Désactivation SSH en mode console + Utilisation bureau à distance NX (ou autre)

zoltan32 · 11/04/2011, 19h44

Désactivation SSH en mode console + Utilisation bureau à distance NX (ou autre)

Bonjour,

J'ai mis en place dans mon entreprise le logiciel nx server sur un serveur ubuntu 10.04 et pour des raisons de sécurité j'ai désactivé le copier coller du serveur vers le client.
Les utilisateurs se connectent au bureau à distance avec le logiciel nx client et la restriction pour le copier coller fonctionne parfaitement.

Cependant, les utilisateurs peuvent contourner cette restriction facilement.
En effet, la connexion à nx requiert d'avoir un compte avec accès ssh autorisé.
Or, à partir du moment où les utilisateurs ont un compte avec ssh, ils peuvent utiliser d'autres outils comme putty ou openssh pour se connecter en mode console.
Et là ils peuvent effectuer sans problème des copier coller du serveur vers le client.

J'ai pensé pour régler cette faille à désactiver le shell pour chaque utilisateur.
Exemple : usermod -s /bin/false nom_utilisateur
Effectivement suite à cette modification le shell n'est plus accessible comme je le souhaitais mais la connexion avec nx client ne fonctionne plus.
J'ai le message d'erreur suivant : "Authentication failed"

Pour rétablir la connexion, je dois remettre bash comme shell : usermod -s /bin/bash nom_utilisateur
Après cela, le bureau à distance fonctionne à nouveau mais la faille de sécurité est toujours présente.
Donc retour à la case départ.

J'aimerais donc savoir s'il est possible de désactiver l'accès ssh en mode console tout en utilisant le bureau à distance nx (ou un autre logiciel de bureau à distance, peu importe).
Dernière précision : j'ai appliqué la même procédure avec le logiciel x2go et j'ai eu exactement les mêmes problèmes.

Merci à tous pour votre aide !

Senaku-seishin · 11/04/2011, 21h01

Il y a des shells restreint. nxshell ne fait que des commandes nx.

zoltan32 · 11/04/2011, 23h57

Citation:

Envoyé par Senaku-seishin

Il y a des shells restreint. nxshell ne fait que des commandes nx.

Merci beaucoup pour ta réponse

Je vais tester nxshell dès demain.

gangsoleil · 12/04/2011, 11h44

Bonjour,

A quoi te sert d'interdir le copier/coller ? A ce que les informations qui sont affichees a l'ecran ne soient pas copiees ? Si c'est le cas, tu sais ce qu'est une copie d'ecran ?

Citation:

Après cela, le bureau à distance fonctionne à nouveau mais la faille de sécurité est toujours présente.

SSH, une faille de securite ? C'est nouveau ? Si en plus, je t'indique que NX server utilise SSH, tu y vois toujours une faille de securite ?

Citation:

Fully integrates with SSH, avoiding the need for a further network access port

source

zoltan32 · 12/04/2011, 12h24

J'ai du mal m'exprimer en fait. Je sais que NX server utilise SSH et que bien entendu SSH ne possède pas de faille de sécurité.

C'est juste que je souhaite que SSH serve UNIQUEMENT pour NX. Je n'utilise pas par exemple SFTP qui nécessiterait SSH et les utilisateurs n'ont pas besoin de pouvoir utiliser des outils comme putty.

Effectivement, tu as raison les captures d'écran sont un problème imparable mais pour récupérer du code, il est plus simple à priori d'effectuer des copier coller plutôt que des captures.
Le logiciel NX permet de désactiver les copier coller dans un sens ou dans l'autre ou dans les deux sens. Donc cela correspond exactement à ce que je souhaitais.

Il est juste dommage que cela puisse être contourné assez facilement via putty par exemple.

zoltan32 · 12/04/2011, 12h53

J'ai essayé de changer le shell des utilisateurs (actuellement /bin/bash) par des shell restreints comme rbash ou le shell nx par exemple mais le problème est toujours le même : nx client ne fonctionne plus après le changement de shell

.

