BlueIcefield

Lorsqu’on est administrateur systèmes et réseaux spécialisé dans le logiciel libre, on bosse la majorité du temps sur des serveurs GNU/Linux ou BSD, ce qui implique une utilisation privilégiée de la console ainsi que du protocole SSH pour les accès distants.

L’un des risques que l’ont encoure est de perdre cet accès SSH suite à une fausse manipulation, plus particulièrement lors de l’ajout d’une règle de firewall.

Personnellement, je travaille essentiellement sur des serveurs localisés en Afrique du sud, une telle erreur serait donc dramatique car je perdrais mon unique voie d’accès. Pour éviter de me retrouver dans une telle situation, j’ai codé en Bash une petite commande pour adapter à iptables le mécanisme de confirmation qui existe sur Shorewall.

Cette commande fonctionne exactement de la même manière que la commande iptables à ceci près qu’elle vous demande une confirmation après avoir appliqué la nouvelle règle de pare-feu. Ainsi, si votre règle est mauvaise et qu’elle vous coupe votre liaison SSH, elle sera annulée après cinq seconde faute d’avoir pu confirmer la commande. Cela apporte donc une sécurité non négligeable lors de l’édition de vos règles de firewalling.

Je vous recommande d’enregistrer le code ci-dessus sous un fichier /usr/sbin/safe-iptables, de l’attribuer à l’utilisateur root et de lui donner les permissions 755. Il est aussi  judicieux d’insérer un alias dans votre fichier .bashrc qui remplacerait la commande iptables par safe-iptables.

Je compte packager ce script en DEB et en RPM dès que possible. Pour finir, je vous encourage à reprendre et à améliorer ce script si vous avez des idées supplémentaires.

EDIT 04/09/2010 : Modification du script suite aux excellentes remarques de TixxDZ.

Très récemment un ami de longue date a repris contact avec moi en retrouvant ma trace sur le net, il est actuellement Consultant ERP chez Smile, une société orientée OpenSource.

Par curiosité j’ai visité leur site et j’ai ainsi eu l’agréable surprise de découvrir qu’ils proposaient des livres blancs gratuits, je vous soumets ci-dessous ceux que j’ai moi-même téléchargé (cela vous épargnera de remplir leurs formulaires) :

• Architectures web
• Cloud
• Firewalls
• Virtualisation
• VPN

D’autres livres blancs concernant d’autres domaines comme les ERP sont disponibles sur leur site. Ce genre de publications est à saluer, c’est un signe de professionnalisme.

Voilà je l’ai fais ! Si si je l’ai fais ! J’ai fini par abandonner ma distribution OpenSuSE pour m’essayer à Fedora, principalement pour m’initier dans la configuration de serveurs LAMP et profiter de Gnome qui m’a semblé mal intégré dans SuSE.

Après avoir réussi à installé Fedora et réglé quelques problèmes, j’ai voulu paramétrer une connexion VNC pour pouvoir accéder à mon bureau Gnome depuis mon laptop qui tourne sous Windows. Au départ je pensais me lancer dans un paramétrage de routine mais finalement j’ai rencontré plus de problèmes que prévu. Voici donc commencer il faut s’y prendre pour activer une connexion à distance pour votre bureau Gnome.

1/ Activer et paramétrer le bureau à distance :

Système -> Préférences -> Internet & réseau -> Bureau à distance.

Cochez les deux premières cases :

- Autoriser les autres utilisateur à voir votre bureau.

- Autoriser les autres utilisateur à contrôler votre bureau.

Si vous désirez protéger votre VNC par un mot de passe, cochez la case “l’utilisateur doit saisir son mot de passe” puis entrez le mot de passe de votre choix dans le champ qui se trouve juste en dessous.

Fermer la fenêtre à l’aide du bouton fermer. Et voilà ! Notre bureau à distance (VNC) est presque fonctionnel, je dis presque parce qu’il ne devrait pas encore être utilisable en pratique… il faut appliquer le 2ème point pour cela.

2/ Ouvrir les ports utilisés par VNC :

Pour cela il va falloir vous rendre sur l’interface de gestion de votre firewall :

Système -> Administration -> Pare-feu

Dans la fenêtre du pare-feu cliquez à gauche sur Autres ports puis ajoutez le port 5900. Si vous désirez ouvrir plus d’une seule session à distance, par exemple jusqu’à 3 sessions à distances, il vous faudra ouvrir en plus les ports 5901 et 5902. Mais dans la majorité des cas on n’a besoin d’ouvrir qu’une session à distance donc le port 5900 devrait suffire.

Cliquez sur le bouton Appliquer puis fermez la fenêtre.

3/ Se connecter à distance :

Pour se connecter à distance il suffit d’utiliser un client VNC et d’y entrer l’adresse IP de votre PC distant (votre linux) et le port de connexion (5900 qui est le port par défaut des clients VNC)

Si vous utilisez Windows pour vous connecter à distance, vous pouvez télécharger le client VNC UltraVNC qui est gratuit et performant : http://www.ultravnc.fr/download/out.php?id_lien=8

Important : Vous êtes l’unique responsable de ce que vous faites des informations contenues dans cet article.

Vous avez peut être accès à internet via votre réseau d’entreprise ou celui de votre école/université mais cette accès est restreint par un dispositif de filtration trop stricte, il vous est ainsi  impossible d’aller sur votre forum préféré ou de tchater sur votre client de messagerie instantanée habituel.

Le logiciel Your Freedom se propose de vous apporter une solution efficace en vous libérant totalement l’accès à internet, cette application nécessite son installation sur le PC d’où vous vous connectez (donc il faut avoir les droits administrateur pour le faire) et la création d’un compte via ce formulaire, ce compte est gratuit pour une version bridée du logiciel (débit limité à 64Kbps et une utilisation limitée à 6h hebdomadaires avec un maximum de 18H par semaine).

Vous pouvez télécharger le soft ici : http://www.your-freedom.net/index.php?id=3