Problème de contrôle à distance par Gitso

@maxamoryg : Je pense qu'il faut déjà s'assurer que toutes les conf Gitso sont d'aplomb. Ce dont va s'acquitter @lonux .
Et même si Gitso n'est plus supporté mais que dans le cas présent il remplit ses fonctions on peut temporairement s'en accommoder.
Et puis la mise en place des clés ssh risque de pas être triviale pour tous les intervenants ainsi que la mise en place de l'export display ! Ca peut faire l'objet d'un excellent sujet d'exercices :sunglasses:

Merci les gars !
@mle Comme c'est moi qui avait tapé l'adresse IP dans le message envoyé, il n'y avait pas de caractère parasite en fin de ligne.
@maxamoryg Si les manipulations de mise en place des clés ssh sont compliquées (d'après @mle ), je préfère en effet rester sous Gitso pour l'instant. J'ai passé 1/2h au téléphone pour lui dire comment faire un copier/coller avec la souris. Imagine le reste !!
Dans un premier temps, j'essaierai à nouveau la connexion avec ma sœur pour m'assurer que tout est ok du côté de ma box.
Je vous tiens au courant.

@lonux pour en revenir à ton souci (maintenant que je peux te répondre). Vu que tu as déjà un accès via SSH, les manips pour mettre des clés en place ne seront pas compliquées. D'ailleurs, il ne me paraît pas très safe d'avoir un accès SSH qui fonctionne sans clé de cryptage. Si aujourd'hui, l'accès au PC de tes parents est ouvert au travers d'Internet avec un simple mot de passe, ça me paraît très risqué ! Il faudrait au minimum mettre en place un fail2ban voir ICI

Pour la prise de contrôle en graphique, sincèrement je pense que Gitso ne peut plus être considéré comme un solution viable. Il nous reste donc les protocoles VNC ou FreeNX (pour le libre, en proprio il y a TeamViewer ou RDP...mais je n'ai rien dit hein :P).

Il existe une solution libre pour faire fonctionner ces protocoles en les encapsulant dans un service web (ce qui évite de se prendre la tête avec les pare-feu). Elle s'appelle Guacamole et elle est proposée par la fondation Apache. J'en ai entendu beaucoup de bien, mais je ne l'ai jamais utilisé. Je vais tâcher de me renseigner et d'essayer de maîtriser un peu d'ici la prochaine réunion ;)

Voir un tuto ICI

@lonux Quand je parlais d'un caractère parasite c'est plus du côté de la conf Gitso de tes parents lors du copier-coller de ce que tu as transmis par mail.

Sans vouloir jouer le trouble fête, je rebondis sur le post d'hier de Laurent. Effectivement, on ne parle plus du tout de cours Linux sur ce forum... les problèmes avec Gitso, passe encore, j'arrive à comprendre, mais je me tape des mails en langue étrangère depuis une semaine entre Maxence et Maurice sur des trucs dont je n'ai vraiment pas la moindre idée de pourquoi c'est faire et comment ça marche. Y at-til un administrateur de ce bazar qui pourrait résoudre ce problèmes ? Par avance, merci ! Le nul de service.

Salut Eric, pour te répondre

Y at-til un administrateur de ce bazar qui pourrait résoudre ce problèmes ?

Nous étions bien conscients et c'est désormais chose faite avec ce nouvel espace Framavox mieux structuré. Framavox est aussi une découverte pour nous. Nous n'en maîtrisons pas encore toutes les fonctionnalités.

on ne parle plus du tout de cours Linux sur ce forum... les problèmes avec Gitso, passe encore, j'arrive à comprendre, mais je me tape des mails en langue étrangère depuis une semaine entre Maxence et Maurice sur des trucs dont je n'ai vraiment pas la moindre idée de pourquoi c'est faire et comment ça marche

Là en revanche, je trouve ton propos quelque peu excessif et hors-sujet. Il n'y a eu que 2 discussions dans « Cours Linux », celle initiée par @jeandesbruyeres sur les droits utilisateurs et permissions et celle sur Gitso par @lonux

Entre ces 2 discussions, c'est justement celle sur Gitso qui n'avait pas sa place dans espace censé être dédié aux cours. @lonux s'en était d'ailleurs rendu compte lui-même puisque c'était bien celle-ci qu'il visait dans son post sur l'organisation du Framavox.

