[Ubuntu-QC] Un autre utilisateur essaie d'accéder à mon bureau

Alexandre Patenaude alexandre.patenaude at gmail.com
Mer 28 Mar 04:34:17 UTC 2012 

Yop!

2012/3/27 Gilbert Dion <gilbertdion at gmail.com>

> Correction: j'ai démarré ufw sur l'ordinateur auquel je veux me connecter,
> plutôt que sur celui à partir de celui à partir duquel je veux me connecter.
>
>
Oui, effectivement: UFW est à activer sur l'ordinateur à protéger (je vais
lâcher le gros mot: le serveur de bureau à distance). C'est l'ordinateur
qui est contrôlé qui doit être protégé. L'ordinateur qui contrôle (le
client de bureau à distance) ne devrait normalement pas recevoir de demande
de connexion de bureau à distance, puisqu'il ne s'offre pas dans ton réseau
local.

Quant à ta question plus haut: en entrant 192.168.0.*1*/24 dans ta règle de
pare-feu, la plage d'adresse s'est transformée en 192.168.0.*0*/24 --
est-ce normal? Je ne sais pas si UFW fait automatiquement la transposition
vers une adresse de réseau quand on lui entre une adresse d'hôte dans ce
cas précis, mais il semble bien que oui. Cela dit, ce que tu voulais
obtenir, c'était bien 192.168.0.*0*/24.

Il y a une différence entre créer une règle de pare-feu pour une adresse
d'hôte et une adresse de réseau:

   - sudo ufw allow proto tcp from *192.168.0.0*/24 to any port 5900
   Ici, on offre l'accès en bureau à distance à tous les ordinateurs dans
   ton réseau local. Soit: à toutes les adresses IP de 192.168.0.1 à
   192.168.0.254. Plus flexible, car il laisse passer tous les hôtes de ton
   réseau local: au fil des ajouts et des retraits à ton réseau local, tu
   n'auras aucune action supplémentaire à faire.

   L'inconvénient, c'est qu'il laisse passer tous les hôtes de ton réseau
   local: si ta voisine du dessous se connecte à ton réseau WiFi, elle devient
   un membre de ton réseau local, et si elle n'aime pas entendre ta musique à
   2h du matin (aussi bonne soit-elle), Mme ta voisine peut ouvrir une session
   de bureau à distance sur le poste en question et l'arrêter. Donc, utiliser
   cette option implique que tu effectues quand même un certain contrôle de
   ton réseau local.


   - sudo ufw allow proto tcp from *192.168.0.100* to any port 5900
   Ici, on offre l'accès en bureau à distance à un seul ordinateur: celui
   dont l'adresse IP est *192.168.0.100*. Tu remarques qu'il manque le
/24à la fin de l'adresse? C'est parce qu'on désigne un hôte précis, un
   ordinateur précis. Pas une plage d'adresses.

   Cette deuxième option est sûrement plus sécuritaire, car tu exerces un
   contrôle précis du ou des postes pour lesquels tu autorises un contrôle
   d'accès à distance. Disons que tu as 3 ordinateurs à la maison dont les
   adresses IP sont *192.168.0.100*, *192.168.0.101* et *192.168.0.102*: tu
   peux créer 3 règles de pare-feu pour autoriser uniquement ces
   ordinateurs-là à ouvrir des sessions de bureau à distance.


   - sudo ufw allow proto tcp from *192.168.0.100* to any port 5900
      - sudo ufw allow proto tcp from *192.168.0.101* to any port 5900
      - sudo ufw allow proto tcp from *192.168.0.102* to any port 5900

L'inconvénient, c'est que c'est moins flexible. En ajoutant des exceptions
sur une base d'hôte, tu précises explicitement sont autoriser à passer le
pare-feu; tous les autres sont systématiquement rejetés.


   - Un jour, tu arrives avec ton tout nouveau téléphone Android et tu te
      dis "Tiens, je vais contrôler mon PC-chaîne-stéréo avec mon
téléphone": ça
      ne passe pas, car tu as un nouvel hôte dans ton réseau local (ton
      téléphone), et aucune exception n'est précisé pour lui. Alors tu dois
      ajouter une exception aussi pour ton téléphone.
      - Le lendemain, ton fils vient te rendre visite, et avec son
      ordinateur portable, il souhaite aussi contrôler ton PC-chaîne-stétéo.
      Oups! ça ne passe pas non plus, car il n'y a pas d'exception de pare-feu
      pour son ordinateur. Tu dois ajouter encore une autre règle pour son
      ordinateur. (Et sans doute aussi la retirer à la fin de la journée, quand
      il rentre chez lui.)
      - Le surlendemain, c'est ta fille qui te rend visite! ... Alors là,
      stop! Si elle veux pitonner le PC-chaîne-stéréo, elle se lèvera et ira
      pitonner directement dessus!
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <https://lists.ubuntu.com/archives/ubuntu-quebec/attachments/20120328/3bbdaeb6/attachment.html>

Plus d'informations sur la liste de diffusion Ubuntu-quebec