Bonjour,
Je cherche à faire une passerelle ssh comme point d'entrée unique à un réseau. Le but est que tous les accès extérieurs passent par cette machine. Une fois connectée la personne peut se connecter sur les machines dont elle dispose des droits sans connaître les mots de passe des autres serveurs.
J'avais croisé des projets y a quelques années, à présent tous les résultats pointent vers la solution de Wallix AdminBastion. Il y avait pourtant des alternatives, j'espère qu'elles ne sont pas mortes.
Et vous comment centralisez-vous vos accès distants?
Hello, J'ai fait le même genre de recherche, et rien trouvé autre qu'AdminBastion. J'ai vu des patchs qui permettent de tracer ce qui est tapé depuis la machine de rebond. Mais une fois le rebond effectué il ne log plus ... Cédric
Le 17 déc. 2010 à 23:31, Pierre-Henry Muller a écrit :
Bonjour,
Je cherche à faire une passerelle ssh comme point d'entrée unique à un réseau. Le but est que tous les accès extérieurs passent par cette machine. Une fois connectée la personne peut se connecter sur les machines dont elle dispose des droits sans connaître les mots de passe des autres serveurs.
J'avais croisé des projets y a quelques années, à présent tous les résultats pointent vers la solution de Wallix AdminBastion. Il y avait pourtant des alternatives, j'espère qu'elles ne sont pas mortes.
Et vous comment centralisez-vous vos accès distants?
Liste de diffusion du FRsAG http://www.frsag.org/
Le 17 déc. 2010 à 23:31, Pierre-Henry Muller a écrit :
Bonjour,
Je cherche à faire une passerelle ssh comme point d'entrée unique à un réseau. Le but est que tous les accès extérieurs passent par cette machine. Une fois connectée la personne peut se connecter sur les machines dont elle dispose des droits sans connaître les mots de passe des autres serveurs.
J'avais croisé des projets y a quelques années, à présent tous les résultats pointent vers la solution de Wallix AdminBastion. Il y avait pourtant des alternatives, j'espère qu'elles ne sont pas mortes.
Et vous comment centralisez-vous vos accès distants?
Salut,
Si le besoin est aussi simple, autant faire un petit programme (e.g. bash ou python) sous la forme d'un menu, qui liste les machines auxquelles le mec peut se connecter, et le laisser entrer 1, 2, 3 suivant qu'il veut se connecter à la machine 1, 2 ou 3 dans le menu. Seules précautions : un script pas troué, et un catch des signaux comme INT, QUIT, et le ctrl+Z pour prévenir qu'il mette en pause ton script ^^ Ensuite, tu leur colles ca en shell, et zou :) Pour la connexion aux autres serveurs sans mot de passe, il suffit de faire des échanges de clés SSH entre chaque user de ta passerelle et les serveurs auquel il a le droit de se connecter.
Florian MAURY
2010/12/17 Pierre-Henry Muller wallace@morkitu.org
Bonjour,
Je cherche à faire une passerelle ssh comme point d'entrée unique à un réseau. Le but est que tous les accès extérieurs passent par cette machine. Une fois connectée la personne peut se connecter sur les machines dont elle dispose des droits sans connaître les mots de passe des autres serveurs.
J'avais croisé des projets y a quelques années, à présent tous les résultats pointent vers la solution de Wallix AdminBastion. Il y avait pourtant des alternatives, j'espère qu'elles ne sont pas mortes.
Et vous comment centralisez-vous vos accès distants?
Salut,
Si le besoin est aussi simple, autant faire un petit programme (e.g. bash ou python) sous la forme d'un menu, qui liste les machines auxquelles le mec peut se connecter, et le laisser entrer 1, 2, 3 suivant qu'il veut se connecter à la machine 1, 2 ou 3 dans le menu. Seules précautions : un script pas troué, et un catch des signaux comme INT, QUIT, et le ctrl+Z pour prévenir qu'il mette en pause ton script ^^ Ensuite, tu leur colles ca en shell, et zou :) Pour la connexion aux autres serveurs sans mot de passe, il suffit de faire des échanges de clés SSH entre chaque user de ta passerelle et les serveurs auquel il a le droit de se connecter.
Bonjour,
Je cherche à faire une passerelle ssh comme point d'entrée unique à un réseau. Le but est que tous les accès extérieurs passent par cette machine. Une fois connectée la personne peut se connecter sur les machines dont elle dispose des droits sans connaître les mots de passe des autres serveurs.
Et vous comment centralisez-vous vos accès distants?
Quid d'une machine/chroot avec rien si ce n'est un ssh et d'iptables avec l'extension owner qui permet de limiter les accès en fonction de l'uid/gid du processus à l'origine du traffic ? (c'est par exemple ce système qu'utilisent certaines universités pour fournir un point d'entrée unique (bastion ssh)).
Maxence
Le but c'est de permettre à une entreprise qui gère plusieurs dizaine de serveurs de centraliser l'accès ssh aux serveurs et infra réseau. Le script en shell j'ai connu une solution comme celle là dans une précédente entreprise, c'est bien mais je n'aurais pas le temps d'en redévelopper un.
C'est fou que je n'arrive pas à remettre la main sur le projet que j'avais vu y a quelques années. C'était justement un remplacement du shell avec authentification ldap et gestion des acl en fichier à plat.
La solution iptable n'est pas très pratique sur mon cas car il n'y aura pas de plage d'ip à gérer donc cela voudrait dire gérer ip par ip les autorisations, lorsqu'il y aura plus de 50 srv ca ne sera pas pratique à gérer.
Le 18 décembre 2010 14:37, Pierre-Henry Muller wallace@morkitu.org a écrit :
C'est fou que je n'arrive pas à remettre la main sur le projet que j'avais vu y a quelques années.
Si tu raisonnes en termes de taches, tu as bélier qui peut répondre à une partie du besoin ? (http://www.ohmytux.com/belier/)
Je vous redonne des news concernant cette recherche. Le projet que j'avais en tête se nomme sshproxy avec un espace entre les deux termes je ne le retrouvais pas. Le soucis c'est que Walix a repris la main dessus, bizarrement les sources ne sont plus disponibles, quelques copies des repos ont été fait y a 2 ans. Depuis ca n'a plus trop l'air de bouger. Walix de son côté s'est basé dessus pour faire WAB en modèle payant en intégrant à priori un des initiateurs du projet.
Du coup je vais regarder ce que vaut le projet qui s'est arrêté en version 0.6 beta
-
Cedric Polomack -
Florian MAURY -
Florian MAURY -
Maxence Dunnewind -
Nicolas Steinmetz -
Pierre-Henry Muller