Auteur/autrice : starmate
10 mai 2016 /

Utilisation de SSHGate

SSHGate est un proxy qui redirige de manière transparente les paquets à travers des tunnels chiffrés SSH, en dissimulant les éléments d’authentification aux utilisateurs.

Reposant entièrement sur le projet OpenSSH, communautaire et non modifié, cet outil propose une CLI d’administration, la gestion d’ACL, gestion de groupe, ainsi que l’enregistrement des sessions utilisateurs, qui peuvent être rejouées ultérieurement à des fins d’analyse.

Un petit mémo des commandes SSHGate

Se connecter:

sshgate-cli -u <login>

 

1 – Gestion des utilisateurs

Lister tous les utilisateurs:

user list

Ajouter un nouvel utilisateur:

user add <user> mail <email>

Supprimer un utilisateur:

user del <user>

Reconstruire le fichier authorized_keys

user build auth_keys

Afficher de la configuration d’un utilisateur:

user <user> display conf

Définir une variables/valeur dans la configuration de l’utilisateur:

user <user> set conf <variable>

Supprimer une variables/valeur dans la configuration de l’utilisateur:

user <user> del conf <variable>

Lister les machines auquels l’utilisateur a accès:

user <user> list targets

Lister les groupes d’utilisateurs de l’utilisateur:

user <user> list usergroups

Lister les groupes de machines auquel l’utilisateur a accès:

user <user> list targetgroups

Savoir si un utilisateur a accès à une machine:

user <user> has access [<login>@]<target>

Lister tous les accès de l’utilisateur, et comment les accès lui sont accordés:

user <user> access info

Envoyer un mail à l’utilisateur pour l’informer de ses accès:

user <user> access notify

Modifier la clef ssh publique d’un utilisateur:

user <user> edit sshkey

Afficher la clef ssh publique d’un utilisateur:

user <user> display sshkey

Mettre à jour la clef ssh Publique d’un utilisateur dans le fichier authorized_keys:

user <user> update auth_keys

 

2 – Gestion des groupes d’utilisateurs

Liste de tous les groupes d’utilisateurs:

usergroup list

Créer un groupe d’utilisateurs:                                             

usergroup add <group>

Supprimer un groupe d’utilisateurs:

usergroup del <group>

Liste des utilisateurs d’un groupe:

usergroup <user-group> list users

Liste les groupes machines qui sont accessible par  un groupe d’utilisateurs:

usergroup <user-group> list targetgroups

Ajouter un utilisateur dans un groupe:

usergroup <user-group> add user <user>

Supprimer un utilisateur d’un groupe:

usergroup <user-group> del user <user>

Liste les cibles qui sont accessibles par un groupe d’utilisateurs:

usergroup <user-group> list targets

Liste toutes les machines accessibles par un groupe d’utilisateurs:

usergroup <user-group> access info

 

3 – Gestion des machines

Liste toutes la machines enregistrées dans SSHgate:

target list

Ajoute une machine:

target add [<login>@]<target>

Ajoute une machine derriere un proxy:

target add [<login>@]<target> with proxy [<login>@]<target>

Ajoute une machine en passant par un rebond:

target add [<login>@]<target> via [<login>@]<target>

Supprime une machine:

target del <target>

Liste tous les alias:

target alias list

liste les alias d’une machine:

target <target> list alias

Obtenez le vrai nom d’une machine:

target <target> realname

Ajouter un nom d’alias pour la machine:

target <target> add alias <alias>

Supprime un nom d’alias pour la machine:

target <target> del alias <alias>

Renommer une machine:

target <target> rename <new-name>

 Afficher le fichier de configuration de la machine:

target <target> display conf

Définir une variables/valeur dans le fichier de configuration de la machine:

target <target> set conf <variable> <value>

Supprimer une variables/valeur dans le fichier de configuration de la machine:

target <target> del conf <variable>

Liste de tous les utilisateurs ayant accès à la machine , et comment:

target [<login>@]<target> access info

Liste des utilisateurs qui ont accès à la machine:

target [<login>@]<target> access list users

Permet à l’utilisateur d’accéder à la machine:

target [<login>@]<target> access add user <user>

Supprime à l’utilisateur l’accès à la machine:

target [<login>@]<target> access del user <user>

Liste tous les groupes qui ont accès à la machine:

target [<login>@]<target> access list usergroups

Permet au groupe d’utilisateur d’accéder à la machine:

target [<login>@]<target> access add usergroup <group>

Supprime au groupe d’utilisateur l’accès à la machine:

target [<login>@]<target> access del usergroup <group>

 

