[AppWeb] L'EasySSH

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[AppWeb] L'EasySSH

mehdy

Bonjour !

Je viens souvent ici, beaucoup de tuto de qualités et pleins de petites astuces que j'ai découvert ici, un grand bravo aux membres !!

Maintenant à mon tour de vous apporter mon petit quelque chose 😉,

Je viens pour vous présenter mon appli web, l'EasySSH.

C'est quoi ça ?!
- La gestion de votre serveur via commande SSH avec votre navigateur ! Gestion des utilisateurs, gestion de groupe d'utilisateur et gestion d'autorisation sur les commandes.

Il faut quoi pour installer ce bouzin ?
- Il faut un serveur apache/nginx, php5/7, d'une base SQL et le plugin libssh2 pour PHP

Pourquoi tout ça ?
- Un serveur apache afin de pouvoir accèder au panel
- Une base SQL pour stocker les utilisateurs, les serveurs SSH, les commandes et les logs
- Le module php5 ou 7 ainsi que le plugin libssh2 pour l’exécution du code php, gestion des échanges entre la bdd avec pdo et enfin la connexion au serveur SSH avec le module libssh2

Explication de la partie serveur et commande :

Un espace sur le panel permet de gérer ses serveurs auxquels sont associés des commandes pré-défini par l'administrateur.
Une commande ne peut exister sans être assignée à un serveur.
Lors de la création du serveur par l'administrateur il est demandé : l'utilisateur, l'hôte, le password ainsi que le port. A savoir, l'utilisateur, l'hôte ainsi que le password sont chiffrés avec une méthode de chiffrage et est agrémentée d'un salt que vous modifierez dans le fichier config.php.
Une fois le serveur créé une commande peut lui être attribuée.
Afin que la commande ne soit pas accessible pour tous les utilisateur un système de niveau d'autorisation est mis en place. Ce système est décrit plus bas.

Explication de la partie LOG :

Chaque action effectuée par un utilisateur est logué dans la base. Les informations sur l'action, la date/heure ainsi que son ip est stockée.

Explication de la partie utilisateur :

Les utilisateurs son gérés en rang de 0 à 4.

Liste des rangs disponible

0 - Désactivé :
- L'utilisateur n'est pas activé, il ne peut pas utiliser le panel : Connexion impossible.
- Il lui est notifié lors de sa tentative de connexion que son compte n'est pas activé.

1 - Utilisateur :
- Il n'est possible pour lui que d’exécuter les commandes dont le niveau d'autorisation est égal ou inférieur au sien.
- Accès aux log personnels

2 - Utilisateur avancé :
- Il n'est possible pour lui que d’exécuter les commandes dont le niveau d'autorisation est égal ou inférieur au sien.
- Accès à l'ensemble des log sans la visualisation des adresses IP.

3 - Administrateur :
- Possède un niveau d'autorisation 500 (modifiable)
- Accès à l'ensemble des log avec les adresses IP
- Accès complet configuration panel
- Accès complet gestion utilisateur (Droit uniquement sur les membres inférieur a son rang)

4+ - ROOT :
- Tous droits + Clear log

Chaque utilisateur possède un niveau d'autorisation de 1 à 500. Selon le niveau d'autorisation il lui est possible d’exécuter les commandes auxquels il y est autorisé.
Si le niveau d'autorisation de l’utilisateur est égal ou supérieur au niveau d'autorisation de la commande, il est autorisé à l’exécuter. Au contraire si le niveau d'autorisation est inférieur à celle de la commande il ne peut ni voir la commande ni pouvoir l’exécuter.

Cas d'exemple :
La commande ls /home/ possède un niveau d'autorisation de 100, l'utilisateur Arthur possède un niveau de 80. Il lui est donc impossible d’exécuter la commande.

Quelques screen, a noter que c'est un site bootstrap donc la navigation mobile est tout à fait aisée

Si cela vous plait vous pouvez télécharger l'EasySSH Version 2 ici.
Lire le fichier LisezMoi.nfo pour l'installation. Personnelement j'ai eu un peu de mal pour l'installation de libssh2 sous php7, Je vous recommande de suivre ce tuto https://www.ikq.me/2016/01/12-steps-to-install-libssh2-for-php7/ pour l'installation du module sous php7.

