[fedora-fr-doc] [Relecture] Tunnels SSH

K C kaanou at gmail.com
Lun 25 Fév 16:09:05 CET 2019


Bonjour, Joan Luc a raison, il faut déconseiller (voire interdire) la
connexion ssh en root, et favoriser l'utilisation de clefs et
éventuellement implémenter la double authentification (avec Google
Authenticathor - que j'utilise sur mes serveurs - ou une autre solution).
Si tu es d'accord, je veux bien t'envoyer les procédures nécessaires pour
interdire l'identifiant root et valider un autre identifiant. Je peux
également t'envoyer la procédure pour implémenter Google authenticator.

Kaan.

On Mon, Feb 25, 2019 at 3:08 PM Joan Luc Labòrda <joanluc.laborda at free.fr>
wrote:

> Dans les exemples l'identifiant de connexion est toujours 'root', ça peut
> porter à confusion et faire croire qu'on ne peut ouvrir un tunnel qu'en
> tant qu'administrateur, je pense qu'il vaudrait mieux remplacer par 'user'
>
> Le 24/02/2019 à 17:13, Nicolas BERREHOUC a écrit :
>
> Le 24/02/2019 à 14:48, Casper a écrit :
>
> Landron Gérard a écrit :
>
> Le 24/02/2019 à 12:31, Nicolas BERREHOUC a écrit :
>
> Bonjour,
>
> J'ai effectué une relecture de https://doc.fedora-fr.org/wiki/Tunnels_SSH .
>
> Merci pour votre relecture et n'hésitez pas à apporter vos commentaires,
>
> j'ai lu avec intérêt car je connais mal ce 'secteur'...
> par contre j'utilise souvent un 'tunnnel' ssh pour accéder à mes
> applications web distantes ou pour résoudre des problèmes de
> localisations avec la commande :
> ssh -p xxx -D xxxx utilisateur at ip_ditante
> après configuration du proxy du navigateur local, j'accède à tout ce qui
> est possible sur la machine distante
>
> cela pourrait avoir sa place dans la page
>
>
> Je n'y vois pas d'inconvénient, ça peut être une solution alternative
> aussi. Si tu te sens d'ajouter un chapitre supplémentaire alors
> n'hésites pas, surtout avec les compléments d'informations fournis par
> Casper.
>
>
> +1, mais je situerais ça en fin de page
>
> en effet l'option -D fait un lien de port dynamique en SOCKv5
>
> ça signifie que tout ce que tu envoies dans le port :
>
> 1/ doit être conforme au protocole SOCKv5
>
> 2/ est "rerouté" dynamiquement en fonction de la destination que tu as
> indiqué (c'est fait par firefox, qui maitrise le protocole SOCKSv5,
> pour continuer sur ton exemple)
>
> certes c'est dynamique et très pratique, mais cette spécialité de
> protocole rend moins souple cette méthode. La méthode décrite dans la
> page représente (selon mon avis) la méthode principale puisque tu peux
> balancer n'importe quoi dans le port d'écoute, c'est pas limité à un
> seul protocole.
>
> mes 2 centimes ;)
>
>
> Message signé avec PGP
> Voir les explications ci-dessous :https://emailselfdefense.fsf.org/fr/ et http://openpgp.vie-privee.org/
>
>
>
> _______________________________________________
> fedora-fr-doc mailing listfedora-fr-doc at fedora-fr.orghttp://mailing-list.fedora-fr.org/mailman/listinfo/fedora-fr-doc
>
>
> --
> Joan Luc Labòrda
>
> _______________________________________________
> fedora-fr-doc mailing list
> fedora-fr-doc at fedora-fr.org
> http://mailing-list.fedora-fr.org/mailman/listinfo/fedora-fr-doc
>


-- 
Kaan
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://mailing-list.fedora-fr.org/pipermail/fedora-fr-doc/attachments/20190225/bb102f6f/attachment.html>


Plus d'informations sur la liste de diffusion fedora-fr-doc