Comme annoncé, ce forum est passé en lecture seule au 1er janvier 2020. Désormais nous vous invitons à vous rendre sur notre nouvelle page communauté :
Image

A très bientôt !

Nouveau DNS jeedom

Retrouvez les informations officielles de Jeedom (nouvelle version, nouveaux lancements, tutos...)
nordix
Actif
Messages : 858
Inscription : 02 déc. 2014, 13:29

Re: Nouveau DNS jeedom

Message par nordix » 25 déc. 2015, 16:06

Le dns Jeedom, reste un accès distant , chiffré SSL certes, mais basé encore sur un mot de passe uniquement. Dans mon cas, j'ai mon propre VPN basé sur une plateforme Cisco ASA mais qui était à date aussi basé sur un mot de passe seulement. L'enjeu en fait en ce moment c'est plus la perte de ce mot de passe que de la confidentialité de l'information qui circule sur le réseau. J'aurai même préféré si c'était une contrainte, d'avoir un accès distant en clair mais qui ne soit pas basé sur un mot de passe, mais sur quelque chose d'aléatoire, non reproductible.

En entreprise, les accès VPN entre autres, et les applications sensibles, sont depuis longtemps basées sur une authentification multi-facteurs ou 2 facteurs si l"on veut, la plus connue étant RSA SecurID. Cette méthode d'authentification a cependant souvent été onéreuse et complexe à mettre en oeuvre.
On les appelle authentification multi-facteurs car basés sur un facteur de connaissance, tel que le mot de passe et un autre facteur de type que l'on possède (un jeton cryptographique comme RSA) ou un facteur que l'on est (empreinte digitale, de la rétine ;-) ). Les solutions les plus répandues étant de type 2 facteurs avec jeton cependant.
Depuis 3-5 années environ, ces solutions 2 facteurs (2FA en anglais ou 2 factors authentication), se répandent dans le milieu public et sont devenues carrément gratuites pour certaines. Et de plus en plus de gens les utilisent pour accéder à leur VPN à la maison, ou certaines applications exposées directement sur Internet. Il n y a plus d'inquiétude à avoir, si la plateforme est solide et sans vulnérabilités connues, car il est (quasiment) impossible de reproduite le mot de passe pour accéder à celui-ci.
Tout cela pour venir à voir si Jeedom ne pourrait pas intégrer nativement une telle méthode d'authentification, auquel cas, tout le mode aurait un accès distant et plus sécurisé encore que l'est le dns Jeedom. Fini les problèmes de bande passante et de lenteur, puisque accès direct de surcroit.

Il existe actuellement même des développements pour serveur nginx qui permettent d'effectuer une intégration très simple comme celui-ci:

https://github.com/gutschke/fido-u2f-nginx-lua , nécessite l'acquisition d'un jeton Fido à 10 euros max.

ou encore comme celle là plus universelle et totalement gratuite basée sur la plateforme Google authenticator et le module PAM:

https://github.com/google/google-authenticator

Bref, un plugin qui permettrait d'ajouter cette méthode d'accès à Jeedom et hop et voila un accès distant de niveau entreprise à sa plateforme de domo préférée ;-)

Dans mon cas, j'ai mis en place une méthode basée sur la plateforme gratuite pour usage personnel, DUO security (https://www.duosecurity.com/), ce qui donne ce login pour accéder à mon VPN et à Jeedom:
Screenshot 2015-12-25 at 10.04.57.png
Screenshot 2015-12-25 at 10.04.57.png (12.8 Kio) Consulté 827 fois
On constate la présence d'un 2nd password, qui est fourni par un jeton logiciel disponible pour toutes les plateformes de téléphone et qui fournit un code aléatoire.

Avatar de l’utilisateur
loic
Administrateur
Messages : 14862
Inscription : 01 févr. 2014, 16:21

Re: Nouveau DNS jeedom

Message par loic » 25 déc. 2015, 17:19

Bonjour,
Merci pour l'explication il y a déjà un sujet la dessus sur le forum, qui n'a rien à voir avec le vpn qui fait juste du passe plat. En effet il est bon de rapeller que le mot de passe dont tu parles n'est pas sur le vpn mais sur ton Jeedom directement.

Pour l'idée de base dont tu parles on ne l'écart pas juste pour l'instant nous n'avons ni les ressources pour la mettre en place ni les compétences techniques ni le temps mais sur du long terme il est prévu de pouvoir activer ce genre d'option.

