Re: iptable + export display
Le Fri 30/04/2004, Raphaël SurcouF Bordet disait mais si. Tu fais ton ssh vers le compte user. après ton su - ton fais export XAUTHORITY=~user/.Xauthority Décidément... Il y en a eu des réponses complètement loufoques. La plus simple réside dans l'usage de couple de clés privées/publiques. En effet, il est facile d'autoriser la connexion en root avec sshd si et seulement si on en possède une clé autorisée. Ainsi, il devient aisé d'utiliser l'option -X de SSH. C'est possible, mais c'est dangereux. Très dangereux même. Sur les machines que j'administre *personne* ne se loggue directement en root. Que ce soit sur la console ou à distance. -- Erwan
Re: iptable + export display
Le ven, 30/04/2004 à 07:54 +0200, Erwan David a écrit : Décidément... Il y en a eu des réponses complètement loufoques. La plus simple réside dans l'usage de couple de clés privées/publiques. En effet, il est facile d'autoriser la connexion en root avec sshd si et seulement si on en possède une clé autorisée. Ainsi, il devient aisé d'utiliser l'option -X de SSH. C'est possible, mais c'est dangereux. Très dangereux même. Sur les machines que j'administre *personne* ne se loggue directement en root. Que ce soit sur la console ou à distance. Si tu n'as pas confiance en ssh, ne l'active même pas. Parce que honnêtement, avec les derniers trous de sécurité locaux qu'il y a eu, que su soit suid ou pas ne va pas changer grand chose à ta sécurité. Maintenant: oui, ssh a également eu sa part de failles mais j'aurais plus confiance dans une identification forte à l'aide de clés RSA/DSA. Moins tu as de mots de passe à retenir, mieux c'est, surtout si tu partages la tâche administrative avec d'autres collaborateurs: ça évite que certains ne soient tentés de noter ces mots de passe quelque part pour s'en rappeler. -- Raphaël 'SurcouF' Bordet [EMAIL PROTECTED]
Re: iptable + export display
Le Fri 30/04/2004, Raphaël SurcouF Bordet disait Le ven, 30/04/2004 à 07:54 +0200, Erwan David a écrit : Décidément... Il y en a eu des réponses complètement loufoques. La plus simple réside dans l'usage de couple de clés privées/publiques. En effet, il est facile d'autoriser la connexion en root avec sshd si et seulement si on en possède une clé autorisée. Ainsi, il devient aisé d'utiliser l'option -X de SSH. C'est possible, mais c'est dangereux. Très dangereux même. Sur les machines que j'administre *personne* ne se loggue directement en root. Que ce soit sur la console ou à distance. Si tu n'as pas confiance en ssh, ne l'active même pas. Parce que honnêtement, avec les derniers trous de sécurité locaux qu'il y a eu, que su soit suid ou pas ne va pas changer grand chose à ta sécurité. Maintenant: oui, ssh a également eu sa part de failles mais j'aurais plus confiance dans une identification forte à l'aide de clés RSA/DSA. Moins tu as de mots de passe à retenir, mieux c'est, surtout si tu partages la tâche administrative avec d'autres collaborateurs: ça évite que certains ne soient tentés de noter ces mots de passe quelque part pour s'en rappeler. C'ets oas une question de confiance en pas en ssh. Il y aaussi des questions d'audit, de mauvaises habitudes, etc. -- Erwan
Re: iptable + export display
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Thursday 29 April 2004 17:30, Erwan David wrote: Le Thu 29/04/2004, Fuhr Guillaume disait -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Thursday 29 April 2004 17:16, J.P. Pourrez wrote: Le 29/04/04 à 16:44, Fuhr Guillaume écrivait: C'est bon, en ouvrant les ports mentionnés dans le /etc/services, ca marche. ca m'étonne un peu. Dans le fichier /etc/X11/xinit/xserverrc, l'option -nolisten TCP empêche l'affichage à distance. De toute manière le protocole X11 sur un réseau n's pas très sûr. En principe on utilise un tunnel SSH pour plus de sécurité. Le magazine Linux Magazine avait publié un article à ce sujet. Tu en trouveras une copie ici : http://okki666.free.fr/docmaster/articles/linux121.htm Voir en particulier le paragraphe sécuriser davantage Merci pour l'article ;) Je suis assez d'accords que le protocole X11 n'est pas tres sur et que le tunnel SSH est mieux Mais le tunnel ssh ne peut marcher que ds le cas d'un export simple entre 2 pc... Or moi j'a besoin d'utiliser 2 pc et sur un des pc il faut que je sois root... donc une fois que j'ai fait mon ssh ... je fais un su - et c'est a partir de la que l'export display marche plus...par ex... mais si. Tu fais ton ssh vers le compte user. après ton su - ton fais export XAUTHORITY=~user/.Xauthority Merci mais si je fais un su - et ensuite un export... beh ca marche pas... ca marche bien si je fais un su mais pas si je fais un su - Et tout marche. Ou au lieu de su tu utilises calife. -- Erwan -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAkhOnwpBKfL4PnkARArVeAJ9Q+RurTzox4col03Hjmi0SfUEUdwCfYbi0 L/I/BpqREJvsDbrA9oLtYfY= =UQWQ -END PGP SIGNATURE-
Re: iptable + export display
Le Fri 30/04/2004, Fuhr Guillaume disait mais si. Tu fais ton ssh vers le compte user. après ton su - ton fais export XAUTHORITY=~user/.Xauthority Merci mais si je fais un su - et ensuite un export... beh ca marche pas... ca marche bien si je fais un su mais pas si je fais un su - Tu exportes bien ~user/.Xauthority ? ou /home/user/.Xauthority au choix. -- Erwan
Re: iptable + export display
Le Fri 30/04/2004, Fuhr Guillaume disait mais si. Tu fais ton ssh vers le compte user. après ton su - ton fais export XAUTHORITY=~user/.Xauthority Merci mais si je fais un su - et ensuite un export... beh ca marche pas... ca marche bien si je fais un su mais pas si je fais un su - Effectivement, le su - fait disparaitre la variable DISPLAY. Il faut la remetrre aussi. -- Erwan
Re: iptable + export display
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Friday 30 April 2004 10:56, Erwan David wrote: Le Fri 30/04/2004, Fuhr Guillaume disait mais si. Tu fais ton ssh vers le compte user. après ton su - ton fais export XAUTHORITY=~user/.Xauthority Merci mais si je fais un su - et ensuite un export... beh ca marche pas... ca marche bien si je fais un su mais pas si je fais un su - Effectivement, le su - fait disparaitre la variable DISPLAY. Il faut la remetrre aussi. -- Erwan Oui je fais bien le export XAUTHORITY apres le su- Et si je fais aussi un export DISPLA=xxx.xxx.xxx.xxx:0.0 ca me mets quand meme un message can't open display... Guillaume -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAkhaDwpBKfL4PnkARAtx8AJ0bPME6L4A0c3/rSLvMk94PnHlPBACdEgxg TUgAForLn5qOuypkyr19Z3c= =8NRm -END PGP SIGNATURE-
Re: iptable + export display
Le Fri 30/04/2004, Fuhr Guillaume disait -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Friday 30 April 2004 10:56, Erwan David wrote: Le Fri 30/04/2004, Fuhr Guillaume disait mais si. Tu fais ton ssh vers le compte user. après ton su - ton fais export XAUTHORITY=~user/.Xauthority Merci mais si je fais un su - et ensuite un export... beh ca marche pas... ca marche bien si je fais un su mais pas si je fais un su - Effectivement, le su - fait disparaitre la variable DISPLAY. Il faut la remetrre aussi. -- Erwan Oui je fais bien le export XAUTHORITY apres le su- Et si je fais aussi un export DISPLA=xxx.xxx.xxx.xxx:0.0 ca me mets quand meme un message can't open display... Ton display distant écoute bien sur la socket tcp (c'est par défaut désactivé dans Debian) ? Si tu peux faire du X avant de faire le su, vérifie que tu utilise bien le même display. (si tu passes par ssh ça va être localhost:10 ou quelque chose s'approchant). -- Erwan
Re: iptable + export display
On Fri, Apr 30, 2004 at 09:54:43AM +0200, Raphaël SurcouF Bordet wrote: Si tu n'as pas confiance en ssh, ne l'active même pas. Parce que honnêtement, avec les derniers trous de sécurité locaux qu'il y a eu, que su soit suid ou pas ne va pas changer grand chose à ta sécurité. De ce que j'ai compris en écoutant des admins (de gros sites, avec donc plusieurs admins sur les même machines), la pratique de ne pas se logguer directement en root n'a rien à voir avec la sécurité: ça permet de savoir qui a fait quoi, vu que su laisse des traces. Y. - non-administrateur.
