著者: Yves Martin 日付: To: guilde 題目: Re: ssh et timeout
Selon Patrice KARATCHENTZEFF <patrice.karatchentzeff-alplog@???>:
> > Donc ton problème implique trois machines:
> > . A: client qui lance un scp entre B et C
> > . B: serveur ssh que A contacte - avec connection cliente scp vers C
> > . C: serveur ssh que B contacte
> >
> > B est configuré pour l'agent forwarding
> > A contient les clefs publique/privée
> > B et C contiennent la clef publique
>
> oui, sauf que B n'est pas configuré particulièrement pour l'agent
> forwarding.
Cela signifie que tu as du copier ta clef privée dans le .ssh de ton
utilisateur sur B.
Avec l'agent forwarding, tu peux te contenter de la clef privée sur
A et uniquement les clefs publiques sur B et C. C'est plus sécurisé
vis-à-vis de B.
> > Question subsidiaire: il est où le firewall ? entre A et B ou B et C ?
>
> B et C
Comme la copie s'effectue entre B et C, il n'y a aucune raison que le
firewall coupe la connection car il y a un traffic manifeste. La question
aurait pu se poser entre A et B car un scp en mode "quiet" fait qu'il
n'y a aucun traffic 'stdout' en retour vers 'A' lors de la copie...
> non. Juste des « lost connection » de ssh...
Fire ! (wall)
> Parce que je dois faire comme cela (règlement interne). B n'a pas le
> droit d'initier la connexion.
C'est une bonne raison. Mais en pratique c'est bien la machine B qui ouvre
une connection vers C, sur l'ordre de la machine A mais quand même...
Le fait d'avoir copié ta clef privée sur B (si je ne me suis pas trompé)
fait que la machine B peut initier la connection malgré tout - en cas
de prise de "pouvoir" sur B, qq'un peut ouvrir une connection entre B et C.
Pour résoudre ce défaut de sécurité,
je te propose d'utilier l'agent forwarding !
> Mais bon, cela reste du bricolage...
Sincèrement désolé. J'ai épluché les docs et le bouquin en question.
Ton problème provient des règles du firewall qui coupe les connections
ouvertes depuis un moment - même avec un traffic intense. Ce n'est pas
une histoire de timeout ou de keepalive du côté de ssh (puisqu'il y a
du traffic, ces options n'y changeront rien).
Il faudrait configurer le firewall pour autoriser des connections plus
longues entre ces deux machines - éventuellement sur le créneau horaire
qui te concerne uniquement - si le logiciel permet une telle règle...