Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 19/08/2014, à 10:10

hornetovore

[RESOLU] SSH -L pour du FTP (tunneling/port forwading)

Bonjour à tous,

Suite aux conseils de Tiramiseb, je me penche sur les tunnels ssh ou ports forwading avec l'option -L de ssh.

J'ai commencé mes recherches, fait quelques essais mais je bloque sur un port :

Tunneling en local
-1 serveur ssh en 14.04 avec pour ip fixe 192.168.1.20
-1 client ssh sur mint 17 avec pour ip fixe 192.168.1.27

ssh -NL 7890:localhost:10000 192.168.1.20 -p 50

https://localhost:7890 me dirige bien vers l'interface Webmin du serveur

ssh -NL 7890:localhost:80 192.168.1.20 -p 50

http://localhost:7890 me dirige bien vers mon site hébergé

Mais

ssh -NL 7890:localhost:21 192.168.1.20 -p 50

Le tunnel se fait sans erreur apparante, localhost:7890 me donne une "Connexion échouée",
je coupe le tunnel et le refais avec un verbose

ssh -NL 7890:localhost:21 192.168.1.20 -p 50 -v

Le tunnel se fait sans erreur mais lorsque j'appelle la page localhost:7890, ces lignes apparaissent :

debug1: Connection to port 7890 forwarding to localhost port 21 requested.
debug1: channel 2: new [direct-tcpip]
channel 2: open failed: connect failed: Connection refused
debug1: channel 2: free: direct-tcpip: listening port 7890 for localhost port 21, connect from 127.0.0.1 port 33053, nchannels 3

Mes recherches avec cette erreur ne m'ont rien apportés de clair pour le moment...

Dernière modification par hornetovore (Le 19/08/2014, à 13:05)

Hors ligne

#2 Le 19/08/2014, à 10:13

hornetovore

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

J'oubliais, lorsque je tente une connexion avec filezilla, voilà le log :

Statut :	Résolution de l'adresse de localhost
Statut :	Connexion à 127.0.0.1:7890...
Statut :	Connexion établie, attente du message d'accueil...
Erreur :	Connexion interrompue par le serveur
Erreur :	Impossible d'établir une connexion au serveur

Hors ligne

#3 Le 19/08/2014, à 11:36

tiramiseb

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

Le problème avec le FTP, c'est que ça utilise deux ports : un port pour la connexion de contrôle, un port pour le transfert de données.

Mais je ne vois pas l'intérêt de faire un tunnel SSH pour y faire passer du FTP : autant se connecter directement en SFTP au serveur SSH, non ?

Hors ligne

#4 Le 19/08/2014, à 11:46

hornetovore

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

tiramiseb a écrit :

Le problème avec le FTP, c'est que ça utilise deux ports : un port pour la connexion de contrôle, un port pour le transfert de données.

Mais je ne vois pas l'intérêt de faire un tunnel SSH pour y faire passer du FTP : autant se connecter directement en SFTP au serveur SSH, non ?

C'était en test, j'accède bien à webmin ou phpmyadmin via ssh comme conseillé, je voulais donc tenter le ftp, j'avais cru comprendre qu'il y avait le SFTP et le FTPS. Je pensais être dans l'un des deux cas en passant via un tunnel ssh.

Tu peux me détailler un peu plus ce que tu veux dire par "autant se connecter directement en sftp au serveur ssh" ? Je sais que filezilla gère le sftp, pour ça il à besoin de :
1 : HOTE :
- ip du serveur
- localhost après avoir fais un tunnel ssh
- autre chose ?

2 : PORT :
- le 21 classique
- le 443 pour une connexion sécurisée
- celui précisé dans le cas d'un tunnel
- un autre ?

Et mon serveur tournant avec proftpd gère t'il une demande de connexion en sftp ?

Hors ligne

#5 Le 19/08/2014, à 12:14

tiramiseb

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

j'avais cru comprendre qu'il y avait le SFTP et le FTPS

FTPS est l'application d'un chiffrement SSL sur une connexion FTP.

