# [SSH] Rech qq conseils sur control à distance sécurisé

## knoax

Bonjour tous le monde

Je recherches quelques idées/conseils/résultats d'expérience sur le control à distance de poste linux en mode graphique et sécurisé.

J'ai actuellement 2 postes en gentoo.

Mais j'ai un seul écran. J'en ai marre de débrancher mon cable d'écran pour le mettre sur le poste dont j'ai besoin.

Je me suis dis qu'il serait possible via le reseau de controler mon second PC sans écran avec le premier Pc avec Ecran.

Alors je me suis donné les objectifs suivants:

Pouvoir controler un poste 

      - linux via un autre poste linux

      - linux via un autre poste windows

      - windows via un autre poste linux

      - windows via un autre poste windows

(heureusement que j'ai pas de mac à la maison ^_^)

J'ai fais quelques recherches sur le net, et on recommande 

- VNC pour le controle à distance

- openssh pour la sécurité

Il y a quelques années j'avais utilisé VNC pour controler un poste windows via un autre poste windows et le serveur vnc du poste controlé tombait souvent.

Je me demande si depuis, VNC s'est amélioré (je suppose) ou est ce qu'il n'existe pas d'autres softs mieux que VNC

Si vous avez des conseils ou des retours d'expérience je serai ravi de les connaitre

Merci d'avance de votre aide

Knoax

----------

## Temet

 *Quote:*   

> - linux via un autre poste linux
> 
> - linux via un autre poste windows 

 

Freenx !!!!

Ca explose VNC, même quand t'es pas en réseau local, t'as presque l'impression d'être sur le PC disant.

 *Quote:*   

> - windows via un autre poste linux
> 
> - windows via un autre poste windows

 

Hum, ptet RDP, je sais pas si c'est sécurisé ce truc.

----------

## El_Goretto

VNC n'est pas indiqué dans tous les cas, puisqu'il se raccroche à une session graphique "physique". Or, si tu veux faire de l'admin pendant que madame surfe, c'est mort. Sans compter que c'est une usine à gaz si on veut configurer le truc de façon propre avec du SSH automatique tout çà...

Comme je suppose que tout se fait sur ton LAN, on est pas obligé de chiffrer les flux, on se contentera de filtrer les accès.

Dans la série "plus élégant, plus efficace", je citerai les autres prises de main distantes graphique:

Machine à contrôler: 

*windows: activer "bureau distant", le truc dans les propriétés du poste de travail. Ca active le RDP/TS. Si t'es un gars préoccupé par la sécu (ce dont je ne doute pas  :Wink: ) tu as un firewall sur ton poste ouinouin (genre Kerio/Sunbelt), donc tu pourras n'autoriser que ton poste LAN à venir se connecter. Attention, 2 sessions distantes max simultannées.

*linux: rien (affichage X déportée par SSH pour chaque appli), ou bien XDMCP activé sur ton KDM/GDM/autre

Prise de main depuis:

*windows: client "bureau distant" pour du RDP/TS, xming pour applis linux et XDMCP

*linux: client rdesktop ou autre pour RDP/TS, rien (via ssh -X) ou xnest pour XDMCP

Ca marche impeccable, c'est bien plus réactif que du VNC même en LAN et optimisé.

----------

## knoax

Je suis tjs surpris de la rapidité des réponses dans ce forum (je trouve ça génial)

Bref merci à Temet et El_Goretto pour leur avis

El_Goretto bien que tu me connaisses un peu tu n'as pas tout à fait tord du fait que je souhaite faire ça sur mon LAN.

Mais je souhaite aussi controler (avec accrochage de session graphique) un poste windows (et dans le futur linux) via le net.

En effet ma mère s'est mise à l'informatique et je vous passe les détails sur tous les pbs qu'elle rencontre.

Afin d'éviter tout déplacement inutile, j'aimerai bien aussi controler à distance et de manière sécurisé un poste windows.

Et je sens que ma mère va aussi passer sous linux donc j'anticipe aussi le controle d'un poste linux via le net et bien sur tjs de manière sécurisé.

Si vous avez des propositions, conseil je suis preneur ^_^

Sinon petite question pour EL_Goretto

Tous les postes sur mon LAN n'ont pas de firewall (c'est po bien)

La raison est que tous mes PCs passent par un routeur muni d'un firewall pour aller sur le net alors je ne voyais pas l'utilité d'ajouter un second firewall pour chaque poste.

Il est vrai qu'il y a tjs le risque qu'un PC soit infecté et contamine les autres. Mais pour le moment aucun PC ne se parle entre eux. bien sur les postes windobien sont muni de l'antivirus avast mais rien coté linux.

