Discussion :

[zoltan32]

Désactivation SSH en mode console + Utilisation bureau à distance NX (ou autre)

Bonjour,

J'ai mis en place dans mon entreprise le logiciel nx server sur un serveur ubuntu 10.04 et pour des raisons de sécurité j'ai désactivé le copier coller du serveur vers le client.
Les utilisateurs se connectent au bureau à distance avec le logiciel nx client et la restriction pour le copier coller fonctionne parfaitement.

Cependant, les utilisateurs peuvent contourner cette restriction facilement.
En effet, la connexion à nx requiert d'avoir un compte avec accès ssh autorisé.
Or, à partir du moment où les utilisateurs ont un compte avec ssh, ils peuvent utiliser d'autres outils comme putty ou openssh pour se connecter en mode console.
Et là ils peuvent effectuer sans problème des copier coller du serveur vers le client.

J'ai pensé pour régler cette faille à désactiver le shell pour chaque utilisateur.
Exemple : usermod -s /bin/false nom_utilisateur
Effectivement suite à cette modification le shell n'est plus accessible comme je le souhaitais mais la connexion avec nx client ne fonctionne plus.
J'ai le message d'erreur suivant : "Authentication failed"

Pour rétablir la connexion, je dois remettre bash comme shell : usermod -s /bin/bash nom_utilisateur
Après cela, le bureau à distance fonctionne à nouveau mais la faille de sécurité est toujours présente.
Donc retour à la case départ.

J'aimerais donc savoir s'il est possible de désactiver l'accès ssh en mode console tout en utilisant le bureau à distance nx (ou un autre logiciel de bureau à distance, peu importe).
Dernière précision : j'ai appliqué la même procédure avec le logiciel x2go et j'ai eu exactement les mêmes problèmes.

Merci à tous pour votre aide !

[Senaku-seishin]

Il y a des shells restreint. nxshell ne fait que des commandes nx.

[zoltan32]

Il y a des shells restreint. nxshell ne fait que des commandes nx.

Merci beaucoup pour ta réponse
Je vais tester nxshell dès demain.

[gangsoleil]

Bonjour,

A quoi te sert d'interdir le copier/coller ? A ce que les informations qui sont affichees a l'ecran ne soient pas copiees ? Si c'est le cas, tu sais ce qu'est une copie d'ecran ?

Après cela, le bureau à distance fonctionne à nouveau mais la faille de sécurité est toujours présente.

SSH, une faille de securite ? C'est nouveau ? Si en plus, je t'indique que NX server utilise SSH, tu y vois toujours une faille de securite ?

Fully integrates with SSH, avoiding the need for a further network access port

source

[zoltan32]

J'ai du mal m'exprimer en fait. Je sais que NX server utilise SSH et que bien entendu SSH ne possède pas de faille de sécurité.

C'est juste que je souhaite que SSH serve UNIQUEMENT pour NX. Je n'utilise pas par exemple SFTP qui nécessiterait SSH et les utilisateurs n'ont pas besoin de pouvoir utiliser des outils comme putty.

Effectivement, tu as raison les captures d'écran sont un problème imparable mais pour récupérer du code, il est plus simple à priori d'effectuer des copier coller plutôt que des captures.
Le logiciel NX permet de désactiver les copier coller dans un sens ou dans l'autre ou dans les deux sens. Donc cela correspond exactement à ce que je souhaitais.

Il est juste dommage que cela puisse être contourné assez facilement via putty par exemple.

[zoltan32]

J'ai essayé de changer le shell des utilisateurs (actuellement /bin/bash) par des shell restreints comme rbash ou le shell nx par exemple mais le problème est toujours le même : nx client ne fonctionne plus après le changement de shell .

[Winnt]

Salut,

il me semble avoir lu que les shells retreints chrootais l'utilisateur en fait.
Ne faut-il pas dans ce cas mettre dans le répertoire chroot ce qu'il faut pour faire fonctionner nx ?

[gangsoleil]

A priori, si NX utilise bien SSH pour se connecter, toute restriction que tu imposeras sur le shell sera imposee a NX, ce qui va te poser des soucis.

Une autre idee : desactiver la connexion ssh classique avec login et mots de passe pour limiter la connexion avec des certificats. A condition bien sur que NX l'autorise.
Avantage : pour qu'un utilisateur se connecte, il faudrait qu'il aille recuperer le certificat dans NX. De plus, putty ne gere pas bien les certificats.
Inconvenient : plus lourd a mettre en oeuvre, et necessite que NX l'accepte.

[zoltan32]

Tout d'abord, merci beaucoup Winnt et gangsoleil pour votre aide.

J'étais en train d'essayer sur les shells restreints de chrooter les utilisateurs comme me l'a conseillé Winnt mais cela semble compliqué à réaliser. La solution avec les certificats me semble être une excellente idée. Je vais lire la doc de NX pour voir si je peux utiliser cette méthode d'authentification.