Bonjour à tous,
Passer à linux, c'est aussi se poser des questions, jusqu’alors insoupçonnées, sur la sécurité!
Je fais aujourd'hui essentiellement de la bidouille, et ai ouvert un port ssh sur mon raspberrypi
Après avoir parcouru de nombreux tutos sur le SSH, me reste des questions :
1) SSH local ?j'utilise cette liaison, pour lors, uniquement en local, mais d'après ce que j'ai pu comprendre mon port serai ouvert sur le monde extérieur?
Puis-je uniquement l'ouvrir en local? Un genre de "
-listen mon_reseau_local " pit-être?
2) Quelles options de sécurité ? On nous conseille :
- de modifier le port ....................................... fait
- pas de connexion en root ............................fait, mais je suis sudoer (inutile donc? difficile de faire autrement sur raspberry)
- désactiver l’accès par mot de passe ...... pas fait, mais j'ai généré des clefs pour mon pc
- autoriser seulement certaines ip ............... pas fait
- fail2ban ..........................................................fait : options par défaut
J'ai l'impression qu'on nous conseille à chaque fois le maximum d'options, mais si j'autorise, par exemple, seule l'ip de mon pc,
est ce que supprimer les mots de passe, ouvrir tout les ports et activer la connexion en root peut poser problème?
3) sécuriser VNC/x11vncD'après ce que j'ai compris vnc ne sécurise que le début de la communication (mot de passe)
le principe est alors de tunneliser la liaison
j'aboutis à ceci, pouvez vous valider mes commandes? (en terme de sécurité)
sur le raspberry :
x11vnc -display :0 -noxdamage -auth guess -rfbauth ~/.x11vnc_passwd -listen 127.0.0.1 -tightfilexfer
sur mon pc :
ssh -t -X -L 5903:127.0.0.1:5900 daguhh@192.168.1.17 -p 5265
vncviewer 127.0.0.1:3
Ce qui me dérange, c'est que j'ouvre un port 5900, protégé par mdp uniquement non?
PS : 1 ) D'autre part, on recommande souvent d'utiliser putty, mais ça marche très bien en console, ya t'il une subtilité qui m'aurait échappée?
2 ) la manip est assez lourde : ouvrir une console : se connecter en ssh, lancer le serveur, ouvrir une nouvelle console : créer le tunnel, ouvrir un nouvelle console lancer vncviewer, je dois surment pouvoir un bash, mais n'y a t-il pas plus simple?