Article publié le 27/08/2009

Dans cet article, nous aborderons la connexion à distance vers un PC sous GNU/Linux. L'intérêt premier est évidemment l'administration d'une machine à distance, mais cela peut également être utile pour la récupération de fichiers lors de voyages à l'étranger. Outre la mise en place d'un serveur SSH, nous traiterons de la gestion firewall, du routeur éventuel ainsi que de l'adresse IP dynamique.

Le serveur est la machine à laquelle vous voulez vous connecter, et qui retiendra la majorité de notre attention. Cette machine devra être équipée d'une distribution GNU/Linux quelconque. Une installation sous Windows est possible, mais semble être plus du bricolage qu'autre chose.

Par défaut, l'attribution de l'adresse IP sur le réseau local (LAN) se fait par DHCP, et est donc variable. Cela peut poser des problèmes lorsque, par exemple, le routeur devra transférer les données vers votre serveur. La première chose à faire est donc d'attribuer une IP fixe à votre serveur. Pour cela, vous devez connaitre l'adresse IP de votre passerelle ainsi que la gamme d'adresses IP attribuées. Par exemple, chez la passerelle est 192.168.1.1 et les IP sont attribuées entre 192.168.1.2 et 192.168.1.254. La configuration à appliquer dans votre système devra ressembler à ça :

Configuration en IP fixe

Cette fenêtre varie d'une distribution à l'autre, mais elle est souvent accessible via un clic sur l'applet de connexion réseau. Vous devrez peut-être aussi indiquez les serveurs DNS (permettant de faire le lien entre une adresse IP et le nom de domaine) ; indiquez ceux d'OpenDNS, à savoir 208.67.222.222 et 208.67.220.220.

Installons tout d'abord le serveur SSH, à savoir OpenSSH. Sous debian/Ubuntu :

À ce stade, le serveur est déjà opérationnel, mais allons tout d'abord faire un tour dans les options de configuration du fichier /etc/sshd.conf. La majorité des options par défaut sont bonnes, mais nous allons en modifier quelques unes. Tout d'abord le port d'écoute, par défaut 22, peut être modifié :

Changer le port par défaut permet de réduire les tentatives de connexion par des robots. Évidemment, une personne physique effectuant un scan de port complet pourra facilement trouver les ports ouverts. Ensuite, s'assurer que la connexion en root est impossible :

Root est le seul utilisateur commun à toutes les distributions (excepté Ubuntu, pour lequel il est désactivé par défaut et remplacé par sudo). Par conséquent, interdire la connexion à root obligera un attaquant éventuel à trouver un nom d'utilisateur existant. Et finalement, désactiver l'authentification par mot de passe :

Comment allons-nous nous connecter au serveur ? Et bien en utilisant ce que nous avons appris précédemment, à savoir une paire de clés ! De manière similaire à ce que nous faisions avec GnuPG, nous génèrerons une paire de clé sur chaque client, et nous fournirons la clé publique au serveur. De cette façon, seuls les clients ayant une clé enregistrée sur le serveur pourront s'y connecter. Notez que dans un premier temps, vous devrez avoir un accès physique au serveur pour copier la clé publique. Si ce n'est pas le cas, laissez les paramètres précédents sur « yes » le temps d'enregistrer votre clé.

Quand ces modifications ont été appliquées, relancez le démon ssh :

Si vous êtes derrière un routeur, et que votre serveur doit être accessible depuis d'extérieur de votre LAN, vous devez transférer le port choisi vers votre serveur. Concernant le firewall, si vous savez comment configurer le votre, ouvrez simplement le port que vous avez attribué, sous le protocole TCP. Si ce n'est pas le cas ou que vous voulez découvrir Webmin, lisez donc la suite ;-)

Tout bon serveur qui se respecte se doit d'avoir un firewall bien configuré. Sous GNU/Linux, le firewall intégré au système est Netfilter. Il existe plusieurs possibilités pour le configurer :

• en ligne de commande, grâce à iptables ou shorewall
• en utilisant le firewall Firestarter
• grâce à Webmin, un outil d'administration graphique assez général