Je tiens aussi que si le mot de passe dans Jeedom est fort le risque de piratage est proche de 0 du à la présence d'un fail to ban interne à Jeedom. Au final tu as la le même niveau de sécurité que du ssh qui est quand même réputé robuste malgré l'absence de double authentification.
Aide nous à t'aider : mets des logs, détaille ton soucis... Vous n'aurez aucune réponse de ma part si votre demande n'est pas détaillée (log, capture d'écran lisible...) ou si vous ne postez pas dans la bonne section

nordix
Actif
Messages : 858
Inscription : 02 déc. 2014, 13:29

Re: Nouveau DNS jeedom

Message par nordix » 25 déc. 2015, 22:12

Ah oui, j'ai pas vu le sujet.. je vais regarder, merci

Sinon la faiblesse des mots de passe actuellement ne tient pas du tout à leur complexité, car on peut utiliser un mot de passe de 200 lettres si ça nous chante, il en demeure pas moins qu'il peut-être volé par un trojan ou virus de type capteur de frappe.
La majeure partie des attaques contre les sites bancaires, les vols de carte de crédit, les serveurs, les accès VPN, se font maintenant par acquisition du mot de passe via un virus ou un phishing.
Je suis dans un cyber café ou chez moi sur un pc infecté par un trojan de ce type, j'accède au DNS de Jeedom, le mot de passe (et code usager) est dans la nature :-(

Avatar de l’utilisateur
loic
Administrateur
Messages : 14862
Inscription : 01 févr. 2014, 16:21

Re: Nouveau DNS jeedom

Message par loic » 26 déc. 2015, 11:40

Compliqué ça car on est en HTTPS donc vérification de l'hôte cible donc deja pas de man un middle. Ensuite Jeedom est protégé aussi des attaque type xss en interdisant au js l'accès aux cookies.
Aide nous à t'aider : mets des logs, détaille ton soucis... Vous n'aurez aucune réponse de ma part si votre demande n'est pas détaillée (log, capture d'écran lisible...) ou si vous ne postez pas dans la bonne section

eldoctor62
Actif
Messages : 1089
Inscription : 12 nov. 2014, 15:44

Re: Nouveau DNS jeedom

Message par eldoctor62 » 26 déc. 2015, 14:44

Les packs Community n'ont pas accès au DNS jeedom ?
Odroid C2
Razberry / RFXCOM / Teleinfo / MyFox HC2 / ESP8266
--
Just Have Fun

Avatar de l’utilisateur
loic
Administrateur
Messages : 14862
Inscription : 01 févr. 2014, 16:21

Re: Nouveau DNS jeedom

Message par loic » 26 déc. 2015, 14:46

Non il faut un service pack pour avoir accès au dns
Aide nous à t'aider : mets des logs, détaille ton soucis... Vous n'aurez aucune réponse de ma part si votre demande n'est pas détaillée (log, capture d'écran lisible...) ou si vous ne postez pas dans la bonne section

Avatar de l’utilisateur
mickeys
Actif
Messages : 3281
Inscription : 19 août 2014, 16:19
Localisation : Normandie

Re: Nouveau DNS jeedom

Message par mickeys » 26 déc. 2015, 15:22

loic a écrit :Non il faut un service pack pour avoir accès au dns
Mauvaise nouvelle pour moi ça dommage.
Et pour les dev c est possible ?. Genre un pack community dev.
Oui je sais on en veut toujours plus

Envoyé avec mon Tel et mes gros doigts

Avatar de l’utilisateur
loic
Administrateur
Messages : 14862
Inscription : 01 févr. 2014, 16:21

Re: Nouveau DNS jeedom

Message par loic » 26 déc. 2015, 15:49

Non désolé le service dns est vraiment coûte assez cher pour nous plus que ce qu'on pensé on ne peut donc malheureusement l'offrir...
Aide nous à t'aider : mets des logs, détaille ton soucis... Vous n'aurez aucune réponse de ma part si votre demande n'est pas détaillée (log, capture d'écran lisible...) ou si vous ne postez pas dans la bonne section

Avatar de l’utilisateur
mickeys
Actif
Messages : 3281
Inscription : 19 août 2014, 16:19
Localisation : Normandie

Re: Nouveau DNS jeedom

Message par mickeys » 26 déc. 2015, 16:07

loic a écrit :Non désolé le service dns est vraiment coûte assez cher pour nous plus que ce qu'on pensé on ne peut donc malheureusement l'offrir...
Ok pas de.problème je comprends.

