Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 30 est disponible

#1 14/03/2019 12:08:23

remyd59
Membre
Inscription : 04/06/2018
Messages : 8

Droit utilisateur pour tunnel ssh

Bonjour,

Je souhaite monter une tunnel ssh routé avec l'option -w.
Actuellement cela fonctionne uniquement sur localement je demander les droits root avec sudo et si l'utilisateur distant est root.
En effet, cela demande d'avoir les droits suffisants pour créer une interface tun (NET_CAP_ADMIN) .
Je souhaiterais, plutôt que d'utiliser l'utilisateur root, utiliser un user dédié qui aurait les droits nécessaire.

J'ai vu qu'il y avait une commande setcap mais celle-ci semble s'appliquer à des binaires et non des users.


Merci d'avance,

Hors ligne

#2 14/03/2019 12:26:14

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 606
Site Web

Re : Droit utilisateur pour tunnel ssh

Personnellement je ne monte JAMAIS un tunel avec les droit root. Trop dangereux.
Il est recommandé de ne pas permettre la connexion en root.
Pour cela, éditer le fichier /etc/ssh/sshd_config et modifier cette ligne:
PermitRootLogin no


Chalons en Champagne: Au nord, un peu avant la banquise
Kernel: 5.0.13-300.fc30.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.15.4 Distro: Fedora release 30
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac serial: <root required> UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#3 14/03/2019 12:33:55

remyd59
Membre
Inscription : 04/06/2018
Messages : 8

Re : Droit utilisateur pour tunnel ssh

Merci Thierry.
Effectivement l'utilisation de l'utilisateur root n'est pas conseillé et n'a été fait que pour un test mais merci pour le rappel.
C'est pourquoi je souhaite configurer un user dédié.

Dernière modification par remyd59 (14/03/2019 12:34:07)

Hors ligne

#4 14/03/2019 12:40:24

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 606
Site Web

Re : Droit utilisateur pour tunnel ssh

Sur  Le PC distant (serveur) tu te connectes à un user qui a les droit sudo. mais même ça je n'en veux pas.

Je me connecte à un user lamda (moi) sur place je fais un sudo pi (par exemple) qui a les droit sudo. ( Le X ne passe pas) Je l'ai interdit aussi. Mais ça fonctionne ainsi depuis des années. Je fais mes sauvegardes décentralisées ainsi.


Chalons en Champagne: Au nord, un peu avant la banquise
Kernel: 5.0.13-300.fc30.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.15.4 Distro: Fedora release 30
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac serial: <root required> UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#5 14/03/2019 12:45:29

remyd59
Membre
Inscription : 04/06/2018
Messages : 8

Re : Droit utilisateur pour tunnel ssh

Je n'ai pas dis que je voulais un utilisateur avec les droits root.
J'ai dis que je voulais donner les droits NET_CAP_ADMIN à un utilisateur, droit que par exemple l'utilisateur root possède.

thierryR a écrit :

Je me connecte à un user lamda (moi) sur place je fais un sudo pi (par exemple) qui a les droit sudo. ( Le X ne passe pas) Je l'ai interdit aussi. Mais ça fonctionne ainsi depuis des années. Je fais mes sauvegardes décentralisées ainsi.

Je ne pense pas qu'on parle de la même méthode. Comment fais-tu ta sauvegarde?

Dernière modification par remyd59 (14/03/2019 12:46:10)

Hors ligne

#6 14/03/2019 12:52:24

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 606
Site Web

Re : Droit utilisateur pour tunnel ssh

Avec grsync. C'est graphique et c'est tout simple. dans options additionnelles tu ajoutes le numéro de port:
-e  'ssh -p257' Dans la destination tu mets un truc du genre: thierry@Sauvegarde:/media/thierry/
Ça me permet d'accéder directement au support monté sans déranger mon raspi.

Il te faut une regle  NAT pour rediriger et sur mon raspi il 'n'y a que le port 22 ouvert. J'ai bridé aussi l'accès à un groupe de user.

Ah oui, aussi j'ai interdit les connexions avec mot de passe.  J'ai généré des cles

https://www.mageialinux-online.org/wiki … securisees

Dernière modification par thierryR (14/03/2019 13:22:48)


Chalons en Champagne: Au nord, un peu avant la banquise
Kernel: 5.0.13-300.fc30.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.15.4 Distro: Fedora release 30
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac serial: <root required> UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#7 14/03/2019 12:58:52

remyd59
Membre
Inscription : 04/06/2018
Messages : 8

Re : Droit utilisateur pour tunnel ssh

D'accord je comprends mieux, on parle de deux choses différente.
Je ne souhaite pas faire de RSYNC ou équivalent mais du tunnel routé en SSH (option -w de la commande SSH).

Hors ligne

#8 14/03/2019 13:11:05

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 606
Site Web

Re : Droit utilisateur pour tunnel ssh

Désolé.


Chalons en Champagne: Au nord, un peu avant la banquise
Kernel: 5.0.13-300.fc30.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.15.4 Distro: Fedora release 30
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac serial: <root required> UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#9 14/03/2019 13:13:59

remyd59
Membre
Inscription : 04/06/2018
Messages : 8

Re : Droit utilisateur pour tunnel ssh

Pas de souci;)

Hors ligne

#10 14/03/2019 22:58:06

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 6 958
Site Web

Re : Droit utilisateur pour tunnel ssh

Bonjour,

Ce qui nécessite les droits root c'est la création des interfaces tun. Une piste serait donc de les créer avant. Le -w sert justement à indiquer les tun à utiliser. Tu as un ex ici https://wiki.archlinux.org/index.php/VPN_over_SSH

Hors ligne

Pied de page des forums