Tunneling SSL et SSH

baallrog · 22/05/2006, 18h27

Bonjour à tous,

Je ne sai spas si c'est exactement la bonne section, vous allez voir pourquoi.

Voilà j'ai donc des serveurs MySQL configuré pour effectuer de la réplication. Il n'y a qu'un maître, les autres sont tous des esclaves.

Je voulais etablir des connexions sécurisée au moyen du support du SSL. Mais étant sou Debian ceci est impossible car les paquets Debian ne supporte pas le SSL (problème de licence ...)

Bon je me tourne donc vers stunnel. Là impossible de configurer stunnel pour un esclave...

Citation:

2006.05.22 17:58:08 LOG5[1652:16384]: stunnel 4.09 on i386-pc-linux-gnu PTHREAD+POLL+IPv6+LIBWRAP with OpenSSL 0.9.7e 25 Oct 2004
2006.05.22 17:58:08 LOG7[1652:16384]: RAND_status claims sufficient entropy for the PRNG
2006.05.22 17:58:08 LOG6[1652:16384]: PRNG seeded successfully
2006.05.22 17:58:08 LOG6[1652:16384]: file ulimit = 1024 (can be changed with 'ulimit -n')
2006.05.22 17:58:08 LOG6[1652:16384]: poll() used - no FD_SETSIZE limit for file descriptors
2006.05.22 17:58:08 LOG5[1652:16384]: 500 clients allowed
2006.05.22 17:58:08 LOG7[1652:16384]: FD 4 in non-blocking mode
2006.05.22 17:58:08 LOG7[1652:16384]: FD 5 in non-blocking mode
2006.05.22 17:58:08 LOG7[1652:16384]: FD 6 in non-blocking mode
2006.05.22 17:58:08 LOG7[1652:16384]: SO_REUSEADDR option set on accept socket
2006.05.22 17:58:08 LOG3[1652:16384]: Error binding mysql to 0.0.0.0:3306
2006.05.22 17:58:08 LOG3[1652:16384]: bind: Address already in use (98)

je me tourne vers ssh mais là je ne comprend rien ... il faut un login et un mdp ... je met quoi sachant que c'est pour de la réplication?
Voici ce que j'ai trouvé sur le net :
ssh -L 3306:localhost:3306

Mais cela ne fonctionne pas, il faut un login@host ...

donc voilà si vous avez des idées je suis preneur.

un grand merci d'avance

gorgonite · 22/05/2006, 18h45

Un excellent tutorial facile à comprendre
http://forums.gentoo.org/viewtopic.php?t=281671

Bonne chance, et n'hésites pas à reposer tes questions

baallrog · 23/05/2006, 12h14

Euh oui mais sous Debian sa donne quoi???

Là c'est pour gentoo et je pense pas que Debian ait fait comme tout le monde encore une fois ...

Déjà le répertoire .ssh n'est que dans root, les autres utilisateurs (enfin le seul créé) a bien ce répertoire (apres une premiere connexion ssh) mais il ne contient que le fichier des host connus.

Ensuite je n'ai pas de fichier config mais un ssh_config et un sshd_config ...

j'aime bien Debian mais là ...

quelqu'un pourrais m'en dire plus?

EDIT : j'ai un kernel 2.4.X , sa peut avoir une influence peut etre

gorgonite · 23/05/2006, 12h37

Citation:

Euh oui mais sous Debian sa donne quoi???

Là c'est pour gentoo et je pense pas que Debian ait fait comme tout le monde encore une fois ...

Déjà le répertoire .ssh n'est que dans root, les autres utilisateurs (enfin le seul créé) a bien ce répertoire (apres une premiere connexion ssh) mais il ne contient que le fichier des host connus.

Citation:

Ensuite je n'ai pas de fichier config mais un ssh_config et un sshd_config ...

euh là tu vas modifier les paramètres du serveur ssh... ce n'est pas vraiment ce qu'il explique dans le tutorial.

as-tu au moins essayer de faire exactement comme indiqué ?

baallrog · 23/05/2006, 13h47

J'ai un peu de mal à faire comme expliqué puisque les fichiers indiqué n'y sont pas dans la Debian ...

C'est là mon problème ...

gorgonite · 23/05/2006, 14h08

si ton serveur est openssh, il n'y a aucune raison que ça ne marche pas... les fichiers n'y sont peut-être pas, alors crées-les

baallrog · 23/05/2006, 14h22

effectivement en créant les fichier cela fonctionne!

je vais tester la creation du tunnel pour mysql!

bon sinon ma config une fois etablie, je peux la mettre dans le /etc/ssh/ssh_config ???

et sinon pour que le tunnel soit ok en permanence et au reboot de la machine je peux faire comment? modifier un script au démarage (mais je sais pas lequel) et faire un script cron pour verifier le tunnel toute les 30 secondes par exemple?

merci encore!!!!

gorgonite · 23/05/2006, 14h41

un script au démarrage... sinon un script en cron qui vérifie si la connexion est désactivée, et qui si besoin la rétablie

perso, je ne toucherais pas à la config d'openssh que pour des cas bien précis (changement de port, etc)

baallrog · 23/05/2006, 16h00

plop ! encore un problème ! et oui je les enchaine!!

bon alors voici ma configuration : j'ai un pc qui fait le master pour la replication (IP:192.168.1.20 port:3306) et un pc qui fait la replication esclave (IP:192.168.1.21 port:3306).

j'ai suivi le How To pour ne pas avoir a mettre de password a chaque connection.

mon fichier de configuration ssh :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
Host=tunnel_mysql
Hostname=192.168.1.21
User=admin
LocalForward=3306 192.168.1.20:3306

j'exécute la commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
admin@ovh:~$ ssh tunnel_mysql
 bind: Address already in use
channel_setup_fwd_listener: cannot listen to port: 3306
Could not request local forwarding.
Linux vendin 2.4.27-2-386 #1 Wed Aug 17 09:33:35 UTC 2005 i686 GNU/Linux

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.

