création d'un point de montage ssh vers une machine distante

[arnaud056]

Bonjour,
toujours dans le soucis d'améliorer (ou de compliquer... ) mon système de sauvegardes faites par affa, je me suis penché sur la chose suivante:
créer un point de montage vers une machine distante sans (trop) perdre au niveau sécurité.

Je me permets de vous présenter / soumettre le récapitulatif suivant qui, s'il est "validé" par nos amiraux, pourra servir de "how-to".

Petit rappel sur l'objectif: se servir d'affa pour sauvegarder n'importe quelle machine du réseau (local tout du moins) sur n'importe quelle autre machine (également du réseau local).

Petit shéma: sauvegarde de machine 1 sur machine 2

machine 1 -----> sme8 avec affa -----> machine 2

Les solutions avec NFS et samba ont déjà été traitées et fonctionnent.
Cependant, quand on est comme moi super-administrateur-chef de la World Company "maison" ltd. , on se rend vite compte que ces solutions ne sont pas vraiment top au niveau sécurité vu du réseau interne.
Je m'explique: machine 1 et machine 2 sont montées en NFS avec 2 points de montage sur sme lors des sauvegardes. Entre les sauvegardes se trouvent donc 2 serveurs NFS (les machines 1 et 2) qui ne demandent qu'à partager leurs données avec une machine ayant l'IP de la sme. Tant que cette adresse est "occupée" par la sme, aucune autre machine ne peut se l'approprier, mais si la sme se déconnecte, reboote etc.....

Voici donc en diagonale comment remplacer un montage NFS par un montage ssh, avec clé SVP!
1) comme indiqué ici installer smeserver-fuse et fuse-sshfs sur la sme (fonctionne avec sme8).
2) configurer un "job" affa bidon vers la machine que l'on souhaite "mounter" comme décrit dans la doc
3) envoyer la clé
4) effacer le job ("affa --delete job")
5) dans .ssh de la sme se trouve alors la clé privée ssh (id_dsa)
6) faire selon la recette indiquée tout en bas.
Lors de mon essai:

Code: Tout sélectionner

# sshfs -o ssh_command="ssh -i ~/id_dsa" root@192.168.2.5:/mnt/essais_ssh /mnt/essais/essais_ssh_sme_intel

pour monter le répertoire /mnt/essais_ssh de ma sme de "prod" (=machine 2 du shéma) sur le répertoire /mnt/essais/essais_ssh_sme_intel de ma sme de sauvegarde (=sme du shéma).

7) pour démonter: # fusermount -u /le/point _de_montage

Remarques:
a) ceci est une ébauche de solution qui ne demande qu'à être perfectionnée --> je vous écoute
b) je vais dans les semaines suivantes m'occuper à mettre en pratique cette "théorie" dans mon systéme affa
c) la méthode indiquée par Grand-Pa pour les clés n'est (je pense) pas applicable à une application automatique comme affa car, si les clés ne comportent pas de "passphrase" , le mot de passe de root est demandé à la connexion.....Vérifié par moi il il y 1h car j'avais commencé par cette méthode...
d) si la manip' est effectuée avec plusieurs machines, j'espère que toutes les clés crées ne s'appellent pas "id-dsa" ......

@+
Arnaud

[Franck78]

Tu vas bientôt pouvoir postuler à tout les postes d'admin réseau

Quand je pense qu'il y a des gars qui ont du DUT ou de la licence et savent à peine à quoi sert ssh !

[jibe]

Salut,

Les solutions avec NFS et samba ont déjà été traitées et fonctionnent.
Cependant, quand on est comme moi super-administrateur-chef de la World Company "maison" ltd. , on se rend vite compte que ces solutions ne sont pas vraiment top au niveau sécurité vu du réseau interne.

[Big joke]Faire en sorte que le petit dernier ne pirate pas la SME pour télécharger la dernière aventure de Diégo en passant outre le contrôle parental, ça me parait plus une question d'éducation que de sécurité informatique [/Big joke]

ton ébauche de tuto !

Concernant les clés RSA, je pense qu'il y a effectivement mieux que de passer par ce job bidon... Je ne vois pas bien pourquoi tu ne t'en sors pas avec la méthode de Grand Pa, mais j'avoue que je n'ai pas regardé.

Perso, je n'utilise pas fuse et ssh pour les montages, mais samba ou NFS. Je fais toutefois souvent les sauvegardes sur un NAS qui ne sert qu'à ça, et que je dois mettre en route (un simple Wake on Lan) et arrêter via des scripts pré et post job. Pour l'arrêt, je n'ai pas d'autre choix que de lancer une commande shutdown via ssh, et pour que ça puisse se faire automatiquement, d'avoir une authentification par clés. Or, je n'ai jamais eu de problèmes pour envoyer les clés...