SFTP est un sous-protocole de SSH (SSH File Transfer Protocol), qui n'a besoin de rien d'autre que le serveur SSH : tu te connectes alors sur le port 22 (port SSH).
Donc :

Tu peux me détailler un peu plus ce que tu veux dire par "autant se connecter directement en sftp au serveur ssh" ?

1: hôte : l'adresse IP de ton serveur
2: port : 22 (port SSH)

Et mon serveur tournant avec proftpd gère t'il une demande de connexion en sftp ?

C'est SSH qui gère SFTP. Tu peux supprimer ProFTPd.

Hors ligne

#6 Le 19/08/2014, à 12:24

hornetovore

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

Il dois me manquer quelque chose, ça ne fonctionne pas chez moi,
- je créé un nouveau site dans filezilla, lui met en hote l'adresse ip du serveur (192.168.1.20)
- 22 pour le port

Statut :	Connexion à 192.168.1.20...
Réponse :	fzSftp started
Commande :	open "user@192.168.1.20" 22
Erreur :	Connection refused
Erreur :	Impossible d'établir une connexion au serveur

Hors ligne

#7 Le 19/08/2014, à 12:52

tiramiseb

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

Je viens de remarquer que tu as mis "-p 50" sur toutes tes commandes.

1/ Tu as changé le port de SSH ? Pourquoi ?
2/ Bah tu dois alors te connecter sur le port 50 et non le port 22, si tu as changé le port SSH.

Hors ligne

#8 Le 19/08/2014, à 13:01

hornetovore

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

Je me suis rendu compte de mon erreur en même temps, je venais d'essayé avec le port 50 quand tu as répondu et effectivement ça fonctionne.
J'ai changé mon port ssh (22) ayant lu sur je ne sais plus quelle page que ça pouvait éviter certaines attaques !

Je peux donc supprimer proftpd complètement ? J'avais du faire une redirection pour les ports passif et le 21, je peux là aussi tout supprimer du coup ?

Hors ligne

#9 Le 19/08/2014, à 13:03

tiramiseb

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

ça pouvait éviter certaines attaques !

Et alors ? Pourquoi éviter des attaques ?
De toute manière tu maintiens ton système à jour et ton mot de passe est solide, non ? Ou mieux, tu t'authentifies avec une clé SSH et tu désactives l'authentification par mot de passe...
Donc les attaques tu t'en fous, tu es paré...

C'est de la sécurité par l'obscurité, rien de plus.
Ça permet d'avoir moins de trucs dans les logs, c'est tout.

Je peux donc supprimer proftpd complètement ?

Bah oui si tu ne t'en sers pas.

J'avais du faire une redirection pour les ports passif et le 21, je peux là aussi tout supprimer du coup ?

Bah oui...

Hors ligne

#10 Le 19/08/2014, à 13:12

hornetovore

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

tiramiseb a écrit :

ça pouvait éviter certaines attaques !

Et alors ? Pourquoi éviter des attaques ?
De toute manière tu maintiens ton système à jour et ton mot de passe est solide, non ? Ou mieux, tu t'authentifies avec une clé SSH et tu désactives l'authentification par mot de passe...
Donc les attaques tu t'en fous, tu es paré...

C'est de la sécurité par l'obscurité, rien de plus.
Ça permet d'avoir moins de trucs dans les logs, c'est tout.

Ok, je te remercie pour ton aide, je supprime donc tout ça.

Sinon pour tes questions, oui le serveur est maintenu à jour et mon mdp est du genre compliqué (X caractères au hasard avec maj, min, chiffre).

Je m'authentifie en ssh... pour faire mes actions, jusque là oui j'utilisais

ssh -p 50 mon_ip_ou_ndd

Mais tu veux dire quoi par désactiver l'auth par mdp ?

Hors ligne

#11 Le 19/08/2014, à 14:23

tiramiseb

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

Mais tu veux dire quoi par désactiver l'auth par mdp ?

https://doc.ubuntu-fr.org/ssh#authentif … iqueprivee

Hors ligne

#12 Le 19/08/2014, à 15:19

hornetovore

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

J'ai bien lu, testé et ajouté une clé pour que je n'aie plus besoin de m'authentifier, ça fonctionne. Merci pour ça aussi wink

Par contre et je sais ce que tu vas dire, ça ne sert à rien niveau sécurité que j'aie fait ça si je ne désactive pas l'accès par mdp, au mieux ça me rend l'utilisation de mon pc plus facile, mais étant donné que je me connecte de temps à autre de pc autre que le mien, sans le savoir à l'avance, tu vas m'apprendre une astuce ou je laisse l'accès par mdp pour ces fois là ?

