Nouveau DNS jeedom

[nordix]

Le dns Jeedom, reste un accès distant , chiffré SSL certes, mais basé encore sur un mot de passe uniquement. Dans mon cas, j'ai mon propre VPN basé sur une plateforme Cisco ASA mais qui était à date aussi basé sur un mot de passe seulement. L'enjeu en fait en ce moment c'est plus la perte de ce mot de passe que de la confidentialité de l'information qui circule sur le réseau. J'aurai même préféré si c'était une contrainte, d'avoir un accès distant en clair mais qui ne soit pas basé sur un mot de passe, mais sur quelque chose d'aléatoire, non reproductible.

En entreprise, les accès VPN entre autres, et les applications sensibles, sont depuis longtemps basées sur une authentification multi-facteurs ou 2 facteurs si l"on veut, la plus connue étant RSA SecurID. Cette méthode d'authentification a cependant souvent été onéreuse et complexe à mettre en oeuvre.
On les appelle authentification multi-facteurs car basés sur un facteur de connaissance, tel que le mot de passe et un autre facteur de type que l'on possède (un jeton cryptographique comme RSA) ou un facteur que l'on est (empreinte digitale, de la rétine ). Les solutions les plus répandues étant de type 2 facteurs avec jeton cependant.
Depuis 3-5 années environ, ces solutions 2 facteurs (2FA en anglais ou 2 factors authentication), se répandent dans le milieu public et sont devenues carrément gratuites pour certaines. Et de plus en plus de gens les utilisent pour accéder à leur VPN à la maison, ou certaines applications exposées directement sur Internet. Il n y a plus d'inquiétude à avoir, si la plateforme est solide et sans vulnérabilités connues, car il est (quasiment) impossible de reproduite le mot de passe pour accéder à celui-ci.
Tout cela pour venir à voir si Jeedom ne pourrait pas intégrer nativement une telle méthode d'authentification, auquel cas, tout le mode aurait un accès distant et plus sécurisé encore que l'est le dns Jeedom. Fini les problèmes de bande passante et de lenteur, puisque accès direct de surcroit.

Il existe actuellement même des développements pour serveur nginx qui permettent d'effectuer une intégration très simple comme celui-ci:

https://github.com/gutschke/fido-u2f-nginx-lua , nécessite l'acquisition d'un jeton Fido à 10 euros max.

ou encore comme celle là plus universelle et totalement gratuite basée sur la plateforme Google authenticator et le module PAM:

https://github.com/google/google-authenticator

Bref, un plugin qui permettrait d'ajouter cette méthode d'accès à Jeedom et hop et voila un accès distant de niveau entreprise à sa plateforme de domo préférée

Dans mon cas, j'ai mis en place une méthode basée sur la plateforme gratuite pour usage personnel, DUO security (https://www.duosecurity.com/), ce qui donne ce login pour accéder à mon VPN et à Jeedom:

Screenshot 2015-12-25 at 10.04.57.png (12.8 Kio) Consulté 1659 fois

On constate la présence d'un 2nd password, qui est fourni par un jeton logiciel disponible pour toutes les plateformes de téléphone et qui fournit un code aléatoire.

[loic]

Bonjour,
Merci pour l'explication il y a déjà un sujet la dessus sur le forum, qui n'a rien à voir avec le vpn qui fait juste du passe plat. En effet il est bon de rapeller que le mot de passe dont tu parles n'est pas sur le vpn mais sur ton Jeedom directement.

Pour l'idée de base dont tu parles on ne l'écart pas juste pour l'instant nous n'avons ni les ressources pour la mettre en place ni les compétences techniques ni le temps mais sur du long terme il est prévu de pouvoir activer ce genre d'option.

Je tiens aussi que si le mot de passe dans Jeedom est fort le risque de piratage est proche de 0 du à la présence d'un fail to ban interne à Jeedom. Au final tu as la le même niveau de sécurité que du ssh qui est quand même réputé robuste malgré l'absence de double authentification.

[nordix]

Ah oui, j'ai pas vu le sujet.. je vais regarder, merci

Sinon la faiblesse des mots de passe actuellement ne tient pas du tout à leur complexité, car on peut utiliser un mot de passe de 200 lettres si ça nous chante, il en demeure pas moins qu'il peut-être volé par un trojan ou virus de type capteur de frappe.
La majeure partie des attaques contre les sites bancaires, les vols de carte de crédit, les serveurs, les accès VPN, se font maintenant par acquisition du mot de passe via un virus ou un phishing.
Je suis dans un cyber café ou chez moi sur un pc infecté par un trojan de ce type, j'accède au DNS de Jeedom, le mot de passe (et code usager) est dans la nature

[loic]

Compliqué ça car on est en HTTPS donc vérification de l'hôte cible donc deja pas de man un middle. Ensuite Jeedom est protégé aussi des attaque type xss en interdisant au js l'accès aux cookies.

[eldoctor62]

Les packs Community n'ont pas accès au DNS jeedom ?