Envoyé avec mon Tel et mes gros doigts

Avatar de l’utilisateur
skyline-ch
Actif
Messages : 1504
Inscription : 30 juil. 2014, 17:06
Localisation : Suisse - VS
Contact :

Re: Nouveau DNS jeedom

Message par skyline-ch » 26 déc. 2015, 16:09

Comme je l'avais déjà exprimer a l'époque du DNS V1, je trouve déjà extra que se soie offert avec le pack power, moi j'aurais fais un abonnement comme pour les sauvegarde cloud.

@mickeys, tu peux toujours acheter le pack power ou ultimate
Compétence :
- Prog : HTML5, CSS3, JS, JQuery, SQL, PHP

Avatar de l’utilisateur
mickeys
Actif
Messages : 3281
Inscription : 19 août 2014, 16:19
Localisation : Normandie

Re: Nouveau DNS jeedom

Message par mickeys » 26 déc. 2015, 16:12

Oui je pensais y passer de toute facon.

Envoyé avec mon Tel et mes gros doigts

Avatar de l’utilisateur
screamX
Timide
Messages : 59
Inscription : 28 déc. 2015, 11:18

Re: Nouveau DNS jeedom

Message par screamX » 28 déc. 2015, 11:23

Bonjour,
tout jeune utilisateur de Jeedom (j'ai reçu ma box la semaine dernière...) j'avais des soucis de dns (ça vous étonne pas ? ah bon...) du coup en cherchant j'ai trouvé ce post et j'ai testé la manip ce matin, et pour l'instant tout est ok pour moi, accès depuis l'extérieur bien plus stable et temps de réponse aux interactions avec Slack plus rapide et stable.
En résumé (pour l'instant ;) ) : Box mini + beta DNS (1) : OK
Merci pour le boulot !

stravinsky
Timide
Messages : 169
Inscription : 22 août 2014, 10:49

Re: Nouveau DNS jeedom

Message par stravinsky » 30 déc. 2015, 10:34

hello

j'ai pas mal de pertes du VPN semble t'il. cela se traduit par un message d'erreur :

Code : Tout sélectionner

tunel xxxxx.dns.jeedom not found
dans les logs j'ai ça :

Code : Tout sélectionner

2015/12/30 10:21:06 [error] 492#0: *1902728 open() "/usr/share/nginx/www/here.html" failed (2: No such file or directory), client: 127.0.0.1, server: , request: "GET /here.html HTTP/1.1", host: "xxxxx.dns.jeedom.com"
2015/12/30 10:26:44 [error] 492#0: *1903224 FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream, client: 127.0.0.1, server: , request: "GET /jeedom/core/css/icon/divers/fonts/divers.ttfz HTTP/1.1", upstream: "fastcgi://unix:/var/run/php5-fpm.sock:", host: "xxxxc.dns.jeedom.com", referrer: "https://xxxx.dns.jeedom.com/jeedom/core/css/icon/divers/style.css"
2015/12/30 10:30:25 [error] 494#0: *1903761 open() "/usr/share/nginx/www/here.html" failed (2: No such file or directory), client: 127.0.0.1, server: , request: "GET /here.html HTTP/1.1", host: "xxxx.dns.jeedom.com"
une idée ?

merci :)

Avatar de l’utilisateur
loic
Administrateur
Messages : 14862
Inscription : 01 févr. 2014, 16:21

Re: Nouveau DNS jeedom

Message par loic » 30 déc. 2015, 10:38

Bonjour,
La c'est lancien VPN pas le nouveau.....
Aide nous à t'aider : mets des logs, détaille ton soucis... Vous n'aurez aucune réponse de ma part si votre demande n'est pas détaillée (log, capture d'écran lisible...) ou si vous ne postez pas dans la bonne section

stravinsky
Timide
Messages : 169
Inscription : 22 août 2014, 10:49

Re: Nouveau DNS jeedom

Message par stravinsky » 30 déc. 2015, 10:57

mais quel boulet j'ai pas vu que je cliquais sur l'ancien favoris depuis quelques jours :lol: :oops:

Avatar de l’utilisateur
BizZ62
Actif
Messages : 1510
Inscription : 16 juil. 2014, 19:17

Re: Nouveau DNS jeedom

Message par BizZ62 » 03 janv. 2016, 13:06

Croixamus a écrit :Mais oui, mais c'est bien sur, je cliquais bêtement sur le lien https présent dans mon market !
Lui n'a pas changé, il est tjs toto.dns.jeedom.com
Mais avec https://toto.dns1.jeedom.com/jeedom, ca fonctionne
Merci Loic, que la force soit avec toi :D
Hello,

J'ai relu la doc, parcouru ce looooong topic mais j'ai dû rater un truc :)

Si je reprend le https://toto.dns.jeedom.com visible dans ma config ça marche mais souvent j'ai un "tunnel not found". Visiblement c'est normal vu que c'est l'ancien DNS.