Si Firestarter reste la solution la plus simple, c'est aussi la moins « propre » vu ses possibilités limitées et sa configuration basique. Iptables requiert quant à lui un peu d'expérience pour être manipulé correctement. Reste alors Webmin, assez simple d'accès tout en proposant des possibilités de configuration poussées. C'est celui-ci que nous allons utiliser. Notez que les firewalls graphiques n'enregistrent pas leur configuration directement dans Netfilter : ils ont besoin d'être lancés pour que les règles soient appliquées. En outre, si deux firewalls fonctionnent en même temps, ce sont les règles du dernier ayant été lancé qui seront appliquées. Veillez donc à n'avoir qu'un firewall bien configuré sur votre machine pour éviter les embrouilles ;-)

Procurez-vous tout d'abord Webmin, celui-ci étant disponible pour de nombreuses distributions. Après installation, rendez vous sur la page https://localhost:10000/ via votre navigateur web. L'utilisateur est root, et votre mot de passe est votre mot de passe root. Pour les utilisateurs d'Ubuntu, veuillez vous référer à cette page pour activer le compte root. Rendez à la page Networking → Linux Firewall.

Dans la partie Incoming packets (INPUT), voici les 5 règles de base à appliquer :

La règle « Log packet » va, comme son nom l'indique, établir un log des paquets qui seront rejetés dans /var/log/messages. Pour les retrouver facilement, je conseille d'ajouter dans la case « Additional parameters » (lors de la création de la règle) l'instruction :

Dans la partie Forwarded packets (FORWARD), on refuse tout :

Je laisse la partie Outgoing packets (OUTPUT) vide, ce qui signifie que toutes les connexions sortantes sont autorisées. Vous devriez trouver assez facilement comment créer ces règle, ce n'est pas bien compliqué. Veillez tout de même à sélectionner « Equals » au lieu de « Ignored » pour les cases modifiées. L'ordre des règle est très important : elles seront appliquées de haut en bas. Il faut donc toujours que la règle « Drop Always » soit la dernière !

Pour SSH, la règle à appliquer dans Incoming packets (INPUT) est :

Nous parlons bien de port de destination. En effet, comme ce sont les paquets entrant, leur destination est bien notre serveur. 12345 est évidemment à remplacer par le port que vous avez choisi. Cliquez finalement sur « Apply Configuration », et choisissez « Yes » pour « Activate on boot ».

Une attaque par « force brute » est une attaque tout ce qu'il y a de plus basique. Elle consiste à essayer toutes les combinaisons possibles de lettres/chiffres jusqu'à trouver le bon mot de passe. Elle est souvent combinée à une attaque par dictionnaire pour améliorer la vitesse de cassage. On comprend facilement que l'efficacité de ce type d'attaque dépend de la solidité du mot de passe choisi : « banane76″ risque d'être découvert beaucoup plus rapidement que « a0D€8È}~v£2%ï2″.

Pour se prémunir d'une telle attaque sur son serveur SSH, les précautions précédentes (pas de connexion en root, changement du port pour limiter les attaques par des robots) permettent déjà de limiter les risques. Si la connexion par mot de passe est désactivée, ces attaques seront totalement inefficaces. Cependant, on peut vouloir laisser cette possibilité active pour une raison ou une autre. Fail2ban va nous aider à nous protéger contre les attaquants éventuels (et n'ayez crainte, vous devrez y faire face très rapidement). Le principe est simple : bannir les adresses IP qui ont effectué trop de tentatives infructueuses de connexion, via une règle dans le firewall.

Tout d'abord, installer fail2ban :

Ouvrez ensuite le fichier /etc/fail2ban/jail.conf, et cherchez les parties suivantes :

La partie [DEFAULT] contient les options par défaut, alors que la partie [ssh] les options propres à SSH (sans déconner !). Passons-les en revue :

• ignoreip permet d'ignorer les connexions venant d'une certaine adresse IP, ici l'adresse IP locale
• bantime est la durée de bannissement d'une adresse attaquant
• findtime est le laps de temps pendant lequel les connexions d'une même IP vont être analysée
• maxretry est le nombre maximum de tentative de connexions infructueuses avant bannissement

Dans mon cas, si le serveur reçoit 6 connexions infructueuses (maxretry) en moins de 10 minutes (findtime), l'adresse IP sera bannie 15 minutes (bantime). Dans le cas de SSH, un mot de passe est demandé 3 fois à chaque connexion, ce qui fait au maximum 72 essais par heure et par adresse IP.

Après configuration, relancez fail2ban :

Vous pouvez également vérifier s'il fonctionne correctement :

Voilà, avec ça vous devriez être tranquille.

Si votre FAI vous attribue une adresse IP dynamique (adresse IP de votre ordinateur sur Internet, pas sur le réseau local !), vous aurez besoin d'un service comme DynDNS. Celui-ci vous permettra d'associer à votre serveur un nom de domaine, et ce gratuitement. L'adresse IP sera mise à jour grâce au logiciel ddclient que nous installerons plus tard.

Vous devez tout d'abord vous créer un compte sur le site de DynDNS. Allez ensuite sur la page « Host Services », et cliquez sur « Add New Hostname ». Choisissez un nom de domaine, sélectionnez « Host with IP address » et indiquez votre adresse IP. Pour mettre à jour l'IP, trois possibilités :

• le faire manuellement via l'interface de DynDNS (peu pratique)
• via l'interface de votre modem/routeur/*box : certains appareils disposent en effet de la possibilité d'enregistrer un compte et de mettre à jour votre IP automatiquement
• en installant ddclient

Installez ddclient :

La configuration du fichier /etc/ddclient.conf devrait ressembler à ceci :

Indiquez votre login, mot de passe (entre guillemets simples) ainsi que le(s) nom(s) de domaine. J'ai choisi de faire la mise à jour toutes les 5 minutes.

Côté client, la configuration est très simple. Après installation du paquet openssh-client, connectez-vous grâce à la commande :

où login est votre login sur le serveur et 12345 à remplacer par le port choisi. Notez que si vous vous connectez depuis votre réseau local, il y a de fortes chances pour que l'utilisation du nom de domaine ne fonctionne pas. Il faudra plutôt utiliser l'adresse IP fixe du serveur. Si vous avez laissé le port par défaut (22), l'option -p est inutile.

Rappelez-vous : nous devions utiliser la connexion par clé publique/privée ! Dans le cas où la connexion via mot de passe est désactivée, cette commande ne fonctionnera pas. Générons la paire de clé :

Laissez les options par défaut, et indiquez une phrase de passe. Ensuite, vous devrez copier le contenu du fichier ~/.ssh/id_dsa.pub dans le fichier /home/login/.ssh/authorized_keys de votre serveur. Si la connexion par mot de passe n'est pas désactivée, vous pouvez utiliser la ligne :

(sur une seule ligne) Grâce à la même commande que précédemment, connectez-vous sur votre serveur. Votre phrase de passe vous sera demandée à la place de votre mot de passe, et si cela fonctionne, vous pouvez désactiver l'autorisation par mot de passe si ce n'est déjà fait (soyez tout de même sûr de pouvoir accéder physiquement au serveur au cas où votre clé privée serait perdue).

Taper sa phrase de passe, c'est chiant... Oui, je sais. Nous allons donc utiliser ssh-agent pour nous faciliter la vie. Dans un terminal, tapez :

et entrez votre phrase de passe. Connectez vous sur votre serveur et là, magie, votre phrase de passe ne vous est plus demandée ! C'est là un énorme avantage d'utiliser l'authentification par clé publique/privée plutôt que par mot de passe. Il suffit d'entrer sa phrase de passe en début de session, et on est tranquille toute la journée ;-) Il est possible de fournir la même clé publique sur plusieurs serveurs SSH : une fois la passphrase enregistrée, les connexions se font sans mot de passe. Qui plus est, on n'a pas à retenir un mot de passe différent pour chaque serveur.

Il est possible de transférer des fichiers via SSH grâce à la commande scp. Pour envoyer un fichier sur le serveur :

Pour récupérer un fichier du serveur :

Attention, c'est bien un P majuscule !

Le logiciel gftp permet de faire graphiquement la même chose que scp. Il se présente sous la forme de deux fenêtres, une pour le client et une pour le serveur.

Gftp

Faites attention de sélectionner le bon type de fichier (ASCII -- fichier texte simple -- ou Binaire -- le reste) dans le menu « FTP ».