La discussion en « langue étrangère » correspond donc à celle de @jeandesbruyeres sur les droits et permissions. Or celle-ci relève bien d'un cours que je me suis efforcé de rendre concret, direct et accessible. Avec un minimum d'éléments théoriques et une visée très pratique. J'y ai passé du temps pour que ça ne soit pas du chinois justement. J'ai demandé régulièrement au principal intéressé s'il comprenait bien la démarche et les explications. Justement, @jeandesbruyeres a réussi à résoudre son problème et même à résoudre un autre problème similaire sur une autre machine sans même que j'intervienne. Pour moi l'objectif a été atteint.

En revanche, c'est vrai que c'était un cours quasiment individuel en apportant la théorie nécessaire pour résoudre un problème particulier rencontré par un adhérent en particulier. Je suis conscient aussi que ma rédaction doit s'améliorer, mais pour ça je vais avoir besoin de temps et d'expérience.

Je conçois parfaitement que tu puisses ne pas trouver d'intérêt à la discussion en question. Framavox te donne la possibilité de désactiver les notifications par mail pour cette discussion en particulier. Voici comment faire (captures d'écran jointes) :

1. cliquer sur la petite flèche qui pointe vers le bas tout en haut de la conversion ;
2. dans le menu, choisir « Paramètres e-mail »
3. choisir les paramètres que tu souhaites.

Pour conclure sur une note positive, je te remercie pour les remarques pertinentes que tu as faite lors de la réunion de février et comme tu le sais que je partage et soutiens pleinement. C'est ausssi quelque chose dont nous étions parfaitement conscients avec Richard et Stéphane, nous en avions déjà discuté. Les choses vont se mettre en place petit à petit, mais ça va prendre du temps pour trouver la bonne formule. 2018 sera l'année de découverte et d'essai. Après tout le « droit à l'erreur » est dans l'air du temps ;)

La réunion du 16 mars où malheureusement tu ne pouvais pas être présent, m'a paru bien plus cohérente et captivante pour les personnes présentes que les précédentes (je laisserai le soin aux intéréssés de confirmer).

On va y arriver tous ensemble ! :D

Merci Lonux Grâce à toi, j'ai vu que ce n'était pas compliqué de déplacer une discussion à partir de l'ancien forum !

Oui merci @lonux, cependant même en tant qu'admin, je ne peux pas le faire. Il faut que la personne à l'origine de la discussion soit présente dans les deux groupes. C'est donc à elle d'importer la discussion d'origine.

@jeandesbruyeres, je verrais avec Richard et Stéphane, mais nous travaillons sur un autre support pour les cours. Pour l'instant, je ne pense pas créer un nouveau sous-groupe « Cours Linux »

@maxamoryg Tu parles de protocoles mais pas de soft.

Remmina serait-il une solution ? Le paquet existe facilement avec Ubuntu et il est dans les Backport Debian.
https://github.com/FreeRDP/Remmina/wiki

@richard2 Oui et c'est intentionnel. Remmina n'est qu'un client pour utiliser les protocoles VNC, SSH, RDP ou encore SFTP. En soi, installer Remmina ne règlera pas le souci de @lonux.

Dans un premier temps, ce dont il a besoin c'est mettre en place un serveur VNC, RDP ou FreeNX pour pouvoir contrôler à distance le PC de ses parents. La question du client se posera après, quand le protocole aura été choisi et le serveur mis en place ;)

Mais sinon tu as raison, Remmina est pas mal du tout. Je l'utilisais à une époque ça permettait d'avoir un tout en un.

J'ai pu installer NoMachine sur une base Debian 9 même si cette version n'est pas listée sur le site. Il faudrait faire un test entre nos 2 pc un soir.