Du coup j'ai tenté https://toto.dns1.jeedom.com et là j'ai une 504.

J'ai essayé avec https://toto.dns1.jeedom.com/jeedom et pareil : erreur 504 (Gateway timeout - nginx)

Une idée ?
Jeedomien depuis 2014
Rpi3 - SSD 32Go + Stick Aeon Gen5 + RfxTrx + Gateway Xiaomi
+ Rpi3 - SSD 32Go + Stick Aeon Gen5 en Jeelink
+ 40 Modules Zwave + 25 modules 433 + 10 modules Xiaomi Home + 5 Caméras.

Avatar de l’utilisateur
loic
Administrateur
Messages : 14862
Inscription : 01 févr. 2014, 16:21

Re: Nouveau DNS jeedom

Message par loic » 03 janv. 2016, 13:11

Il faut en dire plus la, qu'a tu mis comme conf dans openvpn ? As tu bien lancé le VPN ? Aurais tu la log ?
Aide nous à t'aider : mets des logs, détaille ton soucis... Vous n'aurez aucune réponse de ma part si votre demande n'est pas détaillée (log, capture d'écran lisible...) ou si vous ne postez pas dans la bonne section

Avatar de l’utilisateur
BizZ62
Actif
Messages : 1510
Inscription : 16 juil. 2014, 19:17

Re: Nouveau DNS jeedom

Message par BizZ62 » 03 janv. 2016, 16:25

Hello @loic,

Voici les logs :

Code : Tout sélectionner

Sun Jan  3 15:15:04 2016 OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014
Sun Jan  3 15:15:04 2016 WARNING: file '/tmp/openvpn_auth_gmnZbgtyTyimZSKulGLOivRenF5IQm.conf' is group or others accessible
Sun Jan  3 15:15:04 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Jan  3 15:15:04 2016 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jan  3 15:15:04 2016 LZO compression initialized
Sun Jan  3 15:15:04 2016 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Jan  3 15:15:04 2016 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Jan  3 15:15:04 2016 Local Options hash (VER=V4): '41690919'
Sun Jan  3 15:15:04 2016 Expected Remote Options hash (VER=V4): '530fdded'
Sun Jan  3 15:15:04 2016 UDPv4 link local: [undef]
Sun Jan  3 15:15:04 2016 UDPv4 link remote: [AF_INET]195.28.207.16:1194
Sun Jan  3 15:15:04 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Jan  3 15:15:04 2016 VERIFY OK: depth=1, /C=FR/ST=IDF/L=Paris/O=jeedom.com/OU=jeedom.com/CN=jeedom.com_CA/name=jeedom/emailAddress=postmaster@jeedom.com
Sun Jan  3 15:15:04 2016 VERIFY OK: depth=0, /C=FR/ST=IDF/L=Paris/O=jeedom.com/OU=jeedom.com/CN=server/name=jeedom/emailAddress=postmaster@jeedom.com
Sun Jan  3 15:15:04 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Jan  3 15:15:04 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Jan  3 15:15:04 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Jan  3 15:15:04 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Jan  3 15:15:04 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Jan  3 15:15:04 2016 [server] Peer Connection Initiated with [AF_INET]195.28.207.16:1194
Sun Jan  3 15:15:07 2016 AUTH: Received AUTH_FAILED control message
Sun Jan  3 15:15:07 2016 TCP/UDP: Closing socket
Sun Jan  3 15:15:07 2016 SIGTERM[soft,auth-failure] received, process exiting
L'update :

