Discussion :

[Gluups]

Bonjour tout le monde,

Dans la soirée j'ai ouvert un fil pour le choix d'une distribution, les grandes lignes commencent à avancer.

Une fois la bonne distribution choisie et installée sur une clef, j'ai en prévision d'installer un contrôle à distance, à prendre en main depuis Windows 11.

Avez-vous des avis là-dessus ?

Depuis un paquet d'années (en gros depuis que TeamViewer a voulu gagner des sous), sous Windows j'utilise AnyDesk.

Dans l'ensemble ça marche bien, si ce n'est que peut-être parfois c'est écrit un peu petit.

Si je ne confonds pas avec Macrium Reflect, il me semble qu'ils ont annoncé ne pas prévoir d'autres versions.

Si vous avez une expérience d'autres produits, il se peut que ça me renseigne mieux que la documentation commerciale.

[LittleWhite]

Bonjour,

Depuis que Teamviewer a bloqué l'accès et ce même, pour supporter les proches, la seule solution qui me vient à l'esprit (et qu'il faut que je mette en place pour moi même) c'est MeshCentral.

[Gluups]

Bon, je note, merci.

Bien sûr si quelqu'un avait dit j'utilise ça depuis quatre ans, ça aurait été un plus.

[Christophe]

Anydesk fonctionne sous Linux.
Tu as aussi rustdek

[Gluups]

Bon, ça va en faire quelques-uns à tester, merci.

Avec Anydesk, en tout cas sous Windows, c'est surtout le transfert des fichiers qui s'affiche avec une police de taille 8, ou peut-être 6, dont j'ai passé l'âge. Heureusement qu'il y a la loupe Windows, cela étant si un éditeur est capable de fonctionner sans, ça vaut le coup d'essayer.

Ça me rappelle qu'une fois que j'aurai choisi une distribution il faudra que je vérifie si j'ai quelque chose à faire pour installer une loupe.

D'ailleurs entre Windows le raccourci Windows + ne fonctionne pas avec Anydesk ouvert, car il y a ambiguïté entre les loupes des deux postes. Du coup je mets un raccourci dans la barre des tâches.

Et même en ayant noté les répertoires source et cible, à la session suivante il faut de nouveau les atteindre niveau par niveau, c'est étonnant que n'ait pas été prévue la possibilité de saisir un chemin complet.

[Andnotor]

J'ai été très agréablement surpris par Google Remote Desktop, très fluide même depuis l'autre bout du monde (compression VP9).
Pas testé mais devrait fonctionner sous Linux.

[arsent]

Bonjour

Et pourquoi pas un tunnel ssh côté sécurité, il n'y a pas mieux, natif sur linux. déjà incontournable pour gérer des serveurs, en activant X11 Forwarding côté serveur, cela autorise un accès en mode graphique vers les systèmes linux disposant d'une interface graphique.
d'expérience, très rapide et sécurisé entre deux linux

sur un client Windows xmind et Putty

dans l'exemple ci dessous, c'est l'horloge qui est téléporté, il suffit alors de préciser l'application souhaitée à téléporter (firefox, gestionnaire de fichier etc..)
https://journaldunadminlinux.fr/acti...ding-pour-ssh/

(pour encore plus de sécurité, désactiver les login mot de passe sur le serveur ssh avec une authentification par clé..)
et faire aussi une redirection du port 22 sur le routeur ou la box vers la machine à téléporter.

vérifier aussi dans le fichier /etc/ssh/sshd_config que "X11Forwarding yes" est bien commenté.

[Gluups]

Assurément une lecture intéressante, merci.

[Christophe]

Et pourquoi pas un tunel ssh

Cela implique d'ouvrir des ports sur la box, contrairement à un produit comme Anydesk, mais c'est pas une mauvaise idée.

[arsent]

Cela implique d'ouvrir des ports sur la box, contrairement à un produit comme Anydesk, mais c'est pas une mauvaise idée.

C'est assurément la meilleure solution et la plus fiable, après Anydesk est certainement très sûr aussi (je ne connais pas) , ce n'est pas hélas pas le cas de tous les logiciels tiers de prise de contrôle à distance.

la redirection de port n'est pas un problème quand le service en écoute est sécurisé, ssh avec authentification par clé, c'est du béton armé.
un hacker abandonnera immédiatement et sera plutôt intéressé par des logiciels tiers qui peuvent présenter de potentielles failles et vulnérabilités.
c'est même très fréquent que le hacker fasse parti de l'équipe qui développe le logiciel tiers, cela n'existe pas avec ssh intégré à linux.

en plus si une redirection de port dérange, rien n'empêche d'utiliser Portsentry pour bloquer les scans, ou encore mieux Port-Knocking qui permet d'autoriser ou interdire un port.

[Christophe]

@arsent :

Le prob. de devoir ouvrir un port est la difficulté à le faire pour un utilisateur ou l'impossibilité de le faire faire par les services informatiques. Mais par ce biais, tu ne passe pas par un tiers comme avec les produits de type Anydesk, teamviewer, etc. ce qui est mieux.

Rustdesk peut être un bon compromis car c'est opensource, mais tu passe toujours par des machines tierces (sauf à utiliser tes propres serveurs intermédiaires, ce que Rustdesk permet je crois).

Si c'est pour un usage ponctuel de type télémaintenance (contexte d'utilisation présumé), ce type de solution est le plus adapté.

Je n'évoque pas MeshCentral que je ne connais pas.