4 – Gestion des clef SSH

Edite le fichier de configuration SSH d’une machine ou d’un login:

target <target> ssh edit config

Afficher le fichier de configuration de SSH d’une machine:

target <target> ssh display config

Affiche entièrement le fichier de configuration SSH d’un login sur une machine:

target [<login>@]<target> ssh display full config

Mise à jour du fichier « known_hosts » pour toutes les machines:

target ssh update known_hosts

Test pour se connecter sur une machine:

target <target> ssh test

Test pour se connecter à toutes les machines:

target <target> ssh test all

Liste tous les logins SSH valident sur une machine:

target <target> ssh list logins

Ajoute un login SSH sur une machine:

target <target> ssh add login <login>

Enleve un login SSH sur une machine:

target <target> ssh del login <login>

Affiche la clef publique de la machine:

target <target> ssh display key

Edite la clef privée de la machine:

target <target> ssh edit key

Tente d’installer la clef publique sur une machine:

target <target> ssh install key

Installe toute les clef SSH publique sur la cible:

target <target> ssh install all key

Mets une clef SSH par défaut pour une machine:

target <target> ssh use default key

 

5 – Gestion des groupe de machines

Liste de tous les groupes de machines:

targetgroup list

Création d’un groupe de machines:

targetgroup add <target-group>

Suppression d’un groupe de machines:

targetgroup del <target-group>

Liste les utilisateurs qui ont accès au groupe de machines:

targetgroup <target-group> list targets

Ajoute une machine dans un  groupe de machine:

targetgroup <target-group> add target [<login>@]<target>

Supprime une machine d’un groupe de machines:

targetgroup <target-group> del target [<login>@]<target>

Liste les utilisateurs ayant accès au groupe de machines:

targetgroup <target-group> access list users

Donne à l’utilisateur l’accès à toutes les machines du groupe de machines:

targetgroup <target-group> access add user <user>

Révoquer l’accès des utilisateurs à cibler l’hôte du groupe de machines:

targetgroup <target-group> access del user <user>

Liste les machines du groupe de machines accessible par le groupe d’utilisateur:

targetgroup <target-group> access list usergroups

Donne au groupe d’utilisateurs l’accès au groupe de machines:

targetgroup <target-group> access add usergroup <user-group>

Enlève au groupe d’utilisateurs l’accès au groupe de machines:

targetgroup <target-group> access del usergroup <user-group>

 

6 – Gestion des sessions

Liste les sessions en cours:

session list current

Liste les dernières sessions connectées:

session list last

Liste les sessions en cours sur une machine:

session target <target> list

Liste les sessions en cours d’un utilisateur:

session user <user> list

Tue une session SSHGate:

session kill <pid>

Debug de SSHgate (équivalent « set -x » en bash):

debug

Plus d’information ici.
7 mai 2016 /

Quand est-il nécessaire de redémarrer Linux

  • Après un kernel panic.
  • Après un partitionnement ou des modifications sur le système de fichiers (redimensionnement de /).
  • Après la mise à niveau du noyau et ou le passage de correctifs de sécurité (cela n’est cependant pas toujours nécessaire).
  • Après le système ne répondait plus pour une raison quelconque, et vous avez pas d’autre choix que d’utiliser les Magic Keys ou de faire un reboot brutal.
  • Après avoir modifié certains schémas gconf, cela peut être nécessaire.
  • Quand le CPU surchauffe.
5 mai 2016 /

ERROR 1820 (HY000): You must SET PASSWORD before executing this statement

Si vous tombez sur cette erreur:

mysql> create database nom_utilisateur;

ERROR 1820 (HY000): You must SET PASSWORD before executing this statement

Pour la résoudre, il suffit de définir un password à l’utilisateur (ici root) qui sert d’opérateur :

mysql

set password for root@'localhost' = PASSWORD('nouveau_passwd');

 
2 mai 2016 /

Changer de répertoire MySql par défaut en gardant SELinux activé

Voici un petit mémo qui montre comment changer le répertoire de données MySQL par défaut, puis à régler SELinux pour qu’il tienne compte des changements.

Arrêt du serveur MySQL:

service mysqld stop

Création d’un nouveau répertoire de données:

mkdir /nouveau/repertoire/mysql
chown mysql:mysql /nouveau/repertoire/mysql

Déplacer la base de données d’origine:

mv /var/lib/mysql/* /nouveau/repertoire/mysql

Modification du fichier de configuration MySQL:

vi /etc/mysql/my.cnf

Et on y change cette ligne:

datadir = /var/lib/mysql

devient:

datadir = /nouveau/repertoire/mysql

ainsi que celle la:

socket = /var/lib/mysql/mysql.sock

qui devient:

socket = /nouveau/repertoire/mysql/mysql.sock

Mappage du contexte SELinux pour le répertoire /nouveau/repertoire/mysql/ , avec la commande semanage:

semanage fcontext -a -t mysqld_db_t "/nouveau/repertoire/mysql(/.*)?"