Le noyau de Mac OS X étant un dérivé de BSD, les lignes de commandes devraient être identiques. Sous Windows, allez voir du côté de PuTTY pour la ligne de commande et WinSCP comme équivalent de gftp.

Billet original de Marty.Votez pour cet article sur le Planet Libre.

The Neofonie WePad is a cheeky attempt at a wordplay on the iPad, and it is surprising to see it come from the Germans whom we thought were much more serious in their undertakings. Still, the WePad boasts German efficiency (and hopefully, build) with an 11.6" display at 1,366 x 768 resolution, an Intel Atom 1.66GHz N450 processor, GMA 3150 graphics, a batter that lasts for up to 6 hours, an integrated webcam, a couple of USB ports and a memory card reader. Oh yeah, we left out the UMTS modem which allows you to hook up to the WePad App Store. Apart from that, this Android-powered device will also feature access to the Android Market - now how about that!

Permalink: Neofonie WePad might be confusing from Ubergizmo | RSS Sponsor: Win a Fellowes Microshred Paper Shredder!

Yes, the title is a Veruca Salt reference; deal with it!  If you need 16 USB ports for your desktop then my making vague Gen-X references to underachieving bands that never quite made it is the least of your problems—concentrate, Pvt. Pyle!  Jeez, do I have to do everything for you?  Yes?  Okay then: ThinkGeek has the cure for what ails you.  Well, only if what ails you is your desk’s lack of a tangle of sprawling USB cables that would embarrass an Octopus—two of them, in fact!  The

On a désormais plus d’infos à se mettre sous la dent concernant l’Aspire TimelineX 1830T d’Acer. En effet, on sait qu’il sera équipé d’un écran 11.6″ (résolution 1366×768 pixels), d’un processeur Intel Core i5-520UM cadencé au choix de 1.06GHz à 1.86GHz, du WiFi 802.11 b.g.n, d’un port HDMI, de 3 ports USB 2.0 et du Bluetooth (en option).

Pas de prix ni de date de sortie annoncés.

via geeky-gadgets

Les produits présentés lors du dernier CES (Consumer Electronic Show) de Las Vegas voient le jour petit à petit... Cependant, les derniers PCS Eee Box d’Asus, les EB1501U et EB1012U sont des petites exceptions... En effet, ils ont bien été ajoutés au catalogue d’Asus, mais n’ont pas encore de date de sortie officielle, ni de prix.

Bref, le lancement ne saurait tarder... Rappelons les principales caractéristiques de ces Eee PC.
Ces petits PCs sont propulsés par un processeur Intel Atom Dual Core, avec une plateforme Nvidia ION, 250Go de disque dur, jusqu’à 4Go de RAM, ainsi que le Gigabit Ethernet, le Wifi b /g / n, un port HDMI et VGA, 4 ports USB 2.0, un port eSATA, et S/PDIF. Tous deux tournent sur Windows 7 Home Premium.
Ces deux machines embarquent également deux ports USB 3.0.

La principale différence concerne le lecteur de disque optique, lequel est présent sur l’EB1501U, mais absent du second.

Products unveiled at the CES have been started to be launched day by day, however, latest ASUS Eee Box PCs, the EB1501U and EB1012U are a bit of an exception to the trend as they have been added to ASUS web catalogue but we still have no word on launch or pricing.

However, before their launch, let’s give you some insight into these products:
The main highlight about them is that they both have two USB 3.0 ports the EB1501U, which also comes with a sleek design, has them on the front panel whereas the EB1012U has one on the front and one at the side. The first has slot-loading DVD burner whereas the latter lacks optical drive.