Je ne savais pas que Grand-Pa avait fait un tuto sur le sujet, il faudrait que je retrouve comment j'avais fait... En tous cas, je génère les clés sans passphrase, et on ne me demande jamais rien... Vois pas trop pourquoi le pass de root t'est demandé... Cherche encore, tu devrais trouver une solution De mon côté, dès que j'ai le temps (quand les poules auront des dents ), j'essaierai de regarder...

[unnilennium]

c) la méthode indiquée par Grand-Pa pour les clés n'est (je pense) pas applicable à une application automatique comme affa car, si les clés ne comportent pas de "passphrase" , le mot de passe de root est demandé à la connexion.....Vérifié par moi il il y 1h car j'avais commencé par cette méthode...

certainement un truc fait de travers, car c'est justement le principe d'une clef RSA sans pass phrase, être utilisée pour les taches automatisées ( et j'en use et abuse donc je peux te garantir que cela marche).

APrés faut être juste certain de sa machine, et être réactif si jamais elle se fait attaquée pour eviter une mauvaise cascade ...

id_rsa (id_rsa2, id_rsa3 etc.) est a privilégié dans les cas où tu ne veux pas appeler le clef dans ta ligne de commande et que tu as fait un échange de clef et déclaration des machines de chaque coté ( après cela un simple "ssh machine2" te connecte sans autre forme de cérémonie), mais autrement tu peux appeler la clef tata_chez_machine3.rsa sans soucis, il faudra juste declarer l'emplacement de la clef dans ta ligne de commande.

[arnaud056]

bonjour,
et merci bien pour vos encouragements.

J'ai
- fait un "affa --revoke-key" pour désactiver la connexion via la clé de affa
- effacé les clés .rsa et .rsa.pub crées hier
- effacé l'entrée de la clé d'hier dans le "authorized key"
- effacé la clé d'hier du "known-hosts"
--> je pense donc reprendre proprement de zéro.

J'ai réappliqué le tuto de Grand-Pa à la lettre (et donc crée la paire de clé sans passphrase ur la machine2 du shéma).
J'ai envoyé avec la commande "scp" la clé privée .rsa vers la sme du shéma.
La clé a les permissions suivantes:

Code: Tout sélectionner

-rw------- 1 root root 883 oct 27 09:43 root@sme-intel.rsa


Pour comprendre les lignes de commandes suivantes:
"sme-asrock"=la sme du shéma= ma sme de backup
"sme-intel"= la machine 2 du shéma = ma sme de "prod" = IP 192.168.2.5

Code: Tout sélectionner

[root@sme-asrock .ssh]# sshfs -o ssh_command="ssh -i ~/.ssh/root@sme-intel.rsa" root@192.168.2.5:/mnt/essais_ssh /mnt/essais/essais_ssh_sme_intel
root@192.168.2.5's password:
[1]+  Stopped                 sshfs -o ssh_command="ssh -i ~/.ssh/root@sme-intel.rsa" root@192.168.2.5:/mnt/essais_ssh /mnt/essais/essais_ssh_sme_intel

[root@sme-asrock .ssh]# sshfs -o ssh_command="ssh -i ~/.ssh/root@sme-intel.rsa root@192.168.2.5" root@192.168.2.5:/mnt/essais_ssh /mnt/essais/essais_ssh_sme_intel
root@192.168.2.5's password:

[2]+  Stopped                 sshfs -o ssh_command="ssh -i ~/.ssh/root@sme-intel.rsa root@192.168.2.5" root@192.168.2.5:/mnt/essais_ssh /mnt/essais/essais_ssh_sme_intel
[root@sme-asrock .ssh]# ssh -i ~/.ssh/root@sme-intel.rsa root@192.168.2.5
Last login: Thu Oct 27 09:46:07 2011 from backup.maison.ag
[root@sme-intel ~]#


On y voit donc clairement que le mot de passe de root de la sme de prod (192.168.2.5) est demandé pour le montage (même en spécifiant un peu plus la commande ssh, cad en entrant exactement ce qu'il faut pour une connexion "normale").

On y voit également (dernière commande) que le mot de passe n'est cependant pas demandé pour une connexion "normale", conformément à ce que vous avez indiqué.

De plus, une commande via ssh est également effectuée sans avoir à entrer de mot de passe. Ici la copie du fichier "essai":

Code: Tout sélectionner

[root@sme-asrock .ssh]# scp -i root@sme-intel.rsa essai root@192.168.2.5:/root/.ssh
essai                                                                    100%    6     0.0KB/s   00:00   
[root@sme-asrock .ssh]#


Ai-je commis une erreur quelque part??
Bonne journée & @+
Arnaud

[Franck78]

hello,
ca passe en mot de passe quand les clés échouent.
Les clés échouent:
quand elles ne sont pas trouvées/lisible/permissions
quand privé/publique ne sont pas d'accord
et bien sur si il y n'y a pas la clé publique dans le .ssh/authorised_keySSS du user invoqué par la commande ssh.

Ensuite sshd -d (en debug est vraiment pratique.....)

F.