Matériel: Raspberry Pi 4B à la maison
**Version de YunoHost: 11.1.12.2 (stable) J’ai accès à mon serveur : Par la webadmin && En SSH que depuis mon réseau local.
**dans un contexte particulier sans aucune modifications particulières de mon instance
Je précise que quand je me connecte à l’interface web de yunohost tout fonctionne vraiment très bien, idem en SSH local et sftp local.
Je souhaiterais permettre à une Co-stagiaire d’avoir accès à une instance de My_webapp pour qu’elle puisse commencer à travailler sur PHP.
Problème : quand je me connecte avec my_webapp@192.168.XX.XX tout est OK.
Par contre, quand je veux me connecter avec my_webapp@mondomain.fr, le serveur refuse la connexion.
Ennuyeux pour que ma co-stagiaire puisse travailler de chez elle.
Du coup, j’ai testé de me connecter avec mon compte admin en SSH avec admin@mondomaine.fr et le serveur refuse la connexion.
J’aperçois bien l’anticipation de faille de sécurité, mais je me demande comment je devrais faire si par exemple, j’étais hébergé sur un VPS ?
Donc ma question : Si c’est possible, comment se connecter en SSH depuis l’extérieur svp ?
Il faudrait créer un compte utilisateur à ta co-stagiaire en passant par exemple par la web-admin : https://ton_serveur/yunohost/admin/#/users et un clic sur Nouvel utilisateur
Puis ensuite ajouter cet utilisateur au groupe admin : https://ton_serveur/yunohost/admin/#/users, un clic sur Gérer les groupes et les autorisations, dans la section Administrateurs il suffit alors de cliquer sur Ajouter un utilisateur.
Elle pourra se connecter avec une formule du genre ssh copine@ton_nom_de_domaine_ou_IP
avec le mot de passe qui a été renseigner lors de la création de son compte en tant que nouvelle utilisatrice.
Attention car ta copine aura des droits administrateur sur l’ensemble du serveur
*Il s'agit d'un groupe spécial correspondant aux utilisateurs dits administrateurs. Les utilisateurs de ce groupe ont, pour faire simple, tous les droits sur le serveur (modification, création, ajout et suppression). Ils peuvent donc accéder à l'administration en ligne de YunoHost (panel web), se connecter au serveur avec SSH et utiliser la commande sudo. Ils recevront également les courriels envoyés à root@, admin@, admins@, tels que les notifications de diagnostic. Vous ne devriez ajouter dans ce groupe que des personnes en qui vous avez absolument confiance ! *
J’ai trouvé pourquoi je n’arrivais pas me connecter que depuis mon réseau local (j’ai honte) :
Par mesure de sécurité, j’avais fermé le port 22 de ma box internet
Lors de l’installation d’une nouvelle instance de my_webapp, je lui passerai l’identifiant et le MDP.
L’appli est très bien faite, elle n’aura accès qu’à son espace normalement.
Je vais tester et je clôturerai le sujet.
Encore merci.
C’est plutôt une bonne chose: autant utiliser un autre port que le 22, au moins côté box (en redirigeant sur le 22 de ton serveur, ou un autre). C’est celui qui est le plus attaqué par les bots, el changer permettra de réduire simplement le nombre d’attaque (attention : il est très facile de faire un scan pour trouver les ports ouverts, ça n’éloigne que les attaques “bêtes”).
Tu peux le changer pour un autre port libre, par exemple (totalement au hasard) le 22222.
Ensuite en ssh, on ajoute l’option -p NUMERO_DU_PORT à la commande.
J’ai pu créer l’espace de travail pour la co-stagiaire. Elle va pouvoir bosser PHP.
C’est vraiment fantastique : instance supplémentaire et user directement incrémentée et Renommée, les droits qui vont bien. Génial !
Pour le fait de changer les ports, je ne tiens pas à polémiquer, mais je sais que ça prend 3 secondes pour scanner les ports ouvert. Alors je me dis a quoi bon.
Pour se défendre contre une attaque ciblée oui, ça ne sert pas à grand chose, mais souvent le changement de port SSH est pour noyer le poisson pour les attaques automatiques qui se contentent d’attaquer le port 22 (pour plein de raison, je vais pas m’étendre)
Souvent le gain est moins dans la sécurité effective que de ne pas avoir des logs remplis de tentative d’authentication échouées par des bots, donc bref à toi de voir si ça t’importe ou pas
