Bonsoir à tous,
Je m'adresse aux experts en serveur SSH :
J'essaye de sécuriser mon serveur ssh, pour cela j'utilise la directive ForceCommand dans mon /etc/sshd/sshd_config. Celle-ci renvoie vers un script d'envoi de SMS d'alerte.
Le hic, c'est qu'il est trop bavard : à la connexion, il renvoie sur le client le script qu'il exécute, or dans ce script, il y a des identifiants.
Le client a donc les identifiants en clair dès la connexion ssh réalisée.
Comment rendre ForceCommand non verbeux ? Je n'ai rien trouvé là-dessus.
Gnument Vôtre,
Bonsoir !
Rajouter >/dev/null dans ton script pourrait empêcher une sortie, par exemple ?
Bonjour Christophe,
Ça ne marche pas. Les données s'affichent toujours que la console du client.
Cdt,
Le 3 mars 2020 22:01:54 GMT+01:00, CgX linuxazur@cgx.me a écrit :
Bonsoir !
Rajouter >/dev/null dans ton script pourrait empêcher une sortie, par exemple ?
--
CgX (Christophe)
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Oups ! Je viens de voir mon erreur. "Sur la console..."
Le 4 mars 2020 12:39:22 GMT+01:00, Sylvio DESJARDINS sylviodesjardins@free.fr a écrit :
Bonjour Christophe,
Ça ne marche pas. Les données s'affichent toujours que la console du client.
Cdt,
Le 3 mars 2020 22:01:54 GMT+01:00, CgX linuxazur@cgx.me a écrit :
Bonsoir !
Rajouter >/dev/null dans ton script pourrait empêcher une sortie, par exemple ?
--
CgX (Christophe)
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
-- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
J'ai retrouvé un tuto de 2017 qui ressemble beaucoup à ce que tu veux faire, et ça ne semble pas poser de problèmes... https://rootisalie.info/2017/10/20/etre-alerte-connexions-ssh-sms-via-free-m...
PS : La directive "ForceCommand" a le mérite d'exister, mais est lancée uniquement lors des connexions "réussies" au serveur SSH. Tu pourrais aussi faire autrement en scrutant les logs et lancer un script si une ligne correspondant a une connexion est détectée. Je crois que "fail2ban" fait ça, par exemple.
Le 04/03/2020 à 13:24, Sylvio DESJARDINS a écrit :
Oups ! Je viens de voir mon erreur. "Sur la console..."
Le 4 mars 2020 12:39:22 GMT+01:00, Sylvio DESJARDINS sylviodesjardins@free.fr a écrit :
Bonjour Christophe, Ça ne marche pas. Les données s'affichent toujours que la console du client. Cdt, Le 3 mars 2020 22:01:54 GMT+01:00, CgX <linuxazur@cgx.me> a écrit : Bonsoir ! Rajouter >/dev/null dans ton script pourrait empêcher une sortie, par exemple ?-- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
C'est effectivement ce tutoriel que j'ai suivi. Je vais regarder du côté de fail2ban. Merci pour la piste.
Je pense aussi tester en créant un exécutable compilé programmé en C. Si ça marche, je pourrai augmenter la sécurité en plaçant les identifiants dans un fichier crypté avec PAM par exemple.
Je ne l'ai encore jamais fait, mais tout est bon pour apprendre. ;-)
Il faut aussi que je vois avec Free s'il est possible de faire de l'authentification chiffrée sur leur service SMS.
Ça serait idéal et nettement plus simple.
Gnument Vôtre, Sylvio
Le 4 mars 2020 13:32:15 GMT+01:00, CgX linuxazur@cgx.me a écrit :
J'ai retrouvé un tuto de 2017 qui ressemble beaucoup à ce que tu veux faire, et ça ne semble pas poser de problèmes... https://rootisalie.info/2017/10/20/etre-alerte-connexions-ssh-sms-via-free-m...
PS : La directive "ForceCommand" a le mérite d'exister, mais est lancée
uniquement lors des connexions "réussies" au serveur SSH. Tu pourrais aussi faire autrement en scrutant les logs et lancer un script si une ligne correspondant a une connexion est détectée. Je crois que "fail2ban" fait ça, par exemple.
Le 04/03/2020 à 13:24, Sylvio DESJARDINS a écrit :
Oups ! Je viens de voir mon erreur. "Sur la console..."
Le 4 mars 2020 12:39:22 GMT+01:00, Sylvio DESJARDINS sylviodesjardins@free.fr a écrit :
Bonjour Christophe, Ça ne marche pas. Les données s'affichent toujours que la console du client. Cdt, Le 3 mars 2020 22:01:54 GMT+01:00, CgX <linuxazur@cgx.me> a écrit:
Bonsoir ! Rajouter >/dev/null dans ton script pourrait empêcher unesortie, par exemple ?
-- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Bonsoir à tous,
N'ayant finalement pas réussi à passer cette fichue directive "ForceCommand" en mode non verbeux, je suis finalement en train de créer un programme compilé en C afin de l'appeler ensuite dans le fichier de configuration.
De cette manière je suis sûr que son contenu ne s'affichera pas.
En revanche je n'ai pas encore réussi à appeler une URL en C.
La solution compatible Linux serait selon mes recherches avec l'instruction wxExecute, mais je n'ai pas trouvé le header qui permet de la fournir via include.
Quelqu'un maîtrise-t-il ceci ?
Gnument Vôtre, Sylvio
Le 4 mars 2020 18:29:34 GMT+01:00, Sylvio DESJARDINS sylviodesjardins@free.fr a écrit :
C'est effectivement ce tutoriel que j'ai suivi. Je vais regarder du côté de fail2ban. Merci pour la piste.
