-05-2007
Messages: 123

Re: Controle d'un système Linux distant

paradise a écrit:

Pourquoi n'essayes-tu pas Teamviewer ?

Trop lourd !!

Ce n'est pas une machine x86 mais une ARM.
Donc il faudrait faire une compil pour cette cible à partir des sources.
Ensuite, cette machine fonctionne sous LXDE (Lightweight X11 Desktop Environment) et çà "rame pas mal" pour la moindre chose en mode X.
Comme c'est un serveur, les seules choses ou un opérateur intervient concernent :
- l'édition de fichiers de scripts et de configs,
- la consultation et la récupération de fichiers logs
- le démarrage et l'arrêt de services
- quelques installations qand c'est nécessaire.
Ce produit est configuré à l'origine pour démarrer en mode graphique (Desktop : LXDE/ubuntu) avec une session ouverte directement sans password : au final, il faudra que je vire ce mode pour avoir un login normal en mode console.

Hors ligne

 

#20 21-10-2015 21:43:22

Didier Spaier
Membre actif
Date d'inscription: 26-04-2013
Messages: 93

Re: Controle d'un système Linux distant

Bon, j'arrive après la bataille surtout que ça ne s'installe pas sur ARM et en plus ce n'est pas la question, mais pour le serveur distant tu aurais pu choisir Superb Mini Serveur, basé sur Slackware 14 mais activement maintenue:
http://sms.it-ccs.com/ (le site est affreux mais ce n'est pas important)
Voir une critique ici:
http://distrowatch.com/weekly.php?issue … 06#feature
L'installateur est celui de Slackware.
Je suis en train de l'installer dans une machine virtuelle, juste par curiosité

Il se trouve que je fais une revue de toutes les dérivées actives de Slackware pour réfléchir à comment faire évoluer Slint.

Bon je suis hors sujet là, mais tant pis.

Didier

Hors ligne