Compliquée cette affaire. Et NoMachine, ça a l'air simple.
https://www.nomachine.com/fr/mise-en-route-de-nomachine

Pour le coup c'est vous qui parlez maintenant une langue étrangère ! Moi sur ma table, j'ai cote à cote "reboot" (le papa de Grotera) et "ordiblanc" (Demitera) et je joue de la clé USB pour passer mes fichiers de l'un à l'autre ;-)

@jeandesbruyeres héhé mais pour ça aussi on te trouvera bien une solution ! Tu peux ouvrir une discussion séparée à ce sujet si tu veux :)

Bonjour tout le monde !

@maxamoryg et @richard2 merci les gars pour vos réponses. Je pense d'autant plus qu'un tel service serait le bien venu pour tout ceux étant déjà sous GNU/Linux ou s'y mettant et voulant aider un tiers qui veux s'y mettre. C'est très souvent ce qui freine les gens : "et si ça marche pas et que t'es pas là pour m'aider ?" Il faudrait (et je pense qu'on est bien parti !) trouver une configuration stable et sécurisée (serveur, client, clé...) et ensuite mettre tout ça noir sur blanc, enfin pixel noir sur pixel blanc sur le site. Qu'en pensez-vous ?

Il faut dans un premier temps trouver le logiciel. Il est vrai que Gitso n'étant plus maintenu depuis plusieurs années, il faudrait en choisir un autre. En outre il utilise le protocole vnc qui je crois n'est pas sécurisé de base (mais peut le devenir en mettant les mains dans le cambouis !). À son crédit il a néanmoins l'avantage de limiter les manipulations du côté de l'ordinateur dépanné (ce qui est une bonne chose étant donné que le dépanné n'a pas forcement les compétences pour le faire).

Tant que j'y pense, le dépanné est toujours serveur et le dépanneur client ?

@maxamoryg Tu dis qu'il faut utiliser des clés avec le protocole ssh, mais je pensais qu'il était sécurisé de base ?

Il faut d'abord se fixer sur un protocole, non ? vnc, ssh ...
Ensuite choisir les logiciels serveur/client, me trompe-je ?

Oui @lonux, nous sommes bien d'accord, c'est clairement un service très attendu ! Tu as parfaitement raison, il faut définir l'usage et le protocole en premier et le soft va suivre. X2Go a l'air d'être une solution assez simple pour ce que tu veux faire. Rien n'empêche d'avoir un accès SSH en plus et je te le conseille vivement.

Pour la sécurité de SSH, il faut distinguer 2 choses. En soi, le protocole SSH est sécurisé dans le sens où l'échange entre les 2 machines est crypté . En revanche, ton mode de connexion à ton serveur SSH, c'est-à-dire par simple identifiant et mot de passe, lui n'est pas sécurisé. C'est acceptable sur un réseau local, ça l'est beaucoup moins sur un serveur avec un accès ouvert au travers d'Internet, surtout si tu as laissé les paramètres par défaut de SSH et si tu n'as pas de sécurité supplémentaire de type DenyHosts ou Fail2ban.

Les explications

Par défaut SSH s'exécute sur le port 22. Le premier réflexe d'un pirate est donc de mettre en place des programmes qui vont scanner les IP présentes sur le web avec le port 22 ouvert. Ensuite, le programme va tester plusieurs identifiants et mot de passe jusqu'à essayer de trouver le bon. Par défaut SSH coupe la connexion après 3 tentatives infructueuses mais rien n'empêche de recommencer. Au bout d'un moment, la machine fini par deviner les bons identifiants et bien souvent le mot de passe de l'utilisateur est celui qui permet d'appeler sudo etc...

Dès que tu as un serveur SSH ouvert, c'est mécanique, il y a des tentatives dessus ! Va voir les logs tu verras, plusieurs tentatives de connexion en tant que root depuis des IP distantes. Ça m'avait sidéré la première fois ! DenyHosts ou Fail2ban corrigent ce défaut, ils analysent les logs de SSH et emprisonnent les IP qui ont eu trop de tentatives de connexions infructueuses.

Cependant la meilleure sécurité reste l'authentification par clés. Le principe est simple, tu génères une paire de clés de cryptage :
* la première est publique et reste stockée sur le serveur ;
* la seconde est privée, elle est stockée sur ta machine (si besoin, tu peux créer plusieurs clés privées)

Lorsque tu te connectes, le serveur ne te demandera pas de mot de passe mais vérifiera que la machine cliente possède bien la clé privée associée à la clé publique. Sinon, il rejette la connexion. C'est la meilleure des sécurité.