[Gluups]

Ah oui je vois qu'il y a de quoi dire sur le sujet.
Pour le moment je suis occupé avec la création d'une clef persistante (de façon à pouvoir stocker les paramétrages réalisés pendant les sessions), puis il y aura sûrement des mises au point à faire sur l'interface.

Ensuite je reviens à la charge pour le contrôle à distance.
Il se peut que ça commence avec Anydesk, qui a le mérite de fournir rapidement quelque chose qui fonctionne, sans faille de sécurité si j'ai bien lu. Je ne sais pas si je peux utiliser le même profil sous deux systèmes, sinon tant pis je leur demanderai un nouveau profil.
Après je vais essayer de trouver quelque chose qui utilise des polices plus lisibles (surtout pour le transfert de fichiers). Si c'est un programme à télécharger je vous tiens au courant.
C'est vrai qu'il y a le stockage des chemins de répertoires pour le transfert de fichiers, qui peut aussi stimuler la concurrence.
Autrement il y a SSH, d'après ce que je comprends il faut s'installer pour de la lecture, et c'est mieux d'être à ce qu'on fait.

[arsent]

@arsent :

Le prob. de devoir ouvrir un port est la difficulté à le faire pour un utilisateur ou l'impossibilité de le faire faire par les services informatiques. Mais par ce biais, tu ne passe pas par un tiers comme avec les produits de type Anydesk, teamviewer, etc. ce qui est mieux.

Rustdesk peut être un bon compromis car c'est opensource, mais tu passe toujours par des machines tierces (sauf à utiliser tes propres serveurs intermédiaires, ce que Rustdesk permet je crois).

Si c'est pour un usage ponctuel de type télémaintenance (contexte d'utilisation présumé), ce type de solution est le plus adapté.

Je n'évoque pas MeshCentral que je ne connais pas.

@Christophe oui vous avez raison, il faut que cela soit le plus simple et rapide pour ce faire à n'importe quel utilisateur, ssh permet aussi des alias pour l'adressage si le parc de machine est volumineux, un utilisateur n'aura qu'à saisir dans le terminal 'ssh aliasdelamachine' et rien d'autre, la possibilité aussi de révoquer certaines clés sans interdire d'autres clés suivant les utilisateurs.

Port-Knocking n'est pas une nécessité, et ll faut bien savoir que les serveurs Anydesk (et tous d'ailleurs) sont en frontal, ne l'utilisent pas et n'échappent pas à la règle des tentatives, d'ailleurs ils ont été piratés il y a moins d'un an, et avaient demandé de changer les mots de passe à leurs clients.
avec la méthode indiquée pas de piratage, pas de failles et les hackers passent leurs chemins.
après si vous utilisez un compromis, il est toujours aussi possible que les données les plus sensibles soit protégées dans des conteneurs chiffrés.

@Gluups en effet c'est un sujet très important le contrôle à distance, le piratage et usurpations de données peuvent avoir des conséquences délétères et dramatiques.

[Gluups]

J'imagine bien, et c'est précieux de voir des bénévoles s'intéresser sérieusement à la question.

J'allais dire qu'on ne tape pas de mot de passe pour se connecter par Anydesk, ah mais c'est vrai qu'il peut être crypté dans le profil, sans que l'utilisateur ait à le connaître.

Sinon on peut aussi créer un identifiant sur le serveur, mais c'est pour s'adresser à de nombreuses personnes j'imagine.

[Christophe]

J'allais dire qu'on ne tape pas de mot de passe pour se connecter par Anydesk

Tu as 2 façons de l'utiliser, acceptation de la connexion par le poste sur lequel tu cherche à te connecter ou entrée du mot de passe.
De mon coté, il n'est pas installé, juste lancé quand le besoin se présente, ce qui limite les risques.

Pour un connexion persistente, je privilégierais effectivement ssh dans la mesure ou on peut avoir les ports ouverts.

Pour ton profil Glups, Anydesk (ou produit équivalent) est plus simple.

[Gluups]

Tu as 2 façons de l'utiliser, acceptation de la connexion par le poste sur lequel tu cherche à te connecter ou entrée du mot de passe.

Effectivement, mais ce n'était pas vraiment à ça que je faisais allusion. Dernièrement, j'ai vu dans le coin de l'écran qu'avant même de se connecter à une machine distante, il est possible de s'authentifier sur les serveurs Anydesk. Je suppose que ça a un intérêt dans certains cas particuliers, comme les supports professionnels qui ont un certain nombre de clients.

Je suppose qu'il ne s'agit pas d'un support pour un grand groupe sinon il est authentifié sur le site de son employeur, peut-être plutôt un indépendant qui assiste à l'occasion quelques dizaines de personnes.

Enfin il ne s'agit que de suppositions de ma part, quand mon imagination a été stimulée par ces champs identifiant / mot de passe.

De mon coté, il n'est pas installé, juste lancé quand le besoin se présente, ce qui limite les risques.

Pour un connexion persistente, je privilégierais effectivement ssh dans la mesure ou on peut avoir les ports ouverts.

Pour ton profil Glups, Anydesk (ou produit équivalent) est plus simple.

C'est vrai qu'il y a moins à se casser la tête, surtout si ça marche aussi sur Linux. Il y a juste la police de caractères pour l'interface du transfert de fichiers, qui coince un peu.

Et je crois bien que j'ai vu écrit quelque part qu'ils n'ont pas l'intention de développer d'autres versions.