Application du contexte pour une prise en compte par le système à chaud:

restorecon -Rv /nouveau/repertoire/mysql/

Démarrage du serveur MySQL:

service mysqld start

Vérification de l’accès et de la connectivité:

mysql -u root -p

mysql> show databases;

Si cela fonctionne, vous avez changé le répertoire par défaut de MySQL avec une prise en compte par SELinux avec succès.

Par contre si vous obtenez un message de ce genre:

ERROR 2002 (HY000): Impossible de se connecter au serveur MySQL local par socket '/var/lib/mysql/mysql.sock'

Il faudra ajouter cela à votre fichier /etc/my.cnf :

[client]
socket = /srv/mysql/mysql.sock

Et dernière chose, pour éviter la connexion via le socket:

mysql -u root -p --protocol tcp
1 mai 2016 /

Tester l’ouverture d’un port

Telnet, (depuis un serveur distant)

telnet 192.168.0.14 20000

Si le port est ouvert:

Trying 192.168.0.14...
Connected to entropia (192.168.0.14).
Escape character is '^]'.

Si le port est fermé (ou service non démarré):

Trying 192.168.0.14...
telnet: connect to address 192.168.0.14: Connection refused
telnet: Unable to connect to remote host: Connection refused

Netstat, (pour tester en local)

netstat -paunt | grep 3306; echo $?

Si le port est ouvert:

tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      1979/mysqld
0

Si le port est fermé (ou service non démarré):

1

Netcat, (depuis un serveur distant)

nc -v -z 192.168.0.14 3306; echo $?

Si le port est ouvert:

Connection to 192.168.0.14 3306 port [tcp/mysql] succeeded!
0

Si le port est fermé (ou service non démarré):

nc: connect to 192.168.0.14 port 3306(tcp) failed: Connection refused
1

nc  192.168.0.14 3306< /dev/null ; echo $?

Si le port est ouvert:

4
5.1.73▒d))4f*<,i▒N*'%#~rC8/#`0

Si le port est fermé (ou service non démarré):
1

Wget pour tester un serveur web, (depuis un serveur distant)

wget -qO- 192.168.0.14:80 ; echo $?

wget -q --spider 192.168.0.14:80 ; echo $?

Curl, (depuis un serveur distant)

curl telnet://192.168.0.14:22

Si le port est ouvert, la commande restera bloquée car elle attend que l’on saisisse quelque chose. ctrl+c pour sortir.

Si le port est fermé:

curl: (7) couldn't connect to host

Bash, (depuis un serveur distant)

timeout 1 bash -c 'cat < /dev/null > /dev/tcp/192.168.0.14/22' ; echo $?

Si le port est ouvert:
0
Si le port est fermé:

bash: connect: Connexion refusée
bash: /dev/tcp/192.168.0.14/22: Connexion refusée
1

Nmap, (depuis un serveur distant)

nmap -p 80 192.168.0.14

Si le port est ouvert:

Starting Nmap 5.51 ( http://nmap.org ) at 2016-03-29 10:00 CEST
Nmap scan report for entropia.local (192.168.0.14)
Host is up (0.00068s latency).
PORT   STATE SERVICE
80/tcp open  http
MAC Address: 00:50:56:01:27:55 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

Si le port est fermé:

Starting Nmap 5.51 ( http://nmap.org ) at 2016-03-29 10:06 CEST
Nmap scan report for entropia.local (192.168.0.14)
Host is up (0.00045s latency).
PORT   STATE  SERVICE
80/tcp closed http
MAC Address: 00:50:56:01:27:55 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.10 seconds

Pour tester plusieurs port en même temps:

nmap -p 22,1944,20000 192.168.0.14

Python, (depuis un serveur distant)

python
import socket
clientsocket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
clientsocket.connect(('192.168.0.14' , 80))
clientsocket.sent('\n')

Si le port est ouvert, vous arriverez à faire un « clientsocket.sent(‘\n’) » (qui vous retournera surement cette une erreur):
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
AttributeError: '_socketobject' object has no attribute 'sent'

Si le port est fermé, au moment du « clientsocket.connect((‘192.168.0.14’ , 80)) » :
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "<string>", line 1, in connect
socket.error: [Errno 111] Connection refused