[Linux-bruxelles] HTTP console access ?
Pierre Poissinger
pierre.poissinger at gmail.com
Jeu 16 Avr 23:43:53 CEST 2009
2009/4/16 Didier MISSON <didier.misson at total.com>:
> Bonjour Pierre,
'Jour
> oui, mais alors il faut configurer le serveur en écoute sur le port 443 pour
> ce SSH...
> c'est en conflict avec le service Web HTTPS (webmail, etc)
Ben non, le ssh sur port 443, il tourne pas sur ton serveur OVH, mais
par exemple sur ta machine "perso"
1) OVH(ssh)===(normal ssh)===>(sshd:443)TA BOX
2) TABOX(ssh localhost) ~~(reverse tunnel)~~~> OVH(sshd)
et comme tu es malin, tu lance le ssh avec reverse tunnel, ce qui te permet de
eg: l'idee, a pouf
(local, OVH - via cgi) ssh -nNT -R 2222:localhost:22 -p 443 userTABOX at TABOX
ssh vers ton "desktop" du server et cree un tunnel "ce qui vient de
l'autre cote sur le port 2222 passe dans le tunnel sur le port 22
local, -n: stdin=/dev/null, -N juste un tunnel, -T merci, pas de tty
(remote, ton desktop) $ ssh userOVH at localhost -p 2222
Note: Si tu utiles l'auth par clef/agent/trusted host, tu peux éviter
le password - Google "ssh reverse tunnel" pour plus d'info
> je veux du SSH (ou l'équivalent via une interface Web) depuis le PC desktop
> sur un LAN,
> avec aucune possibilité de sortie vers le Net sauf via un Proxy 80 et 443,
> vers le serveur sur le Net.
Ce qui est suffisant via corkscrew
> oui, d'accord avec toi !
> Mais justement, on veut éviter de bêtement planquer du protocole SSH dans un
> flux HTTPS.
Perso, si tu ne donne le choix entre "un ssh out"/"une page qui donne
un "root" je préfère le ssh out - un petit peu plus secure IMHO
(si tu hard code l'auth via clef/trusted host, ca va demander un
ownage plus profond du serveur....enfin, c'est relatif...)
> Ce qu'on cherche c'est accéder à ce serveur sur le Net (OVH) via une PAGE
> WEB https définie dans Apache,
> et cette page Web donnant une interface vers le SSH (local vu du point de
> vue serveur) du serveur lui-même.
Again, j'ai tendance a pref ssh, avec lui, je peux faire des tunnels
et la machine distante devient "locale" (mouais, enfin, dans un monde
parfais....dans les faits la latence sera assez consequente... mais
bon...)
> Didier
Pierre,
Btw: tu peux laisser tomber cette idee, le coups du Y proxy perl qui
route, c'est la bonne solution : sshd envoit un "banner", donc si ton
client ne parle pas ==> tu veux du ssh, si il parle, c'est du https...
(cf: http://search.cpan.org/~book/Net-Proxy-0.08/lib/Net/Proxy/Connector/dual.pm)
- bordel, j'en apprends tout les jours !
--
>>> horsemen = ['war', 'pestilence', 'famine']
>>> horsemen.append('Powerbuilder')
Plus d'informations sur la liste de diffusion Linux-bruxelles