[Linux-bruxelles] HTTP console access ?

[Didier Misson]

Pierre Poissinger a écrit :
> 2009/4/16 Didier MISSON <didier.misson at total.com>:
>> Bonjour Pierre,
> 'Jour
> 
>> oui, mais alors il faut configurer le serveur en écoute sur le port 443 pour
>> ce SSH...
>> c'est en conflict avec le service Web HTTPS (webmail, etc)
> Ben non, le ssh sur port 443, il tourne pas sur ton serveur OVH, mais
> par exemple sur ta machine "perso"
> 1) OVH(ssh)===(normal ssh)===>(sshd:443)TA BOX

euh...
tu veux dire que je laisse entrer un flux SSH venant du serveur OVH vers
mon desktop sur le port 443 ???
J'ai bien compris là ?

...

et euh... comment il remonte les 2 niveaux de firewall, l' Iron Port et
le Proxy ce flux ssh443 ?

Si je n'arrive pas à sortir sur un autre port que les 80 et 443, on
n'arrive encore MOINS à rentrer.



> 2) TABOX(ssh localhost) ~~(reverse tunnel)~~~> OVH(sshd)
> et comme tu es malin, tu lance le ssh avec reverse tunnel, ce qui te permet de
> eg: l'idee, a pouf
> (local, OVH - via cgi) ssh -nNT -R 2222:localhost:22 -p 443 userTABOX at TABOX
> ssh vers ton "desktop" du server et cree un tunnel "ce qui vient de
> l'autre cote sur le port 2222 passe dans le tunnel sur le port 22
> local, -n: stdin=/dev/null, -N juste un tunnel, -T merci, pas de tty
> (remote, ton desktop) $ ssh userOVH at localhost -p 2222

j'ai déjà joué avec des ssh et des paramètres de ce genre, mais "pas ce
soir, j'ai la migraine..." :p

sans déconner, faut que je récupère un peu !



> Note: Si tu utiles l'auth par clef/agent/trusted host, tu peux éviter
> le password - Google "ssh reverse tunnel" pour plus d'info
> 
>> je veux du SSH (ou l'équivalent via une interface Web) depuis le PC desktop
>> sur un LAN,
>> avec aucune possibilité de sortie vers le Net sauf via un Proxy 80 et 443,
>> vers le serveur sur le Net.
> Ce qui est suffisant via corkscrew

Quand je fais une recherche sur "corkscrew", je tombe sur ceci :
http://fr.wikipedia.org/wiki/Corkscrew_(inversion)

ça ne doit pas être le bon :p)

ok, je l'ai trouvé :
http://www.agroman.net/corkscrew/


>> oui, d'accord avec toi !
>> Mais justement, on veut éviter de bêtement planquer du protocole SSH dans un
>> flux HTTPS.
> Perso, si tu ne donne le choix entre "un ssh out"/"une page qui donne
> un "root" je préfère le ssh out - un petit peu plus secure IMHO
> (si tu hard code l'auth via clef/trusted host, ca va demander un
> ownage plus profond du serveur....enfin, c'est relatif...)
> 
>> Ce qu'on cherche c'est accéder à ce serveur sur le Net (OVH) via une PAGE
>> WEB https définie dans Apache,
>> et cette page Web donnant une interface vers le SSH (local vu du point de
>> vue serveur) du serveur lui-même.
> Again, j'ai tendance a pref ssh, avec lui, je peux faire des tunnels
> et la machine distante devient "locale" (mouais, enfin, dans un monde
> parfais....dans les faits la latence sera assez consequente... mais
> bon...)
>> Didier
> Pierre,
> Btw: tu peux laisser tomber cette idee, le coups du Y proxy perl qui
> route, c'est la bonne solution : sshd envoit un "banner", donc si ton
> client ne parle pas ==> tu veux du ssh, si il parle, c'est du https...
> (cf: http://search.cpan.org/~book/Net-Proxy-0.08/lib/Net/Proxy/Connector/dual.pm)

je sentais un truc de ce genre... mais je lirai ça un autre soir.


> - bordel, j'en apprends tout les jours !

moi aussi !!! Et je DORS DE MOINS EN MOINS !!!

euh...

;-)


-- 
Didier