Last login: Tue May 23 15:55:31 2006 from 192.168.1.20
admin@vendin:~$

donc voilà, je pense que comme MySQL ecoute sur le port 3306, ssh ne peut écouter sur le meme port ... je ne sais pas pourquoi !

euh quelqu'un a une idée pour solutionner ce problème ?

baallrog · 01/06/2006, 10h29

Victoire, j'ai réussi a mettre en place mon tunnel!!!

Bien maintenant il faudrais que celui-ci se mette en place à chaque démarrage!!
vous avez une idée de comment faire?

Sinon comment controler que le tunnel fonctionne (qu'il n'est pas couper) et le relancer si ce n'est pas le cas?
je pense a un script cron mais comment faire ...

merci d'avance!!!

gorgonite · 01/06/2006, 10h33

un script qui se lance au démarrage... /etc/rc.d

baallrog · 01/06/2006, 15h06

Vi mais où le placer? et surtout y a t il des normes pour l'écrire?
Je peux me baser sur quel script?

Sinon j'ai commencé un script qui via cron vérifie toues les minutes que le tunnel ssh n'est pas cassé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
#!/bin/bash
# ligne dans crontab
# * * * * *   admin    /root/tunnel_verif.sh
 
PROCESS=`ps aux|grep "tunnel_mysql"`
 
 
if [ -z "$PROCESS" ];then
        echo "tunnel inactif"
        ssh -N tunnel_mysql & >> /tmp/script.log
        exit 0;
#else
#       echo $PROCESS > /tmp/temp_ssh
#
#       for ligne in `cat /tmp/temp_ssh|cut -f 1 -d " "`
#       do
#               echo "$ligne"
                #echo `cut -f 1 -d " " $ligne`
#       done
fi;
exit 0;

mais je ne suis pas sur de ce script du tout, de plus comme vous le voyez je ne sais pas comment faire pour analyser le contenu de la variable $PROCESS car la commande grep tunnel_mysql peut se retrouver dans le résultat ...
Donc voilà, si quelqu'un peut m'aider.

Je voit pas bien une solution à base de sed ou même awk mais j'ai l'impression que c'est comme tuer une mouche a coup de marteau ...

23/05/2006, 14h41	#8
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	un script au démarrage... sinon un script en cron qui vérifie si la connexion est désactivée, et qui si besoin la rétablie perso, je ne toucherais pas à la config d'openssh que pour des cas bien précis (changement de port, etc) __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

01/06/2006, 10h33	#11
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	un script qui se lance au démarrage... /etc/rc.d __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

22/05/2006, 18h45	#2
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	Un excellent tutorial facile à comprendre http://forums.gentoo.org/viewtopic.php?t=281671 Bonne chance, et n'hésites pas à reposer tes questions
	00

23/05/2006, 12h14	#3
baallrog Invité régulier Inscription : novembre 2004 Messages : 78 Détails du profil Informations forums : Inscription : novembre 2004 Messages : 78 Points : 8 Points : 8	Euh oui mais sous Debian sa donne quoi??? Là c'est pour gentoo et je pense pas que Debian ait fait comme tout le monde encore une fois ... Déjà le répertoire .ssh n'est que dans root, les autres utilisateurs (enfin le seul créé) a bien ce répertoire (apres une premiere connexion ssh) mais il ne contient que le fichier des host connus. Ensuite je n'ai pas de fichier config mais un ssh_config et un sshd_config ... j'aime bien Debian mais là ... quelqu'un pourrais m'en dire plus? EDIT : j'ai un kernel 2.4.X , sa peut avoir une influence peut etre
	00

23/05/2006, 13h47	#5
baallrog Invité régulier Inscription : novembre 2004 Messages : 78 Détails du profil Informations forums : Inscription : novembre 2004 Messages : 78 Points : 8 Points : 8	J'ai un peu de mal à faire comme expliqué puisque les fichiers indiqué n'y sont pas dans la Debian ... C'est là mon problème ...
	00

23/05/2006, 14h08	#6
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	si ton serveur est openssh, il n'y a aucune raison que ça ne marche pas... les fichiers n'y sont peut-être pas, alors crées-les
	00

23/05/2006, 14h22	#7
baallrog Invité régulier Inscription : novembre 2004 Messages : 78 Détails du profil Informations forums : Inscription : novembre 2004 Messages : 78 Points : 8 Points : 8	effectivement en créant les fichier cela fonctionne! je vais tester la creation du tunnel pour mysql! bon sinon ma config une fois etablie, je peux la mettre dans le /etc/ssh/ssh_config ??? et sinon pour que le tunnel soit ok en permanence et au reboot de la machine je peux faire comment? modifier un script au démarage (mais je sais pas lequel) et faire un script cron pour verifier le tunnel toute les 30 secondes par exemple? merci encore!!!!
	00

01/06/2006, 10h29	#10
baallrog Invité régulier Inscription : novembre 2004 Messages : 78 Détails du profil Informations forums : Inscription : novembre 2004 Messages : 78 Points : 8 Points : 8	Victoire, j'ai réussi a mettre en place mon tunnel!!! Bien maintenant il faudrais que celui-ci se mette en place à chaque démarrage!! vous avez une idée de comment faire? Sinon comment controler que le tunnel fonctionne (qu'il n'est pas couper) et le relancer si ce n'est pas le cas? je pense a un script cron mais comment faire ... merci d'avance!!!
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email