Re: iptable + export display
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Friday 30 April 2004 11:24, you wrote: On Friday 30 April 2004 11:12, Erwan David wrote: Le Fri 30/04/2004, Fuhr Guillaume disait -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Friday 30 April 2004 10:56, Erwan David wrote: Le Fri 30/04/2004, Fuhr Guillaume disait mais si. Tu fais ton ssh vers le compte user. après ton su - ton fais export XAUTHORITY=~user/.Xauthority Merci mais si je fais un su - et ensuite un export... beh ca marche pas... ca marche bien si je fais un su mais pas si je fais un su - Effectivement, le su - fait disparaitre la variable DISPLAY. Il faut la remetrre aussi. -- Erwan Oui je fais bien le export XAUTHORITY apres le su- Et si je fais aussi un export DISPLA=xxx.xxx.xxx.xxx:0.0 ca me mets quand meme un message can't open display... Ton display distant écoute bien sur la socket tcp (c'est par défaut désactivé dans Debian) ? Si tu peux faire du X avant de faire le su, vérifie que tu utilise bien le même display. (si tu passes par ssh ça va être localhost:10 ou quelque chose s'approchant). -- Erwan C'est bon, c'est que je faisais pas le bon export DISPLAY... En fait, je faisais un export DISPLAY=adresse_ip_de_mon_pc et non export DISPLAY=localhost:10.0 Merci pour tout, Guillaume -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAkjEOwpBKfL4PnkARAhbAAJ90TT7hxcNl0wtQHK7ss/rY6/1QDgCfZ22d 9wGPYNCPWBBiSWg7eXFiSI4= =0jrZ -END PGP SIGNATURE-
Re: iptable + export display
Pourquoi tu n'utilises pas ssh ? Pour me connecter, j'utilise: ssh -X mon-user@mon-pc.mon-domaine Vérifies juste le fichier de conf de sshd et autorise l'entree iptables... -- Fabien On Thursday 29 April 2004 16:58, Baptiste Mathus wrote: Selon Baptiste Mathus [EMAIL PROTECTED]: je n'y arrives pas. Je pense que c'est juste question d'un port a ouvrir mais je ne sais pas lequel... Le port 6000 de mémoire. Je me réponds à moi-même :). C'est le cat /etc/services|grep x11 qui m'a fait penser à ça : de la même manière qu'on peut indiquer par exemple --dport smtp, on peut ptete mettre x11 ? Ça serait plue mieux que d'écrire 6000 ou un autre numéro en dur... non ? Merci d'avance, De rien. Guillaume -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAkRC4wpBKfL4PnkARAuDEAJ4qBsuK6ZJi7kL9RGrIcEutA6rMiACfV9mj a4UKvmZgJVEjdVZ/UUNFsyk= =l0Hn -END PGP SIGNATURE- @++ -- Baptiste Batmat Mathus Baptiste at Mathus point org http://batmat.net - You want to use GNU/Linux or Windows ? You want to spend time or money ? -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptable + export display
Selon Fuhr Guillaume [EMAIL PROTECTED]: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour a tous, Voila, je suis en train de configurer iptable sur mon PC et je voudrais savoir comment faire pour autoriser le export display a destination de mon poste car je n'y arrives pas. Je pense que c'est juste question d'un port a ouvrir mais je ne sais pas lequel... Le port 6000 de mémoire. Merci d'avance, De rien. Guillaume -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAkRC4wpBKfL4PnkARAuDEAJ4qBsuK6ZJi7kL9RGrIcEutA6rMiACfV9mj a4UKvmZgJVEjdVZ/UUNFsyk= =l0Hn -END PGP SIGNATURE- @++ -- Baptiste Batmat Mathus Baptiste at Mathus point org http://batmat.net - You want to use GNU/Linux or Windows ? You want to spend time or money ?
