Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Comment sécuriser/chiffrer une session reverse VNC établie par Gitso?

metalux

Bonjour,
Ayant réussi à faire fonctionner Gitso dans des conditions optimales entre Ubuntu/Ubuntu et Ubuntu/Windows, je souhaite maintenant sécuriser la connexion. Est-elle par défaut sécurisée sachant que c'est du reverse VNC et que la machine contrôlée n'a donné accès qu'à l'ip de l'assistant? J'ai des doutes, la session n'étant pas chiffrée, un individu malveillant pourrait se servir au passage je suppose. Qu' en-est-il réellement et comment sécuriser le cas échéant? Toutes les discussions concernant Gitso vante sa facilité d'usage mais n'aborde jamais cette question qui me paraît quand même esssentielle.

Pour info, voici le lien de la première discussion: https://forum.ubuntu-fr.org/viewtopic.php?id=1993876

L_d_v_c@

Bonjour metalux.
Peut-être peux-tu t'inspirer de ces [Tutos en images] SSH / VNC - Port Forwading - By Christian DELAIR.
Cordialement,
L_d_v_c@

metalux

Bonsoir L_d_v_c@,
Tout d'abord merci pour ton lien très instructif.
Je l'ai lu mais moi qui cherchais une solution rapide et sans trop de configuration, je suis servi! Et je ne vois pas comment mettre ça en place avec Gitso :/.
Ce n'est pas simple quand je lis ça:

Quand on ne passe pas par un serveur externe, le mieux et d'ailleurs le"Remote Port Forwarding" avec le "SSH -R".

Ce qui implique une commande SSH,sur le Pc "malade". et comment faire si le Pc malade est un Windows? J'ai regardé un peu et j'ai vu putty, est-ce le genre d'outil qu'il faut utiliser? Donc installer une application tierce sur le Pc "malade", ce n'est pas encore la facilité, hormis que dans mon cas, j'aurai la possibilité de préparer la machine à l'avance.
Sur l'autre post, tu indiques que c'est bien plus sécurisé que Teamviewer. En quoi est-ce plus sécurisé? Si on fait abstraction que c'est un logiciel propriétaire, sur ~~le papier~~ l'écran, ça semble correct d'après ce lien.

On peut y lire: L'échange de clés garantit aussi une protection complète des données de client à client. Cela signifie que même nos serveurs de routage sont incapables de lire le flux de données.

Dommage que l'intégration d'un chiffrement des données n'a pas été implanté dans Gitso 🙁 Finalement, si je veux une solution libre, je crois que je gagnerais encore mon temps à configurer une connexion VNC classique sans passer par gitso mais là, je sors de ce que je voulais au départ, et de mes compétences actuelles. A voir si le jeu en vaut la chandelle sachant que d'une je n'aurai peut-être jamais la nécessité d'intervenir. Pourtant, je privilégie toujours les solutions libres, ça m'agace un peu cette histoire :mad:.

L_d_v_c@

De rien metalux. C'est avec plaisir que je partage.
Christian m'a expliqué qu'il a configuré sa box pour que PC malade se connecte puis il lance le VNC + SSH, madame Michu n'a qu'une icône à cliquer sur son bureau pour donner la main à Christian (PC docteur).
Il utilise ce mécanisme : VNC+SSH_Remote_Port_Forwarding

LA seule configuration se fait coté PC docteur par l'ouverture du port réceptionnant SSH (22 par défaut, à placer ailleurs > 1024)

metalux

Tout ceci n'est pas très clair pour moi. J'avais compris quel mécanisme correspondait à ma demande, c'est déjà une bonne chose, j'avais 1 chance sur 4 de tomber juste 😃
Peux-tu m'expliquer à quoi correspondent localhost et 12345 dans le schéma?
Pour le poste Windows, je fais comment la commande SSH?
En lançant gitso en ligne de commande, je m'aperçois qu'en fait il lance vncviewer avec l'option -listen qui permet de faire du reverse vnc.

gitso --listen
/usr/bin/gitso:9: wxPyDeprecationWarning: Using deprecated class PySimpleApp. 
  app = wx.PySimpleApp()
vncviewer -listen: Listening on port 5500
vncviewer -listen: Command line errors are not reported until a connection comes in.
GitsoThread.run(pid: 9951) running...

Dans les exemples, il s'agit de Vnc classique dans tunnel ssh inversé et non du vnc reverse, j'avoue que je ne comprends plus très bien toutes ces différences. Si VNC passe par un tunnel SSH inversé alors il n'y auras plus de problème de port avec VNC sur le Pc malade? Le VNC reverse de Gitso était fait pour ça pourtant, du moins je le croyais.
Ça fait beaucoup de questions mais si tu pouvais m'accompagner pour mettre cela en place, ou au moins faire en sorte que ce soit plus clair dans ma tête.

LA seule configuration se fait coté PC docteur par l'ouverture du port réceptionnant SSH (22 par défaut, à placer ailleurs > 1024)

Tu changes comment le port par défaut pour le passer de 22 à > 1024?
Dans le man de vncviewer, il y a:
-via gateway Automatically create encrypted TCP tunnel to the gateway machine before connection, connect to the host through that tunnel (TightVNC-specific). By default, this option invokes SSH local port forwarding, assuming that SSH client binary can be accessed as /usr/bin/ssh
N'est-ce pas fait pour sécuriser par SSH?
Bon j'avoue que je ne sais pas ce que c'est "gateway", aussi dis le moi si je dois oublier le man de vncviewer et simplement faire ce que tu me dis.

