1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
|
#!/bin/bash
############################################################
# Script permettant d'automatiser la mise en place d'un #
# contrôle à distance par VNC sous tunnel SSH. #
# Ce script s'adapte aux choix de l'utilisateur et rédige #
# un mode d'emploi détaillé des opérations restant à faire #
# sur la box/routeur et sur le poste client. #
# #
# Auteur: Philippe Ronflette #
############################################################
> notice.html
echo '<!doctype html><html lang="fr"><head><meta content="fr" http-equiv="Content-Language" /><meta content="text/html; charset=utf-8" http-equiv="Content-Type" /><style type="text/css">
h1 {text-align: center;background-color: #006699;color: #FFFFFF;padding-top: 5px;padding-bottom: 5px}
h2 {background-color: #66CCFF}
h3 {background-color: #99CCFF}
code {display: block;background-color: #000000;color: #FFFFFF;width: 100%; padding-top: 5px; padding-bottom: 5px}</style>
<title>Notice VNC par tunnel SSH</title></head><body bgcolor="EAF4FF"><h1 style="text-align: center">VNC par tunnel SSH</h1>' >> notice.html
fichier_notice=~/notice.html
ports_reserves=( 0 20 21 23 25 53 68 119 70 80 110 119 137 138 139 143 220 443 445 8080 1863 )
port_ssh=22
reponse=""
DOSSIER_SSH=~/.ssh/
SSH_CONF=/etc/ssh/sshd_config
FICHIER_CLES=~/.ssh/authorized_keys
AUTOSTART_VNC=~/.config/autostart/x11vnc.desktop
usage_cle="faux"
# Récupération des informations nécessaires aux configurations
clear
echo -e "Veuillez patienter pendant la récupération des informations
système nécessaires à la configuration.
-----------------------------------------------------------\n"
IP_LOCALE=$(hostname -I)
MAC=$(sudo ifconfig | grep HWaddr | sed "s/^.*HWaddr/HWaddr/g" | tr -s ' ' | cut -d ' ' -f 2)
#IP_DISTANTE=$(curl ifconfig.me)
IP_DISTANTE=$(dig +short myip.opendns.com @resolver1.opendns.com)
clear
# Installation de OpenSSH et x11VNC si nécessaire
if ! dpkg -l | grep openssh-server > /dev/null
then echo -e "Le serveur OpenSSH n'est pas installé. \nVeuillez patienter durant son installation."
sudo apt-get update && sudo apt-get install openssh-server
fi
if ! dpkg -l | grep x11vnc > /dev/null
then echo -e "Le serveur VNC n'est pas installé. \nVeuillez patienter durant son installation."
sudo apt-get update && sudo apt-get install x11vnc
fi
clear
echo -e "#########################################################
CONFIGURATION DE SSH
#########################################################
1- Choix du N° de port
----------------------
Par défaut, SSH utilise le port 22. Pour des raisons de
sécurité, il est conseillé d'utiliser un autre port. "
reponse=""
until [[ ${reponse} =~ ^[OoNn]$ ]]; do
echo "Voulez-vous conserver le port 22 ? (O/N)"
read reponse
done
case "$reponse" in
[!Oo]) valide="faux"
while [ $valide = "faux" ]; do
port_demande=""
until [[ ${port_demande} =~ ^[0-9]+$ ]]; do
echo "Indiquez un N° de port pour SSH (>0 et <65535):"
read port_demande
done
valide="vrai"
if [ $port_demande -lt 0 ] || [ $port_demande -ge 65535 ]
then echo "$port_demande n'est pas un N° de port valide."
valide="faux"
else port_present=0
for port in ${ports_reserves[*]}; do
if [ "$port_demande" = "$port" ]
then port_present=1
fi
done
if [ "$port_present" = "1" ]
then echo -e "Ce N° de port peut être utilisé par un autre protocole."
reponse=""
until [[ ${reponse} =~ ^[OoNn]$ ]]; do
echo "Confirmez-vous ce N° de port ? (O/N)"
read reponse
done
case "$reponse" in
[!Oo]) valide="faux"
;;
esac
fi
fi
done
port_ssh="$port_demande"
;;
esac
if ! [ -e $SSH_CONF ]
then echo -e "Le fichier de configuration de SSH n'existe pas. \nLe script va s'arrêter. Veuillez vérifier que OpenSSH a bien été installé."
exit 1
fi
sudo sed -i -e "s/Port.*$/Port $port_ssh/g" "$SSH_CONF"
echo "<p>IP publique: <b>$IP_DISTANTE</b><p><p>Port SSH: <b>$port_ssh</b><p>" >> $fichier_notice
echo "<h2>Redirection de port</h2><p>Sur votre box/routeur, vous devrez rediriger le port <b>$port_ssh</b> vers l'adresse IP locale de ce PC. Voici les informations dont vous aurez besoin:<br/>Adresse IP locale: <b>$IP_LOCALE</b><br/>Adresse MAC: <b>$MAC</b><br/>Protocole: <b>TCP</b></p>" >> $fichier_notice
sudo /etc/init.d/ssh restart
clear
echo "----------------------------
2- Authentification par clés
----------------------------
Par défaut, l'authentification du client sur le serveur se fait
par nom d'utilisateur et mot de passe.
