Nous devons ajouter les règles de filtrages de façon à déclencher une demande d'authentification pour toute connection vers ssh:
iptables -A OUTPUT -s 192.168.75.0/24 -p tcp --dport 22 -m state --state NEW --syn -j QUEUE iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT[1]
Nous devons ajouter les règles de filtrages de façon à déclencher une demande d'authentification pour toute connection vers ssh:
iptables -A OUTPUT -s 192.168.75.0/24 -p tcp --dport 22 -m state --state NEW --syn -j NFQUEUE iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT[2]
En premier lieu, il faut démarrer le service nuauth dans un terminal
nuauth -vvvvvvvvvEnsuite, nous démarrons
nufw -vvvvvvvvvdans un autre terminal.
Enfin, nous pouvons essayer de connecter un utilisateur (au sens nufw du terme). Sous Linux, ceci peut être fait par la commande :
nutcpc -d -H [NUAUTH IP]Entrez le login et le mot de passe d'un utilisateur.
Dans le terminal nuauth, vous devriez voir quelques chose comme:
user bill@nufw uses OS Linux, 3.0.10, #1 Tue Oct 19 23:51:32 CEST 2008Si votre configuration PAM utilise les fichiers shadow, nuauth pourra seulement authentifié l'utilisateur sous lequel il est lancé à moins d'être lancé en root. [3]
La connection SSH va déclencher la procédure d'authentification :
nufw reçoit un paquet de Netfilter :
[PID] Sending request for 1
nufw ouvre une connexion TLS vers nuauth :
[PID] Trying TLS connection
nuauth reçoit la requète de nufw :
** Message: Packet : ** Message: Connection : src=192.168.75.2 dst=192.168.75.2 proto=6 ** Message: sport=32848 dport=22
nuauth envoie une demande d'authentification au client en fonction de l'IP source :
** Message: need to warn client ** Message: sending request
nuauth reçoit la réponse du client :
** Message: User : ** Message: Connection : src=192.168.75.2 dst=192.168.75.2 proto=6 ** Message: sport=32848 dport=22 ** Message: OS : Linux 2.6.9 #1 Tue Oct 19 23:51:32 CEST 2004 ** Message: Application : /usr/bin/ssh
nuauth renvoie sa réponse à nufw :
Sending auth answer 1 for 1 on 0x42428482 ...
nufw renvoie le paquet dans le noyau :
[PID] Accepting 1
| [1] | Seuls les paquets SYN sont envoyés vers QUEUE. Ce n'est pas assez pour effectuer une journalisation avancée des activités utilisateur, mais c'est largement suffisant pour une authentification du trafic. |
| [2] | Seuls les paquets SYN sont envoyés vers NFQUEUE. C'est suffisant pour effectuer une journalisation avancée des activités utilisateur dans la mesure où les évènements liés aux connections seront automatiquement envoyés à nufw par Netfilter. Ceci suppose, notamment, que l'option CONFIG_IP_NF_CONNTRACK_EVENTS du noyau soit activée. |
| [3] | Avertissement: ne lancez JAMAIS nutcpc avec l'adresse [NUAUTH IP] égale à 'localhost' ou '127.0.0.1', et ce même si nuauth est installé sur la même machine. En effet, dans ce cas, les paquets envoyés à nuauth par le pare-feu proviendront de la machine (avec une adresse égale à, par exemple, 192.168.0.1) alors que nuauth attend pour l'authentification une adresse égale à 127.0.0.1. De ce fait, l'authentification échouera systématiquement. |