L_d_v_c@

ping localhost 
PING localhost (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.025 ms

L_d_v_c@

man ssh
…
     -N      Do not execute a remote command.  This is useful for just forwarding ports (protocol version 2 only).
…
     -R [bind_address:]port:host:hostport
             Specifies that the given port on the remote (server) host is to be forwarded to the given host and port on
             the local side.  This works by allocating a socket to listen to port on the remote side, and whenever a con‐
             nection is made to this port, the connection is forwarded over the secure channel, and a connection is made
             to host port hostport from the local machine.

             Port forwardings can also be specified in the configuration file.  Privileged ports can be forwarded only
             when logging in as root on the remote machine.  IPv6 addresses can be specified by enclosing the address in
             square brackets.

             By default, the listening socket on the server will be bound to the loopback interface only.  This may be
             overridden by specifying a bind_address.  An empty bind_address, or the address ‘*’, indicates that the
             remote socket should listen on all interfaces.  Specifying a remote bind_address will only succeed if the
             server's GatewayPorts option is enabled (see sshd_config(5)).

             If the port argument is ‘0’, the listen port will be dynamically allocated on the server and reported to the
             client at run time.  When used together with -O forward the allocated port will be printed to the standard
             output.
…

L_d_v_c@

Bientôt en MP, nous le ferons.

metalux

Ça commence à s'éclaircir. Pour le port SSH, j'ai trouvé comment le changer, ça se configure dans /etc/ssh/sshd_config si j'ai bien compris.
Merci pour ta disponibilité.
A bientôt.

L_d_v_c@

Je viens d'écrire à monsieur Christian DELAIR pour roder la mécanique entre-nous avec un port SSH > port 1024 dès le début. 🙂

Après je le ferais avec toi metalux 😉

metalux

Merci L_d_v_c@
N'oublie pas que la machine à contrôler sera en dual-boot et pour l'instant je n'ai que Windows d'installé dessus. Je prendrai la main à partir d'Ubuntu (Xfce, Lxde ou mate) pour dépanner Windows ou Ubuntu selon le besoin.
Contacte moi par MP quand tu seras disponible et qu'on fixe un moment pour effectuer le test. La machine doit être prête dans 2 semaines car je n'y aurai plus accès d'ici quelques mois. En attendant si il y a des logiciels à installer côté windows, indique les moi que je prépare déjà le nécessaire.

L_d_v_c@

De rien metalux. Windows ? donc on remplace VNC par RDP (le principe reste le même). Extraits d'un courriel de procédure.

Christian m'a fait prendre la main depuis GNU/Linux sur Windows avec XfreeRDP à travers SSH.

Christian DELAIR a écrit…
Par exemple, lorsque je me connecte sur mes serveurs distants à ~~ville 1~~,
à ~~ville 2~~ (ou sur les anciens serveurs du Greta à ~~autre-ville~~) je ne passe
jamais par le port 22, au Greta, le port 22 est bloqué et pour les
autres serveurs, j'ai volontairement modifié les ports SSH 22 pour les
passer en "ports hauts" pour ne pas subir les nombreuses attaques de
type "SSH brut force".

Je passe aussi les protocoles RDP et VNC, qui sont des protocoles non
sécurisés, dans des tunnels SSH... comme cela, ils sont sécurisés

Tiens, je te donne la main sur une VM Windows-7 qui tourne sur un
serveur CentOS à (~~ville~~) (du RDP dans du SSH sur le port ~~numéro-de-port-haut~~)

ssh -c arcfour,blowfish-cbc -XC -p ~~numéro-de-port-haut~~ ~~nom-de-domaine~~ xfreerdp -k fr localhost:~~un-autre-numéro-de-port-haut~~

metalux

Ok, je me renseigne sur tout ça que je me familiarise un peu avec ces outils qui sont nouveaux pour moi comme SSH, RDP ou VNC.
J'ai entendu parler de fail2ban, est-ce utile ici sachant que je ne me connecterai peut-être jamais ou vraiment occasionnellement?
J'essaye de faire le dual-boot prochainement et j'installe le nécessaire pour les tests. A bientôt.

L_d_v_c@

fail2ban est préférable effectivement.

metalux

Bonjour L_d_v_c@,
Désolé, je n'ai pas eu/pris le temps de me documenter correctement et de finaliser tout ça et je n'ai plus le Pc. J'ai vu par ailleurs ce projet, qu'en penses-tu? Il comprend apparemment des scripts pour automatiser la connexion de Gitso à travers un tunnel SSH. Ceci serait l'idéal en répondant exactement à ma demande du début.

L_d_v_c@

Bonjour metalux,
je ne vais pas pouvoir t'aider pour Gitso. Je vais mettre au point la procédure pour VNC/SSH pour Ubuntu afin de voir s'il faut installer des paquets et quoi configurer dans la box.
Je reviendrai te déposer le lien quand ce sera prêt.
à+
Cordialement.