Hors ligne

#13 Le 19/08/2014, à 20:03

tiramiseb

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

tu vas m'apprendre une astuce ou je laisse l'accès par mdp pour ces fois là ?

Je vois trois possibilités :
1/ tu te déplaces avec ton PC (c'est ce que j'ai choisi)
2/ tu te déplaces avec un support (clé USB par exemple) qui contient ta clé SSH privée, à utiliser lorsque tu te connectes à partir d'un autre PC
3/ tu laisses l'accès par mot de passe, mais tu mets un mot de passe hyper long et complexe mais facile à retenir (par exemple le premier mot de chacun des vers de la chanson préférée de ta mère)

Hors ligne

#14 Le 19/08/2014, à 23:17

hornetovore

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

Ok, je vais je pense alterner entre la 1 quand c'est prévu, et la 2 en la stockant sur mon portable.

Il me reste à chercher comment utiliser cette clé via putty et surtout via l'appli android qui me sert à me connecter en ssh depuis mon smartphone. Une fois ces deux points réglés, je pourrais bloquer l'accès par mdp !

Merci encore.

Hors ligne

#15 Le 20/08/2014, à 06:32

tiramiseb

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

Sur Putty il y a un écran de configuration rien que pour ça ; ce n'est pas compliqué.
Sur Android je ne sais pas ce que j'utilisais, mais ça permettait les connexions avec clé aussi... Donc il y a au moins une solution. D'ailleurs il faudrait que j'y pense.

Ce que tu peux aussi faire, c'est deux clés SSH : une sur clé USB, l'autre sur ton PC. Comme ça si tu te fais voler ta clé USB, tu peux supprimer l'authentification avec la clé liée sans régénérer celle qui est sur ton PC.

Hors ligne

#16 Le 20/08/2014, à 10:39

hornetovore

Re : [RESOLU] SSH -L pour du FTP (tunneling/port forwading)

J'ai fais mes essais avec le tél n'ayant pas de poste Win pour essayer avec putty pour le moment et j'ai une question, l'état actuel :

- Le serveur ssh avec dans .ssh le fichier authorized_keys qui contient les clés publiques autorisée.
- Le client (mint) avec dans son .ssh la clé publique et la clé privée

J'ai copié les 2 clés du client (mint) avec un simple cp en les renommant clé_publique et clé_privée (je détaille au cas où mon errerur soit par là)

cp .ssh/id_rsa cle_ssh_privee
cp .ssh/id_rsa.pub cle_ssh_publique

Via sftp j'ai mis ces clés à la racine de mon android, j'utilise ConnectBot :
- je le lance > menu >gérer les clés publiques > menu > Importer
- je sélectionne ma clé publique : Erreur : Problème lors de l'import de la clé privée
- ok c'est la privée, je sélectionne la clé privée
- je clique dessus pour l'activer, je rentre la passphrase et rien ! Elle ne s'active pas.


Du coup ayant encore l'accès par mdp, j'ai fait :
menu > gérer les clés publiques > menu > générer
puis j'ai copié ma nouvelle clé publique à la suite dans le .ssh/authorized_keys du serveur ssh
j'ai cliqué sur ma nouvelle clé privée, l'ai activée avec la passphrase et ça fonctionne


Du coup j'ai maintenant android qui se connecte avec sa propre clé, et mint avec la sienne, j'en ai deux et ça pourra tjs me servir comme tu me le conseille (si j'en perd l'une des deux) mais où ais-je merdé pour ne pas avoir réussi à utiliser ma 1ère clé sur l'android ?

EDIT : J'ai aussi essayé sur PUTTY, le chargement et l'utilisation de la clé privée fonctionne. Pour le téléphone je ne sais pas mais ça m'auras fait mettre en place une autre clé.

Dernière modification par hornetovore (Le 20/08/2014, à 18:41)

Hors ligne