Le panel n'est pas fini et je compte bien-sûr apporter encore des améliorations et quelques corrections sur l'interface afin qu'elle soit de plus en plus plaisante à utiliser. Ceci est le fruit d'un travail d'un amateur, mes connaissances en php sont suffisantes pour réaliser ce genre de travaux, mais je ne garantie pas la sécurité de celui-ci. Je m’efforce de respecter les standards de sécurité, mais il se peut qu'il existe des failles que je n'ai pas comblés.
Important : N'importe quelle commande peut être créée, exemple : rm -R /, je vous laisse imaginer les dégâts que cela peut faire ! =D

Si vous avez des remarques, questions, suggestions ou tout autre lâchez vous

L'EasySSH est sous Copyleft :

Le copyleft est une méthode générale pour rendre libre un programme (ou toute autre ouvre) et obliger toutes
les versions modifiées ou étendues de ce programme à être libres également.

La manière la plus simple de faire d'un programme un logiciel libre est de le mettre
dans le domaine public, sans copyright.1 Cela autorise les gens à le partager si le cour leur en dit, avec leurs améliorations
éventuelles. Mais cela autorise aussi des personnes indélicates à en faire un logiciel privateur.2 Elles peuvent
très bien y effectuer des changements, nombreux ou non, et distribuer le résultat en tant que logiciel privateur.
Ceux qui recevront le programme dans sa forme modifiée n'auront pas la liberté que l'auteur original leur avait donnée ;
l'intermédiaire l'aura fait disparaître.

Source : https://www.gnu.org/licenses/copyleft.fr.html

Aerya

Merci, je découvre. Chapeau pour le boulot

Ça fait quand même beaucoup de trucs à installer pour seulement avoir des commandes SSH. Sans compter que du coup on a maintenant 3 zones à risque au lieu d'une seule (le serveur cible) par l'ajout d'un navigateur et d'un serveur "hôte".

Quel est l'intérêt de ce projet précisément, au-delà du challenge de le dev ?

jean-luc

Aerya wrote:Merci, je découvre. Chapeau pour le boulot
Ça fait quand même beaucoup de trucs à installer pour seulement avoir des commandes SSH.

Voir Webmin qui permet aussi de saisir des commandes ssh !!! et bien plus encore sans se prendre la tête...après chacun voit...
Webmin peut aussi fonctionner via nginx en reverse proxy...et mettre webmin en écoute locale.
A++

arckosfr

Sauf que Webmin est une usine a gaz, et qui ne permet plus une gestion correct a la main derriere.

mehdy

Aerya wrote:Ça fait quand même beaucoup de trucs à installer pour seulement avoir des commandes SSH.

Il n'y a pas grand chose à installer 😉, généralement sur nos serveurs nous avons ~~tous~~ un serveur apache/nginx avec php et aussi une base sql. Le seul module qu'a besoin le panel est le libssh2.

Aerya wrote:Sans compter que du coup on a maintenant 3 zones à risque au lieu d'une seule (le serveur cible) par l'ajout d'un navigateur et d'un serveur "hôte".

Je n'ai pas tout compris, mais voyons si ma réponse peut éclairer 😉.
En faite le panel s'installe sur n'importe quelle serveur, distant ou local où doivent être présent les pré-requis cités plus haut. Pour l'accès au panel cela se fait via la configuration que vous avez fait avec apache/nginx avec votre domaine/ip. Après sur le panel il y a juste a configurer comme n'importe quel client SSH la connexion au serveur distant.

Aerya wrote:Quel est l'intérêt de ce projet précisément, au-delà du challenge de le dev ?

