[Ubuntu-QC] Un autre utilisateur essaie d'accéder à mon bureau

Gilbert Dion gilbertdion at gmail.com
Mer 28 Mar 13:30:20 UTC 2012 

Merci, éminent pédagogue! J'ai tout compris!

Gilbert

Le 28 mars 2012 00:34, Alexandre Patenaude
<alexandre.patenaude at gmail.com>a écrit :

> Yop!
>
> 2012/3/27 Gilbert Dion <gilbertdion at gmail.com>
>
>> Correction: j'ai démarré ufw sur l'ordinateur auquel je veux me
>> connecter, plutôt que sur celui à partir de celui à partir duquel je veux
>> me connecter.
>>
>>
> Oui, effectivement: UFW est à activer sur l'ordinateur à protéger (je vais
> lâcher le gros mot: le serveur de bureau à distance). C'est l'ordinateur
> qui est contrôlé qui doit être protégé. L'ordinateur qui contrôle (le
> client de bureau à distance) ne devrait normalement pas recevoir de demande
> de connexion de bureau à distance, puisqu'il ne s'offre pas dans ton réseau
> local.
>
> Quant à ta question plus haut: en entrant 192.168.0.*1*/24 dans ta règle
> de pare-feu, la plage d'adresse s'est transformée en 192.168.0.*0*/24 --
> est-ce normal? Je ne sais pas si UFW fait automatiquement la transposition
> vers une adresse de réseau quand on lui entre une adresse d'hôte dans ce
> cas précis, mais il semble bien que oui. Cela dit, ce que tu voulais
> obtenir, c'était bien 192.168.0.*0*/24.
>
> Il y a une différence entre créer une règle de pare-feu pour une adresse
> d'hôte et une adresse de réseau:
>
>    - sudo ufw allow proto tcp from *192.168.0.0*
>    /24 to any port 5900
>    Ici, on offre l'accès en bureau à distance à tous les ordinateurs dans
>    ton réseau local. Soit: à toutes les adresses IP de 192.168.0.1 à
>    192.168.0.254. Plus flexible, car il laisse passer tous les hôtes de ton
>    réseau local: au fil des ajouts et des retraits à ton réseau local, tu
>    n'auras aucune action supplémentaire à faire.
>
>    L'inconvénient, c'est qu'il laisse passer tous les hôtes de ton réseau
>    local: si ta voisine du dessous se connecte à ton réseau WiFi, elle devient
>    un membre de ton réseau local, et si elle n'aime pas entendre ta musique à
>    2h du matin (aussi bonne soit-elle), Mme ta voisine peut ouvrir une session
>    de bureau à distance sur le poste en question et l'arrêter. Donc, utiliser
>    cette option implique que tu effectues quand même un certain contrôle de
>    ton réseau local.
>
>
>    - sudo ufw allow proto tcp from *192.168.0.100* to any port 5900
>    Ici, on offre l'accès en bureau à distance à un seul ordinateur: celui
>    dont l'adresse IP est *192.168.0.100*. Tu remarques qu'il manque le /24à la fin de l'adresse? C'est parce qu'on désigne un hôte précis, un
>    ordinateur précis. Pas une plage d'adresses.
>
>    Cette deuxième option est sûrement plus sécuritaire, car tu exerces un
>    contrôle précis du ou des postes pour lesquels tu autorises un contrôle
>    d'accès à distance. Disons que tu as 3 ordinateurs à la maison dont les
>    adresses IP sont *192.168.0.100*, *192.168.0.101* et *192.168.0.102*:
>    tu peux créer 3 règles de pare-feu pour autoriser uniquement ces
>    ordinateurs-là à ouvrir des sessions de bureau à distance.
>
>
>    - sudo ufw allow proto tcp from *192.168.0.100* to any port 5900
>       - sudo ufw allow proto tcp from *192.168.0.101* to any port 5900
>       - sudo ufw allow proto tcp from *192.168.0.102* to any port 5900
>
> L'inconvénient, c'est que c'est moins flexible. En ajoutant des exceptions
> sur une base d'hôte, tu précises explicitement sont autoriser à passer le
> pare-feu; tous les autres sont systématiquement rejetés.
>
>
>    - Un jour, tu arrives avec ton tout nouveau téléphone Android et tu te
>       dis "Tiens, je vais contrôler mon PC-chaîne-stéréo avec mon téléphone": ça
>       ne passe pas, car tu as un nouvel hôte dans ton réseau local (ton
>       téléphone), et aucune exception n'est précisé pour lui. Alors tu dois
>       ajouter une exception aussi pour ton téléphone.
>       - Le lendemain, ton fils vient te rendre visite, et avec son
>       ordinateur portable, il souhaite aussi contrôler ton PC-chaîne-stétéo.
>       Oups! ça ne passe pas non plus, car il n'y a pas d'exception de pare-feu
>       pour son ordinateur. Tu dois ajouter encore une autre règle pour son
>       ordinateur. (Et sans doute aussi la retirer à la fin de la journée, quand
>       il rentre chez lui.)
>       - Le surlendemain, c'est ta fille qui te rend visite! ... Alors là,
>       stop! Si elle veux pitonner le PC-chaîne-stéréo, elle se lèvera et ira
>       pitonner directement dessus!
>
>
> --
> Ubuntu-quebec mailing list
> Ubuntu-quebec at lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
>
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <https://lists.ubuntu.com/archives/ubuntu-quebec/attachments/20120328/4c67255e/attachment.html>

Plus d'informations sur la liste de diffusion Ubuntu-quebec