Y a-t-il d'autres risques de ne pas avoir en plus un firewall supplémentaire sur chaque poste?

Encore merci pour vos conseils, je vais étudier tous les softs que vous me proposez.

Knoax

----------

## El_Goretto

Ok, ben pour les linux, un coup de tunnelling ssh à la mano pour faire transiter les protocoles non sécu à travers le net (comme XDMCP) et hop. Mais dès que le poste à contrôler est un windows, ça se complique. Oui, ya toujours la solution serveur openssh sur du cygwin, mais bon, s'il faut que maman lance le truc en ligne de commande pour que tu te connectes... Désolé, pour du Windows, je n'ai pas d'idée, je pars du principe qu'un coup de tightvnc avec le serveur lancé uniquement à la demande, ça suffit le temps de la manip' de SAV. Je ne pense pas qu'on puisse laisser tourner en permanence un service de prise de main distante sur un windows et rester serein. Enfin c'est toi qui vois, si tu es un fils indigne ou non  :Wink: 

Ceci dit, tous les PC ouinouin devraient avec leur firewall, toujours... même en LAN. Kerio/Sunbelt étant gratos, on aurait tort de ce priver de ce produit efficace et léger. Ca permet aussi de filter ce qui sort (genre les petites features non documentées made in krosoft, WMP en tête).

----------

## Oupsman

 *El_Goretto wrote:*   

> 
> 
> *windows: activer "bureau distant", le truc dans les propriétés du poste de travail. Ca active le RDP/TS. Si t'es un gars préoccupé par la sécu (ce dont je ne doute pas ) tu as un firewall sur ton poste ouinouin (genre Kerio/Sunbelt), donc tu pourras n'autoriser que ton poste LAN à venir se connecter. Attention, 2 sessions distantes max simultannées.
> 
> 

 

 :Shocked:   :Shocked:   :Shocked:  Sous XP, la prise de controle à distance verrouille la console et tu ne peux avoir qu'une session maxi (c'est sous 2000/2003/2008 que tu peux avoir 2 sessions distantes, 3 avec la console à laquelle tu peux accéder sous 2003)

Quand au troll^Wdébat firewall sur le lan, je n'ai pas de firewall sur mes PC XP/Vista et je ne m'en porte pas plus mal : ça consomme des ressources pour que dalle. Mais je n'utilise pas WMP et quand j'installe un nouveau soft, un p'tit coup de tcpview permet de savoir ce qui se passe ... Mais sur le portable de ma femme, comodo tourne tout le temps. Et c'est aussi mieux vu ce qu'elle fait dessus   :Twisted Evil: 

----------

## nico_calais

Pour le windows, l'ideal serait d'avoir une machine sous linux qui fasse office de parefeu et routeur. De là pourrai aussi en faire un serveur openvpn et ainsi monter un tunnel entre ton poste et le serveur openvpn.

Tu configures le parefeu pour laisser passer les ports qui vont bien (openvpn + prise de contrôle à distance). Tu n'as plus besoin de te preocuper de la sécurité au niveau du logiciel de prise de contrôle. penvpn s'en charge à la place  :Wink: 

Bon, sachant que dans 99% des cas c'est pas realisable, tu peux peut être chercher s'il existe un serveur vpn gratuit pour windows. Je suppose qu'il y a une box qui fait office de routeur/pseudo parefeu donc ce sera à la box d'ouvrir les ports adequats.

Un truc de ce genre peut le faire.

----------

## El_Goretto

nico_calais: très bonne idée, ya toujours openVPN et sa GUI sous Windows  :Smile: 

Oupsman: au temps pour moi, indeed, je ne pensais pas que XP était encore plus limité que 2003... Pardon aux familles tout çà  :Smile: 

----------

## nico_calais

 *Quote:*   

> Ceci dit, tous les PC ouinouin devraient avec leur firewall, toujours... même en LAN. Kerio/Sunbelt étant gratos, on aurait tort de ce priver de ce produit efficace et léger. Ca permet aussi de filter ce qui sort (genre les petites features non documentées made in krosoft, WMP en tête).

 

Si tu as un parefeu digne de ce nom, il fait lui même le boulot si tu bloques tout de base et que tu n'ouvres uniquement ce que tu as besoin. 

C'est d'ailleurs interressant de voir les logs que génère le parefeu. Au moment ou j'avais un mac, il polluait plus que le windows ^^

 *Quote:*   

> nico_calais: très bonne idée, ya toujours openVPN et sa GUI sous Windows 

 

Arff je savais pas qu'il existait sous windows  :Smile: 

Mais sinon, il reste aussi la possibilité de mettre un tcho linux à la place du windows   :Rolling Eyes: 

----------