L’intérêt de ce projet était avant tout personnel. En effet je faisais des serveurs minecraft, css etc.. pour des amis et n'aimant pas donner des accès SSH a des personnes qui ne savent même pas ce qu'est putty il fallait que je trouve une solution simple afin qu'ils puissent exécuter des commandes basiques simplement sans qu'ils aient a se connecter au ssh et sans qu'ils aient à me solliciter pour chaque action.
L'idée m'est donc venu de faire un site ou un utilisateur lambda appui sur un bouton et que l'action demandée fonctionne sans chipoter.

Au début j'avais fait une simple page php qui se connectait au ssh avec le module libssh2 et faisait la commande pré-définie dans le fichier et au fils du temps j'ai eu envie de faire mûrir se projet en y intégrant une vraie gestion des serveurs et utilisateurs.

jean-luc wrote:Voir Webmin qui permet aussi de saisir des commandes ssh !!! et bien plus encore sans se prendre la tête...après chacun voit...

Oui c'est vrai, le problème que je trouve à webmin pour l'usage que j'en avais c'était qu'il était trop compliqué à utiliser pour mes amis. Je préférais donc une solution maison dans laquelle les utilisateurs pouvaient être autonome.

Aerya

Merci de tes précisions. N'étant à la base pas fan des panels d'admin je ne suis sans doute pas objectif

Bonne continuation et encore merci du partage.

NenyA

mehdy wrote:Aerya a écrit :
Sans compter que du coup on a maintenant 3 zones à risque au lieu d'une seule (le serveur cible) par l'ajout d'un navigateur et d'un serveur "hôte".
Je n'ai pas tout compris, mais voyons si ma réponse peut éclairer wink.
En faite le panel s'installe sur n'importe quelle serveur, distant ou local où doivent être présent les pré-requis cités plus haut. Pour l'accès au panel cela se fait via la configuration que vous avez fait avec apache/nginx avec votre domaine/ip. Après sur le panel il y a juste a configurer comme n'importe quel client SSH la connexion au serveur distant.

Je partages l'avis sécurité sur le coup :
Sur une seedbox "classique"
1 - acces web assez peu trust meme si https avec un TLS 1.2 and co -> donc un user low lv qui n'a qu'un acces ssh limité au final par son groupe quasiment que pour avoir le bénéfice du sftp.
2 - acces sftp pareil.
3 - le vrai acces ssh sur un autre user pour les maintenances en sudo.

avec ton projet on a donc le serveur hote et le panel a sécuriser.

Ok tout les panel de ce genre on ce défaut mais attention les panels les plus courants sont quand meme au final bien éprouvé et en quand de failles les patchs sortent vite en principe.
De plus certains de ces panels n'utilise pas une structure en base tel quelle pour eviter de se voir exposer par les exploitations de failles sur les bases.

Bon apres le vrai risque c est la "connerie" humaine qui ferait mettre une commande OP sur le pannel ...

Ceci etait pour la réponse sécurité qui m a piquoté quand même un peu.

Sinon oui c est un beau projet et au vue des screens ca promet.

++

ex_rat

Salut
Je voulais jeter un oeil sur le LisezMoi.nfo mais je dois m'y prendre comme un manche encore ^^
J'arrive pas à dézipper le truc, il y aurait pas un bug avec le fichier ?

# tar xzfv EasySSHV2X2016-07-16.tar.bz2
gzip: stdin: not in gzip format
tar: Child returned status 1
tar: Error is not recoverable: exiting now

# tar -tf EasySSHV2X2016-07-16.tar.bz2
bzip2: (stdin) is not a bzip2 file.
tar: Child returned status 2
tar: Error is not recoverable: exiting now
 
# bunzip2 EasySSHV2X2016-07-16.tar.bz2
bunzip2: EasySSHV2X2016-07-16.tar.bz2 is not a bzip2 file.

https://www.mehdy.fr/share/EasySSHV2X2016-07-16.tar.bz2
Ex.

mehdy

Je pense que c'est du fait que je l'ai compressé depuis Windows, je referai l'archive depuis linux. Pour le moment je l'ai aussi uploadé en zip : https://www.mehdy.fr/share/EasySSHV2X2016-07-16.zip

ex_rat

Je te remercie, c'est ok

Ex.