Winnt · 12/04/2011, 13h51

Salut,

il me semble avoir lu que les shells retreints chrootais l'utilisateur en fait.
Ne faut-il pas dans ce cas mettre dans le répertoire chroot ce qu'il faut pour faire fonctionner nx ?

gangsoleil · 12/04/2011, 14h49

A priori, si NX utilise bien SSH pour se connecter, toute restriction que tu imposeras sur le shell sera imposee a NX, ce qui va te poser des soucis.

Une autre idee : desactiver la connexion ssh classique avec login et mots de passe pour limiter la connexion avec des certificats. A condition bien sur que NX l'autorise.
Avantage : pour qu'un utilisateur se connecte, il faudrait qu'il aille recuperer le certificat dans NX. De plus, putty ne gere pas bien les certificats.
Inconvenient : plus lourd a mettre en oeuvre, et necessite que NX l'accepte.

zoltan32 · 12/04/2011, 14h56

Tout d'abord, merci beaucoup Winnt et gangsoleil pour votre aide.

J'étais en train d'essayer sur les shells restreints de chrooter les utilisateurs comme me l'a conseillé Winnt mais cela semble compliqué à réaliser. La solution avec les certificats me semble être une excellente idée. Je vais lire la doc de NX pour voir si je peux utiliser cette méthode d'authentification.

11/04/2011, 19h44	#1
zoltan32 Inscription : avril 2011 Messages : 5 Détails du profil Informations personnelles : Sexe : Localisation : France Informations forums : Inscription : avril 2011 Messages : 5 Points : -1 Points : -1	Désactivation SSH en mode console + Utilisation bureau à distance NX (ou autre) Désactivation SSH en mode console + Utilisation bureau à distance NX (ou autre) Bonjour, J'ai mis en place dans mon entreprise le logiciel nx server sur un serveur ubuntu 10.04 et pour des raisons de sécurité j'ai désactivé le copier coller du serveur vers le client. Les utilisateurs se connectent au bureau à distance avec le logiciel nx client et la restriction pour le copier coller fonctionne parfaitement. Cependant, les utilisateurs peuvent contourner cette restriction facilement. En effet, la connexion à nx requiert d'avoir un compte avec accès ssh autorisé. Or, à partir du moment où les utilisateurs ont un compte avec ssh, ils peuvent utiliser d'autres outils comme putty ou openssh pour se connecter en mode console. Et là ils peuvent effectuer sans problème des copier coller du serveur vers le client. J'ai pensé pour régler cette faille à désactiver le shell pour chaque utilisateur. Exemple : usermod -s /bin/false nom_utilisateur Effectivement suite à cette modification le shell n'est plus accessible comme je le souhaitais mais la connexion avec nx client ne fonctionne plus. J'ai le message d'erreur suivant : "Authentication failed" Pour rétablir la connexion, je dois remettre bash comme shell : usermod -s /bin/bash nom_utilisateur Après cela, le bureau à distance fonctionne à nouveau mais la faille de sécurité est toujours présente. Donc retour à la case départ. J'aimerais donc savoir s'il est possible de désactiver l'accès ssh en mode console tout en utilisant le bureau à distance nx (ou un autre logiciel de bureau à distance, peu importe). Dernière précision : j'ai appliqué la même procédure avec le logiciel x2go et j'ai eu exactement les mêmes problèmes. Merci à tous pour votre aide !
	01

11/04/2011, 21h01	#2
Senaku-seishin Membre Expert Étudiant Inscription : août 2004 Messages : 500 Détails du profil Informations personnelles : Âge : 22 Informations professionnelles : Activité : Étudiant Informations forums : Inscription : août 2004 Messages : 500 Points : 1 017 Points : 1 017	Il y a des shells restreint. nxshell ne fait que des commandes nx. __________________ Avoir un regard neutre sur notre vie dénuée de sens, c'est la voir tel un ignorant
	10

12/04/2011, 12h24	#5
zoltan32 Inscription : avril 2011 Messages : 5 Détails du profil Informations personnelles : Sexe : Localisation : France Informations forums : Inscription : avril 2011 Messages : 5 Points : -1 Points : -1	J'ai du mal m'exprimer en fait. Je sais que NX server utilise SSH et que bien entendu SSH ne possède pas de faille de sécurité. C'est juste que je souhaite que SSH serve UNIQUEMENT pour NX. Je n'utilise pas par exemple SFTP qui nécessiterait SSH et les utilisateurs n'ont pas besoin de pouvoir utiliser des outils comme putty. Effectivement, tu as raison les captures d'écran sont un problème imparable mais pour récupérer du code, il est plus simple à priori d'effectuer des copier coller plutôt que des captures. Le logiciel NX permet de désactiver les copier coller dans un sens ou dans l'autre ou dans les deux sens. Donc cela correspond exactement à ce que je souhaitais. Il est juste dommage que cela puisse être contourné assez facilement via putty par exemple.
	00

12/04/2011, 12h53	#6
zoltan32 Inscription : avril 2011 Messages : 5 Détails du profil Informations personnelles : Sexe : Localisation : France Informations forums : Inscription : avril 2011 Messages : 5 Points : -1 Points : -1	J'ai essayé de changer le shell des utilisateurs (actuellement /bin/bash) par des shell restreints comme rbash ou le shell nx par exemple mais le problème est toujours le même : nx client ne fonctionne plus après le changement de shell .
	00

12/04/2011, 13h51	#7
Winnt Membre Expert budget et contrôle de gestion Inscription : décembre 2006 Messages : 894 Détails du profil Informations personnelles : Sexe : Âge : 44 Localisation : France Informations professionnelles : Activité : budget et contrôle de gestion Secteur : Administration - Collectivité locale Informations forums : Inscription : décembre 2006 Messages : 894 Points : 1 539 Points : 1 539	Salut, il me semble avoir lu que les shells retreints chrootais l'utilisateur en fait. Ne faut-il pas dans ce cas mettre dans le répertoire chroot ce qu'il faut pour faire fonctionner nx ? __________________ Winnt C'est en Linuxant qu'on devient .... geek Intel Core i5 750 / 8 Go ram / Hdd 2 To / NVIDIA GeForce GTS 250 1Go sous Gentoo. Dual core E6300 / 2Go ram / Hdd 1 To / Ati 9800XT sous Debian Testing. Atom N330 / 4Go ram / Hdd 5To / intel GMA 950 sous Debian Testing Ici un article de présentation de la distribution Gentoo http://winnt.developpez.com/tutoriel...tation-gentoo/
	11

12/04/2011, 14h49	#8
gangsoleil Modérateur R&D en systemes informatiques bas niveau Unix/Linux Inscription : mai 2004 Messages : 5 464 Détails du profil Informations personnelles : Âge : 31 Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : R&D en systemes informatiques bas niveau Unix/Linux Informations forums : Inscription : mai 2004 Messages : 5 464 Points : 9 585 Points : 9 585	A priori, si NX utilise bien SSH pour se connecter, toute restriction que tu imposeras sur le shell sera imposee a NX, ce qui va te poser des soucis. Une autre idee : desactiver la connexion ssh classique avec login et mots de passe pour limiter la connexion avec des certificats. A condition bien sur que NX l'autorise. Avantage : pour qu'un utilisateur se connecte, il faudrait qu'il aille recuperer le certificat dans NX. De plus, putty ne gere pas bien les certificats. Inconvenient : plus lourd a mettre en oeuvre, et necessite que NX l'accepte. __________________ Modérateur "C", "Informatique Générale & Hardware" et "Unix" Les règles du forum
	10

12/04/2011, 14h56	#9
zoltan32 Inscription : avril 2011 Messages : 5 Détails du profil Informations personnelles : Sexe : Localisation : France Informations forums : Inscription : avril 2011 Messages : 5 Points : -1 Points : -1	Tout d'abord, merci beaucoup Winnt et gangsoleil pour votre aide. J'étais en train d'essayer sur les shells restreints de chrooter les utilisateurs comme me l'a conseillé Winnt mais cela semble compliqué à réaliser. La solution avec les certificats me semble être une excellente idée. Je vais lire la doc de NX pour voir si je peux utiliser cette méthode d'authentification.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email