They share other specs in common such as Intel Atom 330 Dual Core CPU, NVIDIA Ion graphics, gigabit ethernet, WiFi b/g/n, VGA and HDMI connectivity, 4 x USB 2.0 ports, eSATA and S/PDIF, a 250GB hard-drive and support for up to 4GB of RAM, Windows 7 Home Premium OS. They also are available either in Black or White…

NGX Technologies sent us this Blueboard LPC1768-H to play with. It’s basically a breakout board for an NXP LPC1768 ARM cortex-M3 microcontroller (datasheet). The board adds a few extra goodies, such as a choice of mini-USB connector or barrel-jack to provide regulated power to the chip. There’s also a clock crystal for the internal RTC and an Atmel 256kb EEPROM chip. This chip has 70 I/O ports, accessed through the pin headers on top and bottom of the board. The 20-pin header to the left is for a JTAG programmer (yes, you’ll need a separate programmer). Coming in at only $32.78 this is a very accessible route for projects that require more power than some of the traditional hobby controllers. The shipping seems to have come down since NGX’s last offering, now it would be under $10 to ship to the States.

The LPC1768 is the same controller from the mbed that we reviewed. What’s missing is some of the interface hardware and the boot-loader, but the tradeoff comes with a $66 savings. This is to mbed what an AVR board is to the Arduino, a way to get even closer to the hardware.

There are a few things we think are missing. Most notably, there isn’t a datasheet or user guide for the board itself.  The only information available is a schematic (PDF), but that should be enough for those already well versed in working with microcontrollers. There is also a 12MHz clock crystal on the board but it doesn’t seem to be jumpered in case you wanted to use a different frequency. We’re not sure if this is much of an issue, the internal RC oscillators offer a lot of flexibility including operation up to 100MHz.

We feel this is a solid platform that will help to get more people into ARM development because of its low price. Let us know your thoughts in the comments.

Asus a officiellement dévoilé les images de sa carte-mère Asus Rampage III Extreme, qui est basée sur le chipset Intel X58. Des détails tels que le prix et la date de lancement ne sont toujours pas connus, mais grâce aux photos, on peut glaner pas mal d'informations techniques, concernant cette carte-mère LGA 1366. Les spécifications techniques actuellement disponibles pour l'Asus Rampage III Extreme comprennent:

• Le support pour le CPU Intel LGA 1366
• Le support DDR3 triple-channel
• Quatre ports PCI-E x16 avec puce Nvidia NF200 bridge
• Support du SATA 6.0Gbps
• USB 3.0
• Gigabit LAN
• Audio 7.1
• eSATA
• Firewire

Permalink: Carte-mère Asus Rampage III Extreme d'Ubergizmo FR. Aussi en Anglais

Donc, voilà ,  EVGA a officialisé sa carte mère de tous les superlatifs ( déjà par ses dimensions) : j'ai nomé la Classified Super Record 2. Une carte bi sockets LGA1366 , basée sur un chipset Intel 5520. Cette carte acceuillera les processeurs Xeon 5500 / 5600 et supportera un maximum de 48 Go de mémoire DDR3 . Les overclockeurs seront ravis , des points de contrôle de la tension sont  présents sur le PCB et tous les raffinements Evga sont présents.....Le prix....Lisez en dessous....

" Cette carte mère bénéficie par ailleurs d’un étage d’alimentation à 8+2 phases. Un total de sept connecteurs PCI-Express 16x sont disponibles (configurables en 4 fois 16x ou 1 fois 16x et 6 fois 8x grâce à la présence d’une puce NF200, et par conséquent compatibles SLI et CrossFireX). On trouve également deux connecteurs SATA 6 Gbps, six connecteurs SATA 3 Gbps, deux ports USB 3.0, 10 ports USB 2.0 et des contrôleurs Gigabit Ethernet (x2) et audio 7.1. Bref, du très haut de gamme, qui se paie : comptez 599,99 dollars pour acquérir ce bijou. Cerise sur le gâteau, la Classified Super Record 2 est garantie à vie par EVGA…"

Source

The ultra-portable features an Intel Pentium Dual Core SU4100 1.30GHz processor with 4GB of system memory and a 320GB Hard disk. The 11.6-inch LED backlit display comes with 1366x768 screen resolution. Graphics are powered by a Intel GMA X4500 controller. It comes with Wi-Fi b/g/n, integrated webcam, DVD burner, HDMI and S/PDIF ports, Gigabit Ethernet and multi-gesture trackpad. Windows 7 Home Premium is the default OS.

The notebook weighs 3.55lbs and includes a 6-cell battery that is good enough for six hours of runtime. The ultra-portable will be available for purchase by the end of March for $580 CAD.

Press Release