Si cette solution peut suffire dans un réseau privé, elle est
insuffisamment sécurisée lors d'un accès par Internet où une
authentification par clés est préférable."
reponse=""
until [[ ${reponse} =~ ^[OoNn]$ ]]; do
echo "Souhaitez-vous mettre en place une authentification par clés ?(O/N)?"
read reponse
done
case "$reponse" in
[Oo]) if ! [ -e "$FICHIER_CLES" ]
then if ! [ -e "$DOSSIER_SSH" ]
then mkdir "$DOSSIER_SSH" ]
chmod 0700 "$DOSSIER_SSH"
fi
touch "$FICHIER_CLES"
chmod 0644 "$FICHIER_CLES"
fi
usage_cle="vrai"
echo -e "Si vous disposez déjà d'une clé publique sur le poste client, celle-ci \npeut être utilisée sans qu'il soit nécessaire de créer de \nnouvelles clés."
reponse=""
until [[ ${reponse} =~ ^[OoNn]$ ]]; do
echo "Souhaitez-vous générer de nouvelles clés ? (O/N)"
read reponse
done
case "$reponse" in
[Oo]) echo -e "Quel niveau de cryptage souhaitez-vous mettre en place: \n1) Sur 1024 bits \n2) Sur 2048 bits (minimum conseillé) \n3) Sur 4096 bits \n?"
valide="faux"
while [ $valide = "faux" ]; do
read cryptage
valide="vrai"
case "$cryptage" in
*[!1-3]*) echo "Choix non valide. Saisir le nombre 1, 2 ou 3."
valide="faux"
esac
done
case $cryptage in
1) cryptage=1024;;
2) cryptage=2048;;
3) cryptage=4096;;
esac
echo "Veuillez donner un nom à votre fichier de clé:"
read nom_cle
if [ -z "$nom_cle" ]
then nom_cle="id_rsa"
fi
echo -e "Il est conseillé de saisir une phrase mot de passe lorsque cela \nvous sera demandé et de ne pas laisser ce champ vide."
ssh-keygen -t rsa -b $cryptage -f "$DOSSIER_SSH$nom_cle"
echo "<h2>Fichiers de clé</h2>" >> $fichier_notice
echo "<p>Fichier de clé privée: <b>$DOSSIER_SSH$nom_cle</b></p>" >> $fichier_notice
echo "<p>Fichier de clé publique: <b>$DOSSIER_SSH$nom_cle.pub</b></p>" >> $fichier_notice
cat "$DOSSIER_SSH$nom_cle" >> "$FICHIER_CLES"
echo "<p>La clé publique a été enregistrée sur ce PC. Vous devrez transférer votre clé privée <b>$DOSSIER_SSH$nom_cle</b> sur le poste client et <b>l'effacer</b> de ce PC pour des raisons de sécurité.</p>" >> $fichier_notice
;;
[!Oo]) echo "<p>Clés d'authentification: vous avez choisi de ne pas créer de nouvelles clés.<br/>Pour utiliser une clé publique existante, copiez-en le contenu sur le fichier de clés publiques de ce PC avec la commande suivante (le chemin d'accès à la clé publique sera à adapter):<br/><code>cat /chemin/cle.pub >> $FICHIER_CLES</code></p>" >> $fichier_notice
;;
esac
echo -e "\nVoulez-vous interdire l'authentification par mot de passe ?(O/N) \nSi vous ne l'interdisez pas, n'importe qui disposant de votre nom \nd'utilisateur et de votre mot de passe pourra se connecter depuis Internet."
reponse=""
until [[ ${reponse} =~ ^[OoNn]$ ]]; do
read reponse
done
case "$reponse" in
[Oo]) sudo sed -i -e "s/PasswordAuthentication.*$/PasswordAuthentication no/g" "$SSH_CONF"
sudo sed -i -e "s/UsePAM.*$/UsePAM no/g" "$SSH_CONF"
;;
esac
;;
esac
clear
echo "#########################################################
CONFIGURATION DE VNC
#########################################################
---------------------------
1- Configuration du serveur
---------------------------
Souhaitez-vous que le serveur VNC démarre automatiquement à l'ouverture
de la session de l'utilisateur courant ?(O/N)
A défaut, vous devrez le lancer manuellement à partir d'une session SSH."