Code : Tout sélectionner

dpkg-preconfigure: unable to re-open stdin: 
Fetched 586 kB in 1s (559 kB/s)
Selecting previously unselected package liblzo2-2:armhf.
(Reading database ... 68935 files and directories currently installed.)
Unpacking liblzo2-2:armhf (from .../liblzo2-2_2.06-1+deb7u1_armhf.deb) ...
Selecting previously unselected package libpkcs11-helper1:armhf.
Unpacking libpkcs11-helper1:armhf (from .../libpkcs11-helper1_1.09-1_armhf.deb) ...
Selecting previously unselected package openvpn.
Unpacking openvpn (from .../openvpn_2.2.1-8+deb7u3_armhf.deb) ...
Processing triggers for man-db ...
debconf: unable to initialize frontend: Dialog
debconf: (Dialog frontend will not work on a dumb terminal, an emacs shell buffer, or without a controlling terminal.)
debconf: falling back to frontend: Readline
debconf: unable to initialize frontend: Readline
debconf: (This frontend requires a controlling tty.)
debconf: falling back to frontend: Teletype
Setting up liblzo2-2:armhf (2.06-1+deb7u1) ...
Setting up libpkcs11-helper1:armhf (1.09-1) ...
Setting up openvpn (2.2.1-8+deb7u3) ...
debconf: unable to initialize frontend: Dialog
debconf: (Dialog frontend will not work on a dumb terminal, an emacs shell buffer, or without a controlling terminal.)
debconf: falling back to frontend: Readline
debconf: unable to initialize frontend: Readline
debconf: (This frontend requires a controlling tty.)
debconf: falling back to frontend: Teletype
Restarting virtual private network daemon.:.
Everything is successfully installed!
Openvpn_VPN :

Code : Tout sélectionner

Sun Jan  3 13:30:05 2016 OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014
Sun Jan  3 13:30:05 2016 WARNING: file '/tmp/openvpn_auth_gmnZbgtyTyimZSKulGLOivRenF5IQm.conf' is group or others accessible
Sun Jan  3 13:30:05 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Jan  3 13:30:05 2016 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jan  3 13:30:05 2016 Cannot load CA certificate file /usr/share/nginx/www/jeedom/plugins/openvpn/core/class/../../data/ca_gmnZbgtyTyimZSKulGLOivRenF5IQm.crt path (null) (SSL_CTX_load_verify_locations): error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file: error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib
Sun Jan  3 13:30:05 2016 Exiting
J'ai bien installé le certificat, mis à jour les dépendances, etc... Le seul truc où j'ai un doute c'est sur le login. C'est la clef qu'il faut mettre (c'est ce que j'ai cru comprendre dans la doc) ? Le login du Market ? J'ai testé avec les deux.

Merci de ton aide !
Jeedomien depuis 2014
Rpi3 - SSD 32Go + Stick Aeon Gen5 + RfxTrx + Gateway Xiaomi
+ Rpi3 - SSD 32Go + Stick Aeon Gen5 en Jeelink
+ 40 Modules Zwave + 25 modules 433 + 10 modules Xiaomi Home + 5 Caméras.

Avatar de l’utilisateur
skyline-ch
Actif
Messages : 1504
Inscription : 30 juil. 2014, 17:06
Localisation : Suisse - VS
Contact :

Re: Nouveau DNS jeedom

Message par skyline-ch » 03 janv. 2016, 16:29

Le nom d'utilisateur c'est la clé hard que tu trouve dans le menu configuration.
Le MDP il se trouve dans ton compte market sur la page de tes Jeedom, champ MDP
Compétence :
- Prog : HTML5, CSS3, JS, JQuery, SQL, PHP

Avatar de l’utilisateur
BizZ62
Actif
Messages : 1510
Inscription : 16 juil. 2014, 19:17

Re: Nouveau DNS jeedom

Message par BizZ62 » 03 janv. 2016, 17:01

Merci @Skyline-ch !

Effectivement je ne devais pas entrer les bons ident / passwd. Je mettais mon MDP du market et pas celui fourni par le market et quand j'allais dans le market c'était via le dash donc j'avais pas les bonnes infos. Un peu de confusion entre le market https://market.jeedom.fr et le market accessible via Jeedom.

Reste à attendre un peu pour tester. Je dois donc mettre /jeedom/ à la fin de mon url ?

Pour me connecter du coup c'est https://ma_clef_hard.dnsX.jeedom.com ?

EDIT : Ca fonctionne ! Merci @Loïc et @Skyline-ch !
Jeedomien depuis 2014
Rpi3 - SSD 32Go + Stick Aeon Gen5 + RfxTrx + Gateway Xiaomi
+ Rpi3 - SSD 32Go + Stick Aeon Gen5 en Jeelink
+ 40 Modules Zwave + 25 modules 433 + 10 modules Xiaomi Home + 5 Caméras.

Répondre

Revenir vers « Annonces officielles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités