Limiter le débit SSH... par utilisateur ?

Limiter le débit SSH... par utilisateur ? - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 09-07-2009 à 23:28:20    

Bonsoir,
 
Possédant un (petit) serveur dédié, j'autorise certains de mes amis à s'y connecter en SSH pour ouvrir des tunnels (dans le but, je vous le cache pas, de jouer à WoW --eux, pas moi :D) ; j'aimerais pouvoir limiter le débit pour éviter qu'ils ne mangent une trop grosse BP (avec les patches, par exemple). Le hic c'est que je ne veux pas simplement limiter le débit SSH ou le débit sur le port, ni même le débit par IP... Mais le débit par utilisateur !
 
Disons que j'utilise par exemple le compte "admin" et qu'eux utilisent le compte "amis" (compte qui n'a pas de bash). Je veux, en tant qu' "admin", avoir accès aux ressources du serveur à plein débit (24 mégas à la maison, 100 à l'école), mais que le compte "amis" ne puisse recevoir qu'à par exemple 20 mbps maximum.
 
La machine tourne sous Ubuntu ; je ne sais pas du tout si ce que je demande est possible, je m'en remets à vous :jap:  
 
Merci d'avance, et bonne nuit ;)

Reply

Marsh Posté le 09-07-2009 à 23:28:20   

Reply

Marsh Posté le 09-07-2009 à 23:30:32    

pas possible par utilisateur.


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 10-07-2009 à 08:38:59    

Dommage :(
Il va falloir que je trouve autre chose...  
 
Merci pour ta réponse

Reply

Marsh Posté le 10-07-2009 à 12:44:02    

Si tu te contentes de leur fournir un tunnel SSH pour jouer à WoW, ça ne bouffe rien en bande passante: WoW c'est fait pour etre jouer avec un pc de supermarché et un modem 56k.
 
Le téléchargement des patchs, c'est du bittorrent et d'autres ports.
 
Tu utilises quoi comme technologie de tunnel ? du SOCKS ?
 
Sinon, t'as juste à bloquer les communications vers les trackers et direct download de WoW et comme ça tu seras sur de pas laisser passer les patchs.
 
Ou alors, vu le rythme de sortie des patchs, c'est peut etre pas la mer à boire ?

Reply

Marsh Posté le 10-07-2009 à 13:26:00    

Taz a écrit :

Si tu te contentes de leur fournir un tunnel SSH pour jouer à WoW, ça ne bouffe rien en bande passante: WoW c'est fait pour etre jouer avec un pc de supermarché et un modem 56k.
 
Le téléchargement des patchs, c'est du bittorrent et d'autres ports.
 
Tu utilises quoi comme technologie de tunnel ? du SOCKS ?
 
Sinon, t'as juste à bloquer les communications vers les trackers et direct download de WoW et comme ça tu seras sur de pas laisser passer les patchs.
 
Ou alors, vu le rythme de sortie des patchs, c'est peut etre pas la mer à boire ?


Ce n'était qu'un exemple, ils peuvent aussi bien lancer un download qui n'a rien à voir avec WoW et par conséquent me bouffer la bande passante ;)
 
On utilise putty pour ouvrir la connexion SSH, qui crée un proxy SOCKSv5 sur la machine locale, vers lequel on redirige les applis ; je parlais de WoW pour illustrer, mais cela ne les empêche en rien de lancer un download sans rapport. J'aimerais leur limiter la BP sans limiter la mienne, et ne pas en arriver à simplement les bloquer.  
 
Si ce n'est pas possible, tant pis on fera avec :)

Reply

Marsh Posté le 10-07-2009 à 15:20:45    

Mais tu peux pas restreindre les adresses dispo en sortie (n'autoriser que les IP des serveurs WoW utilisés?)


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 10-07-2009 à 16:10:03    

Ma foi si ça devient nécessaire c'est ce que je ferai ; j'aurais aimé limiter les débits pour continuer à leur prêter ce tunnel sans les empêcher de lancer n'importe quelle appli. Il n'est pas question que de WoW, ils peuvent aussi bien lancer µTorrent ou aller sur Youtube... Enfin pas besoin de faire un dessin :]
 
Une limite de débit ne les aurait pas dérangés, mais comme ce n'est pas possible eh bien je vais me contenter de rester comme ça, et j'aviserai en temps voulu.

Reply

Marsh Posté le 10-07-2009 à 16:49:15    

tu ne pourrais pas scinder ton acces ssh sur 2 ports ou ip distinct(e)s?
http://linux-attitude.fr/post/Bande-passante


---------------
ma conduite intérieure .:R | memaster pilote officiel de la HFR Badoit-Auchan F1 Team | zéro tracas, zéro blabla MMa.ster
Reply

Marsh Posté le 10-07-2009 à 17:06:48    

Justement j'étais tombé sur cette page ce midi ; je pense que c'est ce que je vais faire, ça me semble être une bonne idée :)

Reply

Marsh Posté le 10-07-2009 à 18:40:11    

memaster a écrit :

tu ne pourrais pas scinder ton acces ssh sur 2 ports ou ip distinct(e)s?
http://linux-attitude.fr/post/Bande-passante


 
C'est quoi le lien entre trickle et son problème? Il va pas demander à ses utilisateurs de taper cette commande :heink:
Il pourrait éventuellement les faire connecter dans un chroot cage qui l'execute automatiquement avant toute commande mais merci l'usina à gaz


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 10-07-2009 à 18:40:11   

Reply

Marsh Posté le 10-07-2009 à 19:22:22    

Je ne connais pas encore Trickle, mais y aurait-il un moyen pour lui de limiter le débit à partir d'un PID passé en paramètre ?  
(je demande ça à tout hasard :))

Reply

Marsh Posté le 10-07-2009 à 20:52:42    

À voir ce que dit le site, c'est pas comme ça que ça marche non


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 11-07-2009 à 01:25:59    

Peut etre ceci http://webhtb.sourceforge.net/ si tu associes un port particulier pour tes utilisateurs via ssh ? Je propose, je sais pas si c'est possible mais c'est a regarder...


---------------
Un blog qu'il est bien
Reply

Marsh Posté le 11-07-2009 à 10:16:15    

En tous cas ça semble assez intéressant, je regarderai ça ;)
 
Merci bien

Reply

Marsh Posté le 12-07-2009 à 23:20:03    

shorewall + tc

Reply

Marsh Posté le 13-07-2009 à 09:29:08    

Merci splurf, ça m'a l'air d'être aussi une solution intéressante, ça me fait un paquet de trucs à tester :)
 
Je me permets de vous poser une autre question qui sera peut-être un peu plus réalisable (quoique rien n'est sûr :p) : est-il possible, à la connexion d'un de ces clients de fermer toutes ses autres sessions ?
 
genre avec un :
pkill -KILL -u $USER
 
Je pense que je saurais faire un script moi-même, mais avant de m'y mettre j'aimerais savoir si il n'y aurait pas simplement une solution "built-in", par exemple une directive dans un fichier de conf qui n'autorise qu'une seule session SSH par utilisateur -ce serait par nature je pense plus propre qu'un script maison ?
 
Encore merci à vous

Reply

Marsh Posté le 13-07-2009 à 11:29:49    

esox_ch a écrit :


 
C'est quoi le lien entre trickle et son problème? Il va pas demander à ses utilisateurs de taper cette commande :heink:
Il pourrait éventuellement les faire connecter dans un chroot cage qui l'execute automatiquement avant toute commande mais merci l'usina à gaz


il n'y a pas de lien direct mais :

Citation :


Il est possible de limiter une bande passante au niveau du routeur ou de la machine elle-même grâce au noyau. Mais nous allons nous intéresser à la limitation au niveau de l'application. Certaines applications (comme openssh) implémentent cette fonctionnalité directement :


donc il devrait démarrer 2 serveurs ssh sur 2 ports différents, le port22 pour ses users que l'on limite (soit en natif, soit iptables) en BP
et un second sur un autre port rien que pour l'admin avec no-limit.
si je dis une betise, que l'on m'explique :??:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed