« Discussion:Tunnels ethernet avec OpenSSH » : différence entre les versions
mAucun résumé des modifications |
m (privilege separation) |
||
Ligne 1 : | Ligne 1 : | ||
C'est un superbe article et j'ai cherché longtemps comment utiliser cette option de ssh pour dialoguer entre mon PC au boulot et mon PC à la maison ! J'ai juste trouvé la fin un peu imprécise (manquait l'adresse pointopoint pour que linux configure les routes automatiquement) et j'ai rajouté une petite section sur shorewall. Re-bravo et merci pour cette page ! :) | C'est un superbe article et j'ai cherché longtemps comment utiliser cette option de ssh pour dialoguer entre mon PC au boulot et mon PC à la maison ! J'ai juste trouvé la fin un peu imprécise (manquait l'adresse pointopoint pour que linux configure les routes automatiquement) et j'ai rajouté une petite section sur shorewall. Re-bravo et merci pour cette page ! :) | ||
== privilege separation == | |||
Bonjour, | |||
Il semble bien obligatoire de désactiver la séparation des privilèges. En effet, donner les bons droit sur /dev/net/tun ne suffit pas. SSH refuse d'ouvrir l'interface tun0 pour un problème de droit. En faisant un strace -f -p sur le serveur on trouve ça : | |||
10500 open("/dev/net/tun", O_RDWR|O_LARGEFILE) = 7 | |||
10500 ioctl(7, TUNSETIFF, 0xbfd797d0) = -1 EPERM (Operation not permitted) | |||
L'ouverture du device ne pose pas de problème, mais la création de l'interface tun0 ne peut se faire que en root. | |||
Une solution pourrait être de créer au préalable l'interface tun0 en root et ensuite l'utiliser avec un autre utilisateur. Je crois que UserModeLinux fournit des outils pour créer des interfaces TUN. A creuser. | |||
En tout merci pour cet article. Les docs sont inexistantes (à partir le README.tun des sources de OpenSSH) sur ce sujet. | |||
Cordialement, |
Version du 7 octobre 2006 à 11:46
C'est un superbe article et j'ai cherché longtemps comment utiliser cette option de ssh pour dialoguer entre mon PC au boulot et mon PC à la maison ! J'ai juste trouvé la fin un peu imprécise (manquait l'adresse pointopoint pour que linux configure les routes automatiquement) et j'ai rajouté une petite section sur shorewall. Re-bravo et merci pour cette page ! :)
privilege separation
Bonjour,
Il semble bien obligatoire de désactiver la séparation des privilèges. En effet, donner les bons droit sur /dev/net/tun ne suffit pas. SSH refuse d'ouvrir l'interface tun0 pour un problème de droit. En faisant un strace -f -p sur le serveur on trouve ça : 10500 open("/dev/net/tun", O_RDWR|O_LARGEFILE) = 7 10500 ioctl(7, TUNSETIFF, 0xbfd797d0) = -1 EPERM (Operation not permitted)
L'ouverture du device ne pose pas de problème, mais la création de l'interface tun0 ne peut se faire que en root.
Une solution pourrait être de créer au préalable l'interface tun0 en root et ensuite l'utiliser avec un autre utilisateur. Je crois que UserModeLinux fournit des outils pour créer des interfaces TUN. A creuser.
En tout merci pour cet article. Les docs sont inexistantes (à partir le README.tun des sources de OpenSSH) sur ce sujet.
Cordialement,