@richard2 NoMachine est propriétaire, FreeNX est son alternative libre. En propriétaire, il y a encore plus simple : TeamViewer (je l'utilise hélas très/trop régulièrement avec ma famille...)

Vu pour NoMachine. J'ai aussi utilisé Teamviewer, c'est très pratique mais qu'est-ce qui transite par ce site, mystère.

Au moins, c'est une solution européenne (Allemande). Les normes européennes sur la confidentialité et la protection des données personnelles s'appliquent c'est déjà ça.
Il me semble que c'est assez sécurisé car ils utilisent un système de clé publique/privé RSA à 2048 bits pour l'authentification. La session est quant à elle chiffrée avec de l'AES 256 bits. Donc même les admins de TeamViewer ne sont pas en mesure de déchiffrer le contenu de la session. Mais, bref, c'est du propriétaire donc...n'en parlons plus ! :P

@lonux, si j'ai le temps dans la semaine je ferais quelques tests sur mes machines perso, pour essayer de te trouver la solution libre qui va bien. Jusqu'à maintenant, j'utilise VNC à travers SSH pour manipuler mon HTPC. Ça fonctionne assez bien, mais j'ai peur que sur de l'accès distant ça soit très lent :/

Salut, j'ai testé X2Go sur mon HTPC. Ça fonctionne très bien et sa se sécurise à travers SSH. En revanche, je ne suis pas convaincu que ça soit une solution d'assistance à distance.

Il faut en effet distinguer deux choses :
* la télémaintenance : dans la quelle tu ouvres un bureau distant en graphique pour effectuer des tâches d'administration ou de manipulation, sans que l'utilisateur derrière l'écran en ait conscience ;
* ** la téléassistance** : dans laquelle tu visualises l'écran de l'utilisateur pour le guider et le dépanner.

En dehors de TeamViewer et de VNC, pour l'instant, je ne sais pas mettre en place de la téléassistance via une solution totalement libre car j'ai toujours fait de la télémaintenance ou utiliser TeamViewer pour dépanner ma famille. Si tu veux de la téléassistance libre, je vais avoir besoin de plus de temps pour t'apporter une réponse car je dois effectuer plusieurs tests.

Salut les gars,

En résumé, si j'ai bien compris
* on oublie Gitso (car pas sécurisé et plus maintenu);
* on oublie aussi Teamviewer (car propriétaire)
* le protocole ssh semble très bien pour la communication sécurisée ;
* il nous reste à trouver un logiciel client/serveur (X2Go, Remmina...).

C'est bien ça ?

Y-aurait-il d'autre protocole ? RDP, FreeNX, SFTP ont été cité plus haut. Sont-ils envisageables pour l'utilisation prévue ?
Je pense que si déjà on peut mettre en place une solution de télémaintenance, ce serait déjà pas mal. Si j'ai bien compris, la seul différence avec la téléassistance est que le dépanné ne voit pas ce que l'on fait en direct. On peut intervenir tout autant sur la machine (mise-à-jour du système, installation de logiciels...). C'est bien ça ?
@maxamoryg Ta configuration ssh/X2Go n'est-elle pas trop compliquée à mettre en place par la personne à dépannée ?

Hello mon @lonux, tu as tout compris (et ce n'est parce que t'es chez Free :) )
Tu as bien dit que tu avais déjà un accès SSH opérationnel non ? Du coup, les manipulations à effectuer ne seront pas trop compliquées pour la personne à dépanner puisque c'est toi qui va les réaliser ;)

La télémaintenance tu peux déjà le faire avec ton accès SSH (bon ok c'est qu'en ligne de commande, mais comme dit un bon vieux dicton « La ligne de commande c'est la vi (sic) »).

S'il est seulement question d'entretenir l'OS de tes parents, d'installer des programmes etc plutôt que de leur montrer le fonctionnement, X2Go pourra être la solution pour faire les choses en graphique.

Super !