Re: iptable + export display
Salut, [...] Voila, je suis en train de configurer iptable sur mon PC et je voudrais savoir comment faire pour autoriser le export display a destination de mon poste car je n'y arrives pas. Je pense que c'est juste question d'un port a ouvrir mais je ne sais pas lequel... cat /etc/services | grep x11 Merci d'avance, de rien :) -- Damien http://zeimg.free.fr http://dpobel.free.fr/
Re: iptable + export display
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Thursday 29 April 2004 16:37, Damien POBEL wrote: Salut, [...] Voila, je suis en train de configurer iptable sur mon PC et je voudrais savoir comment faire pour autoriser le export display a destination de mon poste car je n'y arrives pas. Je pense que c'est juste question d'un port a ouvrir mais je ne sais pas lequel... cat /etc/services | grep x11 Merci d'avance, de rien :) -- Damien http://zeimg.free.fr http://dpobel.free.fr/ C'est bon, en ouvrant les ports mentionnés dans le /etc/services, ca marche. -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAkRTWwpBKfL4PnkARAmcjAJ9bjynVG/jPSYfhVtpJAVkk80seAwCeKFhm k9SHeFzWJqLPM0XS03+eT+8= =CUHX -END PGP SIGNATURE-
Re: iptable + export display
Selon Baptiste Mathus [EMAIL PROTECTED]: je n'y arrives pas. Je pense que c'est juste question d'un port a ouvrir mais je ne sais pas lequel... Le port 6000 de mémoire. Je me réponds à moi-même :). C'est le cat /etc/services|grep x11 qui m'a fait penser à ça : de la même manière qu'on peut indiquer par exemple --dport smtp, on peut ptete mettre x11 ? Ça serait plue mieux que d'écrire 6000 ou un autre numéro en dur... non ? Merci d'avance, De rien. Guillaume -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAkRC4wpBKfL4PnkARAuDEAJ4qBsuK6ZJi7kL9RGrIcEutA6rMiACfV9mj a4UKvmZgJVEjdVZ/UUNFsyk= =l0Hn -END PGP SIGNATURE- @++ -- Baptiste Batmat Mathus Baptiste at Mathus point org http://batmat.net - You want to use GNU/Linux or Windows ? You want to spend time or money ? -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Baptiste Batmat Mathus Baptiste at Mathus point org http://batmat.net - You want to use GNU/Linux or Windows ? You want to spend time or money ?
Re: iptable + export display
Selon Fuhr Guillaume [EMAIL PROTECTED]: C'est bon, en ouvrant les ports mentionnés dans le /etc/services, ca marche. Et c'était lesquels alors pour info ? -- Baptiste Batmat Mathus Baptiste at Mathus point org http://batmat.net - You want to use GNU/Linux or Windows ? You want to spend time or money ?
Re: iptable + export display
Le 29/04/04 à 16:44, Fuhr Guillaume écrivait: C'est bon, en ouvrant les ports mentionnés dans le /etc/services, ca marche. ca m'étonne un peu. Dans le fichier /etc/X11/xinit/xserverrc, l'option -nolisten TCP empêche l'affichage à distance. De toute manière le protocole X11 sur un réseau n's pas très sûr. En principe on utilise un tunnel SSH pour plus de sécurité. Le magazine Linux Magazine avait publié un article à ce sujet. Tu en trouveras une copie ici : http://okki666.free.fr/docmaster/articles/linux121.htm Voir en particulier le paragraphe sécuriser davantage Bon amusement Jean-Pierre Pourrez
Re: iptable + export display
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Thursday 29 April 2004 16:59, Baptiste Mathus wrote: Selon Fuhr Guillaume [EMAIL PROTECTED]: C'est bon, en ouvrant les ports mentionnés dans le /etc/services, ca marche. Et c'était lesquels alors pour info ? Oui c'est vrai que ca peut servir, c'est les ports 6000-6007 aussi bien en tcp qu'un udp Et si ca peut servir a quelqu'un d'autre comme moi qui debute avec iptable, voila les lignes que j'ai rajouté iptables -A INPUT -p tcp --dport 6000:6007 -j ACCEPT iptables -A INPUT -p udp --dport 6000:6007 -j ACCEPT -- Baptiste Batmat Mathus Baptiste at Mathus point org http://batmat.net - You want to use GNU/Linux or Windows ? You want to spend time or money ? -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAkRy3wpBKfL4PnkARAiykAJ0WoVG4BFOPpaQU7vNok3XJDR9T1wCfXRWE hWFXTRAwiTaWBRvBmthS36w= =quPz -END PGP SIGNATURE-
Re: iptable + export display
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Thursday 29 April 2004 17:16, J.P. Pourrez wrote: Le 29/04/04 à 16:44, Fuhr Guillaume écrivait: C'est bon, en ouvrant les ports mentionnés dans le /etc/services, ca marche. ca m'étonne un peu. Dans le fichier /etc/X11/xinit/xserverrc, l'option -nolisten TCP empêche l'affichage à distance. De toute manière le protocole X11 sur un réseau n's pas très sûr. En principe on utilise un tunnel SSH pour plus de sécurité. Le magazine Linux Magazine avait publié un article à ce sujet. Tu en trouveras une copie ici : http://okki666.free.fr/docmaster/articles/linux121.htm Voir en particulier le paragraphe sécuriser davantage Merci pour l'article ;) Je suis assez d'accords que le protocole X11 n'est pas tres sur et que le tunnel SSH est mieux Mais le tunnel ssh ne peut marcher que ds le cas d'un export simple entre 2 pc... Or moi j'a besoin d'utiliser 2 pc et sur un des pc il faut que je sois root... donc une fois que j'ai fait mon ssh ... je fais un su - et c'est a partir de la que l'export display marche plus...par ex... Bon amusement Jean-Pierre Pourrez - -- Guillaume Fuhr-Chaudier Doctorant / Moniteur Laboratoire PIIM - Equipe Dynamique des Systemes Complexes Université de Provence - CNRS Centre de Saint-Jerome Case 321 Avenue Escadrille Normandie Niemen 13397 Marseille cedex 20 Tel : 04 91 28 82 24 ; FAX : 04 91 28 82 25 e-mail : [EMAIL PROTECTED] -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAkR7GwpBKfL4PnkARAmubAJ9lLPS727fgvs8e/TpVLWeR1dX6AACfcztj uc+LTaneVrZB7YgTFOcqvrw= =Xy3d -END PGP SIGNATURE-
Re: iptable + export display
Le Thu 29/04/2004, Fuhr Guillaume disait -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Thursday 29 April 2004 17:16, J.P. Pourrez wrote: Le 29/04/04 à 16:44, Fuhr Guillaume écrivait: C'est bon, en ouvrant les ports mentionnés dans le /etc/services, ca marche. ca m'étonne un peu. Dans le fichier /etc/X11/xinit/xserverrc, l'option -nolisten TCP empêche l'affichage à distance. De toute manière le protocole X11 sur un réseau n's pas très sûr. En principe on utilise un tunnel SSH pour plus de sécurité. Le magazine Linux Magazine avait publié un article à ce sujet. Tu en trouveras une copie ici : http://okki666.free.fr/docmaster/articles/linux121.htm Voir en particulier le paragraphe sécuriser davantage Merci pour l'article ;) Je suis assez d'accords que le protocole X11 n'est pas tres sur et que le tunnel SSH est mieux Mais le tunnel ssh ne peut marcher que ds le cas d'un export simple entre 2 pc... Or moi j'a besoin d'utiliser 2 pc et sur un des pc il faut que je sois root... donc une fois que j'ai fait mon ssh ... je fais un su - et c'est a partir de la que l'export display marche plus...par ex... mais si. Tu fais ton ssh vers le compte user. après ton su - ton fais export XAUTHORITY=~user/.Xauthority Et tout marche. Ou au lieu de su tu utilises calife. -- Erwan
Re: iptable + export display
Thu, 29 Apr 2004 17:27:02 +0200, Fuhr Guillaume a écrit : [...] Mais le tunnel ssh ne peut marcher que ds le cas d'un export simple entre 2 pc... Or moi j'a besoin d'utiliser 2 pc et sur un des pc il faut que je sois root... donc une fois que j'ai fait mon ssh ... je fais un su - et c'est a partir de la que l'export display marche plus...par ex... Essaie 'sux' (paquet éponyme), il paraît que ça sert à ça... -- | Sylvain Sauvage, docteur [IAD SMA] | bzz?.o:. | GREYC -- CNRS UMR 6072, Université de Caen | ` %^..^___§ o::o:: | tél://+33 (0)2 31 56 74 31 | @ (oo) ) ::o::o |__ http://www.info.unicaen.fr/~sauvage ___| _`|'___WW¯WW_][__
Re: iptable + export display
Le jeu, 29/04/2004 à 17:30 +0200, Erwan David a écrit : Merci pour l'article ;) Je suis assez d'accords que le protocole X11 n'est pas tres sur et que le tunnel SSH est mieux Mais le tunnel ssh ne peut marcher que ds le cas d'un export simple entre 2 pc... Or moi j'a besoin d'utiliser 2 pc et sur un des pc il faut que je sois root... donc une fois que j'ai fait mon ssh ... je fais un su - et c'est a partir de la que l'export display marche plus...par ex... mais si. Tu fais ton ssh vers le compte user. après ton su - ton fais export XAUTHORITY=~user/.Xauthority Décidément... Il y en a eu des réponses complètement loufoques. La plus simple réside dans l'usage de couple de clés privées/publiques. En effet, il est facile d'autoriser la connexion en root avec sshd si et seulement si on en possède une clé autorisée. Ainsi, il devient aisé d'utiliser l'option -X de SSH. -- Raphaël 'SurcouF' Bordet [EMAIL PROTECTED]
