Salut,
VINDICATORs wrote:il faut bien regler le sshd_config, [...] car je me bloquer les accès à cause de mauvais reglages et de l'acceptation des clef autorisées dans les .ssh/authorisedkey
Donc, c'est bien ce que je dis : sshd_config intervient sur la possibilité ou non d'établir le tunnel, mais ne joue pas sur ce qui passe ou pas dedans. Et donc, à partir du moment ou le tunnel est établi, les anomalies constatées n'ont rien à voir avec ssh. Est-on bien d'accord ?
VINDICATORs wrote:D'ailleurs faudrait refaire la doc sur fail2ban elle est incomplète. Pour la sécurité, car rien que d'avoir ssh ouvert à distance même sur un port différents il y a des tentatives d'intrusion permanente. Dsl du hors sujet.
Non, tu n'as pas à être désolé, la sécurité n'est jamais hors sujet et il est toujours bon de le rappeler. Cela dit, il y a la conf de tests et la conf de prod : pour les tests, si c'est possible sans trop de risques, on désactive toutes les sécurités (et principalement selinux et le firewall). Mais il est bien évident qu'en prod, il faut ajuster chaque élément de sécurité en fonction du besoin, et bien regarder si d'autres précautions (fail2ban est un bon exemple dans ce cas) ne sont pas utiles voire indispensables !
C'est là que l'ajustage fin de sshd_config a tout son intérêt : faciliter l'accès à ceux qui doivent l'avoir, et l'interdire à tous les autres.
fgland wrote:Je n'ai pas bien compris ta description entre les toto, titi et tata.
Bon, on reprend calmement : toto et titi sont deux utilisateurs créés à la fois sur Mint et sur Fedora-serveur. toto ouvre une session des deux côtés, puis clique sur Déconnexion->Changement d'utilisateur. Titi ouvre une session des deux côtés aussi => on a deux sessions ouvertes aussi bien sur Mint que sur Fedora, une par toto et l'autre par titi.
Maintenant, j'essaie depuis Fedora-client de me connecter sur Mint :
- Si je me logge toto, x2go me présente deux sessions : toto:0 et toto:20. En choisissant toto:0, j'ai bien le bureau distant (Mint) de toto. Normal. Mais en choisissant toto:20, je n'ai qu'un écran tout noir.
- Si je me logge tata, x2go me présente aussi deux sessions : tata:0 et tata:20. En choisissant tata:0, j'ai le bureau distant (Mint) de toto. Mais en choisissant tata:20, je n'ai là aussi qu'un écran tout noir.
Donc, déjà là, il y a une anomalie, puisque je ne peux jamais obtenir le bureau distant (Mint) de titi (autrement dit, ceux qui ne sont pas en display 0).
Si j'essaie depuis Fedora-client de me connecter sur Fedora-serveur :
- Si je me logge toto, x2go me présente une seule session à laquelle je ne peux pas me connecter : toto:50. Au lieu de me retrouver sur le bureau distant, je me retrouve dans une nouvelle session.
- Si je me logge tata, c'est la même chose, je ne vois que tata:50 et me retrouve dans une nouvelle session.
fgland wrote:Quand tu parles "des bureaux de mint" ce sont des sessions réelles ouvertes en même temps sur mint ?
Toutafé ! Et je peux accéder, depuis Fedora-client, au bureau distant de la première, mais pas à la seconde...
fgland wrote:même chose sur Fedora ?
Pareil, sauf que là, je ne vois pas le bureau distant d'une des sessions ouvertes sur Fedora-serveur, ça m'ouvre une nouvelle session.
fgland wrote:mes essais n'ont porté que sur une session
Pas grave : tu devrais déjà voir une différence entre Mint et Fedora-serveur : Tout se passe chez moi comme décrit ci-dessus, sauf que je n'ai qu'une session distante, présentée dans Fedora client sur le display :0 pour la session Mint et sur le display :50 pour la session Fedora-serveur.
Si tu ne constates pas cette différence, je ne vois qu'un problème d'ICC. Pourtant, c'est curieux parce que j'ai fait l'essai deux fois en croisant les deux Fedora, et j'ai exactement le même comportement...
Bon, sauf meilleure(s) idée(s), j'installe SL en VM asap, on verra si le comportement est similaire à celui de Mint ou de Fedora... ou un troisième différent !