[loic]

Non il faut un service pack pour avoir accès au dns

[mickeys]

Non il faut un service pack pour avoir accès au dns

Mauvaise nouvelle pour moi ça dommage.
Et pour les dev c est possible ?. Genre un pack community dev.
Oui je sais on en veut toujours plus

Envoyé avec mon Tel et mes gros doigts

[loic]

Non désolé le service dns est vraiment coûte assez cher pour nous plus que ce qu'on pensé on ne peut donc malheureusement l'offrir...

[mickeys]

Non désolé le service dns est vraiment coûte assez cher pour nous plus que ce qu'on pensé on ne peut donc malheureusement l'offrir...

Ok pas de.problème je comprends.

Envoyé avec mon Tel et mes gros doigts

[skyline-ch]

Comme je l'avais déjà exprimer a l'époque du DNS V1, je trouve déjà extra que se soie offert avec le pack power, moi j'aurais fais un abonnement comme pour les sauvegarde cloud.

@mickeys, tu peux toujours acheter le pack power ou ultimate

[mickeys]

Oui je pensais y passer de toute facon.

Envoyé avec mon Tel et mes gros doigts

[screamX]

Bonjour,
tout jeune utilisateur de Jeedom (j'ai reçu ma box la semaine dernière...) j'avais des soucis de dns (ça vous étonne pas ? ah bon...) du coup en cherchant j'ai trouvé ce post et j'ai testé la manip ce matin, et pour l'instant tout est ok pour moi, accès depuis l'extérieur bien plus stable et temps de réponse aux interactions avec Slack plus rapide et stable.
En résumé (pour l'instant ) : Box mini + beta DNS (1) : OK
Merci pour le boulot !

[stravinsky]

hello

j'ai pas mal de pertes du VPN semble t'il. cela se traduit par un message d'erreur :

Code : Tout sélectionner

tunel xxxxx.dns.jeedom not found

dans les logs j'ai ça :

Code : Tout sélectionner

2015/12/30 10:21:06 [error] 492#0: *1902728 open() "/usr/share/nginx/www/here.html" failed (2: No such file or directory), client: 127.0.0.1, server: , request: "GET /here.html HTTP/1.1", host: "xxxxx.dns.jeedom.com"
2015/12/30 10:26:44 [error] 492#0: *1903224 FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream, client: 127.0.0.1, server: , request: "GET /jeedom/core/css/icon/divers/fonts/divers.ttfz HTTP/1.1", upstream: "fastcgi://unix:/var/run/php5-fpm.sock:", host: "xxxxc.dns.jeedom.com", referrer: "https://xxxx.dns.jeedom.com/jeedom/core/css/icon/divers/style.css"
2015/12/30 10:30:25 [error] 494#0: *1903761 open() "/usr/share/nginx/www/here.html" failed (2: No such file or directory), client: 127.0.0.1, server: , request: "GET /here.html HTTP/1.1", host: "xxxx.dns.jeedom.com"

une idée ?

merci

[loic]

Bonjour,
La c'est lancien VPN pas le nouveau.....

[stravinsky]

mais quel boulet j'ai pas vu que je cliquais sur l'ancien favoris depuis quelques jours

[BizZ62]

Mais oui, mais c'est bien sur, je cliquais bêtement sur le lien https présent dans mon market !
Lui n'a pas changé, il est tjs toto.dns.jeedom.com
Mais avec https://toto.dns1.jeedom.com/jeedom, ca fonctionne
Merci Loic, que la force soit avec toi

Hello,

J'ai relu la doc, parcouru ce looooong topic mais j'ai dû rater un truc

Si je reprend le https://toto.dns.jeedom.com visible dans ma config ça marche mais souvent j'ai un "tunnel not found". Visiblement c'est normal vu que c'est l'ancien DNS.

Du coup j'ai tenté https://toto.dns1.jeedom.com et là j'ai une 504.

J'ai essayé avec https://toto.dns1.jeedom.com/jeedom et pareil : erreur 504 (Gateway timeout - nginx)

Une idée ?

[loic]

Il faut en dire plus la, qu'a tu mis comme conf dans openvpn ? As tu bien lancé le VPN ? Aurais tu la log ?

[BizZ62]

Hello @loic,

Voici les logs :

Code : Tout sélectionner

Sun Jan  3 15:15:04 2016 OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014
Sun Jan  3 15:15:04 2016 WARNING: file '/tmp/openvpn_auth_gmnZbgtyTyimZSKulGLOivRenF5IQm.conf' is group or others accessible
Sun Jan  3 15:15:04 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Jan  3 15:15:04 2016 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jan  3 15:15:04 2016 LZO compression initialized
Sun Jan  3 15:15:04 2016 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Jan  3 15:15:04 2016 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Jan  3 15:15:04 2016 Local Options hash (VER=V4): '41690919'
Sun Jan  3 15:15:04 2016 Expected Remote Options hash (VER=V4): '530fdded'
Sun Jan  3 15:15:04 2016 UDPv4 link local: [undef]
Sun Jan  3 15:15:04 2016 UDPv4 link remote: [AF_INET]195.28.207.16:1194
Sun Jan  3 15:15:04 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Jan  3 15:15:04 2016 VERIFY OK: depth=1, /C=FR/ST=IDF/L=Paris/O=jeedom.com/OU=jeedom.com/CN=jeedom.com_CA/name=jeedom/emailAddress=postmaster@jeedom.com
Sun Jan  3 15:15:04 2016 VERIFY OK: depth=0, /C=FR/ST=IDF/L=Paris/O=jeedom.com/OU=jeedom.com/CN=server/name=jeedom/emailAddress=postmaster@jeedom.com
Sun Jan  3 15:15:04 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Jan  3 15:15:04 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Jan  3 15:15:04 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Jan  3 15:15:04 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Jan  3 15:15:04 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Jan  3 15:15:04 2016 [server] Peer Connection Initiated with [AF_INET]195.28.207.16:1194
Sun Jan  3 15:15:07 2016 AUTH: Received AUTH_FAILED control message
Sun Jan  3 15:15:07 2016 TCP/UDP: Closing socket
Sun Jan  3 15:15:07 2016 SIGTERM[soft,auth-failure] received, process exiting

L'update :

Code : Tout sélectionner

dpkg-preconfigure: unable to re-open stdin: 
Fetched 586 kB in 1s (559 kB/s)
Selecting previously unselected package liblzo2-2:armhf.
(Reading database ... 68935 files and directories currently installed.)
Unpacking liblzo2-2:armhf (from .../liblzo2-2_2.06-1+deb7u1_armhf.deb) ...
Selecting previously unselected package libpkcs11-helper1:armhf.
Unpacking libpkcs11-helper1:armhf (from .../libpkcs11-helper1_1.09-1_armhf.deb) ...
Selecting previously unselected package openvpn.
Unpacking openvpn (from .../openvpn_2.2.1-8+deb7u3_armhf.deb) ...
Processing triggers for man-db ...
debconf: unable to initialize frontend: Dialog
debconf: (Dialog frontend will not work on a dumb terminal, an emacs shell buffer, or without a controlling terminal.)
debconf: falling back to frontend: Readline
debconf: unable to initialize frontend: Readline
debconf: (This frontend requires a controlling tty.)
debconf: falling back to frontend: Teletype
Setting up liblzo2-2:armhf (2.06-1+deb7u1) ...
Setting up libpkcs11-helper1:armhf (1.09-1) ...
Setting up openvpn (2.2.1-8+deb7u3) ...
debconf: unable to initialize frontend: Dialog
debconf: (Dialog frontend will not work on a dumb terminal, an emacs shell buffer, or without a controlling terminal.)
debconf: falling back to frontend: Readline
debconf: unable to initialize frontend: Readline
debconf: (This frontend requires a controlling tty.)
debconf: falling back to frontend: Teletype
Restarting virtual private network daemon.:.
Everything is successfully installed!

Openvpn_VPN :

Code : Tout sélectionner

Sun Jan  3 13:30:05 2016 OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014
Sun Jan  3 13:30:05 2016 WARNING: file '/tmp/openvpn_auth_gmnZbgtyTyimZSKulGLOivRenF5IQm.conf' is group or others accessible
Sun Jan  3 13:30:05 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Jan  3 13:30:05 2016 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jan  3 13:30:05 2016 Cannot load CA certificate file /usr/share/nginx/www/jeedom/plugins/openvpn/core/class/../../data/ca_gmnZbgtyTyimZSKulGLOivRenF5IQm.crt path (null) (SSL_CTX_load_verify_locations): error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file: error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib
Sun Jan  3 13:30:05 2016 Exiting

J'ai bien installé le certificat, mis à jour les dépendances, etc... Le seul truc où j'ai un doute c'est sur le login. C'est la clef qu'il faut mettre (c'est ce que j'ai cru comprendre dans la doc) ? Le login du Market ? J'ai testé avec les deux.

Merci de ton aide !

[skyline-ch]

Le nom d'utilisateur c'est la clé hard que tu trouve dans le menu configuration.
Le MDP il se trouve dans ton compte market sur la page de tes Jeedom, champ MDP

[BizZ62]

Merci @Skyline-ch !

Effectivement je ne devais pas entrer les bons ident / passwd. Je mettais mon MDP du market et pas celui fourni par le market et quand j'allais dans le market c'était via le dash donc j'avais pas les bonnes infos. Un peu de confusion entre le market https://market.jeedom.fr et le market accessible via Jeedom.

Reste à attendre un peu pour tester. Je dois donc mettre /jeedom/ à la fin de mon url ?

Pour me connecter du coup c'est https://ma_clef_hard.dnsX.jeedom.com ?

EDIT : Ca fonctionne ! Merci @Loïc et @Skyline-ch !