gestion à distance - Codes et scripts - Linux et OS Alternatifs
Marsh Posté le 12-12-2007 à 16:33:15
T'entends quoi par enregistrer sur un serveur web ?
J'avais bosser sur un truc identique pour des routeurs cisco :
- premier boot il contact le serveur indiqué dans une config de base pour récupérer sa configuration.
- le plus simple serait à mon avis une copie via scp à partir d'un script dans /etc/init.d/ (linké dans /etc/rc2.d ou un autre).
Ce script "s'enregistre" comme tu le souhaites, récupère via scp (clé SSH sans mot de passe) pour récupérer sa config (script, fichier...), puis s'autosupprime une fois que tout est installé correctement.
Marsh Posté le 12-12-2007 à 16:33:30
je m'en doutais, lol j'ai déja réaliser une page web d'administration à distance avec des scripts mais j'aurais voulu savoir si des personnes avais des conseils
Marsh Posté le 12-12-2007 à 16:34:13
On peux te conseiller un script.
Marsh Posté le 12-12-2007 à 16:36:20
Skateinmars, Ik12 et les autres qui vont pas tarder à rappliquer, si vous ne voulez pas répondre sérieusement merci de ne pas répondre tout simplement.
Marsh Posté le 12-12-2007 à 16:38:05
o'gure merci de ta réponse, en fait je vais mettre en place un serveur qui possedera une base de donnée avec toutes les adresse mac des appliances, je veux que lors de la premiere connexion l'appliance vienne chercher sa config, s'enregistre.
Pour les autres mises en route de l'appareil je pense réaliser une remonté des log sur un serveur syslog, je veux que l'appliance vérifie qu'elle a la derniere version du soft, et je veux connaitre l'adresse ip publique du réseau ou est relié l'appliance
Marsh Posté le 12-12-2007 à 16:40:17
Personnellement, je me baserai plutôt sur un certificat que sur une adresse MAC... Cela te permet d'authentifier réellement l'appliance se connectant sur ton serveur de conf.
Marsh Posté le 12-12-2007 à 16:43:34
J'avais choisie l'adresse mac de la carte réseau car au départ totue les appliances auront la meme installation je peux pas leur mettre un certificat dans chacune, donc je récupére l'adresse mac la seule chose qui les différencie,alors aprés à la premiere connexion jpe envoyer le certificat à chacune mais ca sécurise pas beaucoup les choses
Marsh Posté le 12-12-2007 à 16:45:38
c'est quoi le meilleur moyen pour mettre a jour ma base de donnée à distance? ssh...?
Marsh Posté le 12-12-2007 à 16:49:26
Je pense qu'ogure cherchait plutot un moyen de savoir que l'appliance est autorisée plutot qu'à les différencier.
Sinon je dirait un serveur web pour récuperer les fichiers, avec du ssl et une authentification basique (mdp) c'est assez facile à mettre en place
Marsh Posté le 12-12-2007 à 16:51:32
stephmoi a écrit : J'avais choisie l'adresse mac de la carte réseau car au départ totue les appliances auront la meme installation je peux pas leur mettre un certificat dans chacune, donc je récupére l'adresse mac la seule chose qui les différencie,alors aprés à la premiere connexion jpe envoyer le certificat à chacune mais ca sécurise pas beaucoup les choses |
Tu te trouves en face du fameux problème de l'oeuf et de la poule
Soit tu sécurises le truc en mettant un certificat avant de l'envoyer chez le client.
Soit tu acceptes une première configuration non sécurisée.
Après ca dépend réellement de tes besoins et du niveau de sécu requis. Si un attaquant arrive à s'intercaller pour la config initiale (spoofing IP/DNS MITM), l'intégrité de ton appliance peut être réellement mise en cause. A toi de voir.
Je te conseille :
- une authentification des deux parties (serveurs et clients)
- un chiffrement des flux.
Regarde du coté d'une clé USB contenant un certificat livré en parallèle de l'appliance.
Marsh Posté le 12-12-2007 à 16:51:53
stephmoi a écrit : J'avais choisie l'adresse mac de la carte réseau car au départ totue les appliances auront la meme installation je peux pas leur mettre un certificat dans chacune, donc je récupére l'adresse mac la seule chose qui les différencie,alors aprés à la premiere connexion jpe envoyer le certificat à chacune mais ca sécurise pas beaucoup les choses |
Tu te trouves en face du fameux problème de l'oeuf et de la poule
Soit tu sécurises le truc en mettant un certificat avant de l'envoyer chez le client.
Soit tu acceptes une première configuration non sécurisée.
Après ca dépend réellement de tes besoins et du niveau de sécu requis. Si un attaquant arrive à s'intercaller pour la config initiale (spoofing IP/DNS MITM), l'intégrité de ton appliance peut être réellement mise en cause. A toi de voir.
Je te conseille :
- une authentification des deux parties (serveurs et clients)
- un chiffrement des flux.
Regarde du coté d'une clé USB contenant un certificat livré en parallèle de l'appliance.
Marsh Posté le 12-12-2007 à 16:53:49
Skateinmars a écrit : Je pense qu'ogure cherchait plutot un moyen de savoir que l'appliance est autorisée plutot qu'à les différencier. |
Les deux mon capitaine
Lorsque je travaillais à mettre cela en place sur des routeurs, une des contraintes était que personne a part le routeur ne devait pouvoir récupérer la conf => mise en place d'une PKI.
Après ca dépend de SES contraintes
Marsh Posté le 12-12-2007 à 16:57:00
o'gure a écrit : |
J'imagine que si il comptait se baser sur des adresses mac il ne doit pas y avoir trop de contraintes niveau sécurité
Marsh Posté le 12-12-2007 à 16:58:10
La config a récupérer n'est pas top secrete!!! les log a envoyer non plus!!! par contre l'enregistrement dans la base de donnée l'est pas mal, car si un !!!!!!!!!!!méchant!!!!!!!!!!lol me mrentre des ip fausse à la place des ip des appliances dans la table je ne pourrais plus du tout les gérer donc c'est trés génant, donc c'est vrai que pour l'enregistrement dans la table j'ai besoin d'authentifier les machines, merci pour l'idée du certificat sur clé ca me parait trés bien
Marsh Posté le 12-12-2007 à 16:28:17
Bonjour, je suis en train de développer une appliance sous linux et j'aimerais qu'au premeier démarage elle aye s'enregistrer sur un serveur web et qu'elle récupere une config en ftp avais vous des idées, réflexion ou tutoriels a m'apportez merci