reponse=""
until [[ ${reponse} =~ ^[OoNn]$ ]]; do
read reponse
done
echo "<h2>Configuration VNC</h2>" >> $fichier_notice
case "$reponse" in
[Oo]) echo -e "[Desktop Entry]\nType=Application\nName=x11vnc\nExec=x11vnc -localhost -many" > "$AUTOSTART_VNC"
echo "<p>Le serveur VNC est configuré pour être lancé au démarrage de la session. Aucune opération supplémentaire ne sera donc nécessaire sur le serveur.</p>" >> $fichier_notice
;;
[!Oo]) echo "<p>Vous avez choisi de ne pas lancer le serveur VNC au démarrage de la session. Vous devrez le lancer manuellement, à partir d'une session SSH, en saisissant la commande suivante: <br/><code>x11vnc -localhost -many </code></p>" >> $fichier_notice
;;
esac
##################################################################################
# Inscription des informations de configuration du client dans le fichier notice #
##################################################################################
echo "<h2>Configuration du client</h2>
<p><b>ATTENTION:</b> l'IP distante utilisée dans ce qui suit est celle qui a été renvoyée par le serveur lors de l'installation. Si vous ne disposez pas d'une IP fixe, cette adresse changera et vous ne pourrez donc plus accéder au serveur. Dans le cas d'une IP dynamique, il est nécessaire de passer par un service permettant de rediriger les IP dynamiques vers une IP fixe qu'il faudra utiliser comme adresse dans les commandes ci-dessus.</p>
<h3>Client Linux</h3>
<p>Pour accéder au serveur à partir d'un client Linux, voici comment procéder.</p>
<p>- Ouvrez un terminal et saisissez la commande suivante pour ouvrir le tunnel SSH" >> $fichier_notice
if [ $usage_cle = "faux" ]
then echo "<br/><code>ssh $USER@$IP_DISTANTE -p $port_ssh -L 5900:localhost:5900</code>" >> $fichier_notice
else echo " (le chemin d'accès à la clé privée est à adapter):<br/><code>ssh $USER@$IP_DISTANTE -i /chemin/cle-privee -p $port_ssh -L 5900:localhost:5900</code>" >> $fichier_notice
fi
echo "<br/>- Lancez votre logiciel client VNC et indiquez-lui comme adresse
<br/><code>localhost</code>
<p>Pour vous connecter en une seule opération, vous pouvez également utiliser le script suivant. Copiez-en le contenu dans un fichier auquel vous donnerez le nom de votre choix, puis donnez-lui le droit d'exécution. Ce script suppose que vous avez installé le client VNC tightvncviewer." >> $fichier_notice
if [ $usage_cle = "faux" ]
then echo " N'oubliez pas, si nécessaire, de modifier l'adresse IP distante.<br/><code>#!/bin/bash<br/>xterm -e \"ssh $USER@$IP_DISTANTE -p $port_ssh -L 5900:localhost:5900; $SHELL\" &" >> $fichier_notice
else echo " N'oubliez pas d'adapter le chemin d'accès à la clé privée, et, si nécessaire, de modifier l'adresse IP distante.<br/><code>#!/bin/bash<br/>xterm -e \"ssh $USER@$IP_DISTANTE -i /chemin/cle-privee -p $port_ssh -L 5900:localhost:5900; $SHELL\" &" >> $fichier_notice
fi
echo "<br/>sleep 10
<br/>xterm -e \"vncviewer localhost\"
<br/>exit 0</code></p>
<h3>Client Windows</h3>
<p>Pour accéder au serveur à partir d'un client Windows, voici comment procéder.</p>
<p>Créez le tunnel SSH avec les logiciels PuTTY ou KiTTY paramétrés de la manière suivante:</p>
<p><b>Section Session</b><br/>Champ Hostname * * <b>$IP_DISTANTE</b><br/>Champ port * * * * * * <b>$port_ssh
<br/>Section Connection --> SSH --> TunnelsChamp</b><br/>Source port * * <b>L5900</b><br/>Champ Destination * * *<b>localhost:5900</b><br/>et cliquez sur [Add]
<br/>" >> $fichier_notice
if [ $usage_cle = "vrai" ]
then echo "<b>Section Connection --> SSH --> Auth</b><br/>Champ Private key for authentification * * Entrez le chemin d'accès au fichier de clé privée</p>" >> $fichier_notice
fi
echo "<p>Lancez la connexion SSH avec PuTTY ou KiTTY puis lancez un client VNC avec le champ d'adresse du serveur paramétré à <b>localhost</b></p>" >> $fichier_notice
clear
echo "#########################################################
FINALISATION
#########################################################
"
echo "</body></html>" >> $fichier_notice
echo -e "Les paramétrages du serveur sont terminés. :-)
Un fichier avec les informations utiles et détaillant les
opérations restant à effectuer a été créé. Il indique également
comment prendre le contrôle à distance de ce PC. Vous pourrez
en prendre connaissance en ouvrant le fichier $fichier_notice.
"
reponse=""
until [[ ${reponse} =~ ^[OoNn]$ ]]; do
echo "Désirez-vous l'ouvrir maintenant ? (O/N)"
read reponse
done
case "$reponse" in
[Oo]) xdg-open "$fichier_notice" &
esac
exit 0 |
Avis et conseils sur mon script de mise en place automatisée d'un accès VNC par tunnel SSH
Répondre avec citation
Partager