Je pense aussi tester en créant un exécutable compilé programmé en C. Si ça marche, je pourrai augmenter la sécurité en plaçant les identifiants dans un fichier crypté avec PAM par exemple.
Je ne l'ai encore jamais fait, mais tout est bon pour apprendre. ;-)
Il faut aussi que je vois avec Free s'il est possible de faire de l'authentification chiffrée sur leur service SMS.
Ça serait idéal et nettement plus simple.
Gnument Vôtre, Sylvio
Le 4 mars 2020 13:32:15 GMT+01:00, CgX linuxazur@cgx.me a écrit :
J'ai retrouvé un tuto de 2017 qui ressemble beaucoup à ce que tu veux faire, et ça ne semble pas poser de problèmes... https://rootisalie.info/2017/10/20/etre-alerte-connexions-ssh-sms-via-free-m...
PS : La directive "ForceCommand" a le mérite d'exister, mais est
lancée
uniquement lors des connexions "réussies" au serveur SSH. Tu pourrais aussi faire autrement en scrutant les logs et lancer un script si une ligne correspondant a une connexion est détectée. Je crois que "fail2ban" fait ça, par exemple.
Le 04/03/2020 à 13:24, Sylvio DESJARDINS a écrit :
Oups ! Je viens de voir mon erreur. "Sur la console..."
Le 4 mars 2020 12:39:22 GMT+01:00, Sylvio DESJARDINS sylviodesjardins@free.fr a écrit :
Bonjour Christophe, Ça ne marche pas. Les données s'affichent toujours que la console du client. Cdt, Le 3 mars 2020 22:01:54 GMT+01:00, CgX <linuxazur@cgx.me> aécrit
:
Bonsoir ! Rajouter >/dev/null dans ton script pourrait empêcher unesortie, par exemple ?
-- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
-- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
On 18/03/2020 19:04, Sylvio DESJARDINS wrote:
Bonsoir à tous,
N'ayant finalement pas réussi à passer cette fichue directive "ForceCommand" en mode non verbeux, je suis finalement en train de créer un programme compilé en C afin de l'appeler ensuite dans le fichier de configuration.
De cette manière je suis sûr que son contenu ne s'affichera pas.
En revanche je n'ai pas encore réussi à appeler une URL en C.
La solution compatible Linux serait selon mes recherches avec l'instruction wxExecute, mais je n'ai pas trouvé le header qui permet de la fournir via include.
Quelqu'un maîtrise-t-il ceci ?
Gnument Vôtre, Sylvio
maîtriser non, mais si je devais rechercher un contenu web par url en C j'utiliserais libcurl https://curl.haxx.se/libcurl/
Bonsoir PL,
Finalement, j'ai trouvé une solution avec execl de la bibliothèque unistd.h, je n'ai pas encore complètement abouti. Mais c'est une excellente idée, je vais comparer les deux.
execl permet d'appeller un exécutable du système. Si curl est embarqué dans les fonctions de C, alors ça peux être bien plus intéressant.
Bonne soirée et pour toute la liste prenez bien soin de vous.
Gnument Vôtre, Sylvio
Le 18 mars 2020 21:03:12 GMT+01:00, pl pl@artisanlogiciel.net a écrit :
On 18/03/2020 19:04, Sylvio DESJARDINS wrote:
Bonsoir à tous,
N'ayant finalement pas réussi à passer cette fichue directive "ForceCommand" en mode non verbeux, je suis finalement en train de créer un programme compilé en C afin de l'appeler ensuite dans le fichier de configuration.
De cette manière je suis sûr que son contenu ne s'affichera pas.
En revanche je n'ai pas encore réussi à appeler une URL en C.
La solution compatible Linux serait selon mes recherches avec l'instruction wxExecute, mais je n'ai pas trouvé le header qui permet
de la fournir via include.
Quelqu'un maîtrise-t-il ceci ?
Gnument Vôtre, Sylvio
maîtriser non, mais si je devais rechercher un contenu web par url en C
j'utiliserais libcurl https://curl.haxx.se/libcurl/
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
On 23/03/2020 18:38, Sylvio DESJARDINS wrote:
Bonsoir PL,
Finalement, j'ai trouvé une solution avec execl de la bibliothèque unistd.h, je n'ai pas encore complètement abouti. Mais c'est une excellente idée, je vais comparer les deux.
execl permet d'appeller un exécutable du système. Si curl est embarqué dans les fonctions de C, alors ça peux être bien plus intéressant.
non j'ai lu ton mail de travers ; execl est ta solution.
curl c'est pour accéder à une resource sur le web via une url et ça n'est pas léger et cela ne répond pas à ton problème.
Bonne soirée et pour toute la liste prenez bien soin de vous.
Gnument Vôtre, Sylvio
Le 18 mars 2020 21:03:12 GMT+01:00, pl pl@artisanlogiciel.net a écrit :
On 18/03/2020 19:04, Sylvio DESJARDINS wrote: Bonsoir à tous, N'ayant finalement pas réussi à passer cette fichue directive "ForceCommand" en mode non verbeux, je suis finalement en train de créer un programme compilé en C afin de l'appeler ensuite dans le fichier de configuration. De cette manière je suis sûr que son contenu ne s'affichera pas. En revanche je n'ai pas encore réussi à appeler une URL en C. La solution compatible Linux serait selon mes recherches avec l'instruction wxExecute, mais je n'ai pas trouvé le header qui permet de la fournir via include. Quelqu'un maîtrise-t-il ceci ? Gnument Vôtre, Sylvio maîtriser non, mais si je devais rechercher un contenu web par url en C j'utiliserais libcurlhttps://curl.haxx.se/libcurl/ ------------------------------------------------------------------------ Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06-- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
-
CgX -
pl -
sylvio -
Sylvio DESJARDINS