personnaliser installation OC

yann
Messages : 29
Enregistré le : dim. janv. 08, 2012 10:36 pm

lun. mai 11, 2020 9:28 am

Bonjour
pour des soucis de sécurité, je voulais savoir s'il était possible de changer l'identifiant et le mot de passe d’accès à la base OpenConcerto en multiposte?
Actuellement pour l'installation c'es id opencocerto et mdp openconcerto pas tres sécurisé ...
Si oui merci de votre réponse car en le faisant dans postgres y a pas de soucis mais pour lancer OC impossible sans la config prévu à l installation.
En espérant une réponse
yann
JacquesF
Messages : 121
Enregistré le : jeu. mars 14, 2019 10:44 am

lun. mai 11, 2020 12:47 pm

Bonjour,
Honnêtement je ne le pense pas, la sécurité d'une base n'est pas assurée que par son mot de passe mais surtout par la possibilité d'accéder aux fichiers et/ou au serveur.
Si le fichier de configuration de PgSQL est correct, seules les machines du réseau (ou explicitement désignées) sont autorisées à se connecter, et à partir de là seules ces machines peuvent accéder à la base.
S'il est possible de créer un rôle de connexion sur le serveur, le rôle openconcerto ne sert à rien pour modifier les tables (la création implique la possibilité de donner les droits au compte).
Pour résumer, la sécurité reposera sur la gestion stricte des accès physiques aux fichiers de données, et sur celles des machines autorisées à se connecter dans le cas d'une BDD réseau.

Si vous voulez sécuriser encore plus, vous pouvez traiter votre serveur SQL (de préférence linux, ce sera nettement plus simple) comme un serveur distant et assurer la connexion via SSH avec authentification du client par mot de passe. De cette manière seule la connexion locale devra être acceptée par le serveur (loopback) et les machines distantes sont authentifiées.
Voir page 130 du manuel, paramètres server.wan.addr|port|user|password du fichier main.properties.

Il est aussi possible d'utiliser une redirection de port via SSH (et authentification par clefs) créée manuellement en se connectent en local sur le port 5432, redirigé vers le 5432 du serveur.

Jacques
OpenConcerto v1.7.0
Configuration multiposte - Serveur Postgresql v11.11 sous Linux (Debian 10.9)
Clients Linux (Mageia & Kubuntu) & Windows (7 Pro et 10 Pro)
yann
Messages : 29
Enregistré le : dim. janv. 08, 2012 10:36 pm

mar. mai 12, 2020 12:11 pm

ok si je comprend bien la version que nous utilisons de OpenConcerto est prevue pour fonctionner un réseau local interne et non au travers d'une connexion publique
je m'explique supposons le serveur Postgres installé et hébergé en bretagne un client A par exemple sur Marseille et son comptable qui veut se connecter d'un autre lieur ex bordeaux avec les réglage nécessaire (transfert de port et réglage ip publique) du coup la sécurité avec le openconcerto / openconcerto c 'est bof bof vu que tout le monde connait l'identifiant postgres et le mot de passe ....
Chez ILM ils ont surement une ruse pour pouvoir le faire notament pour la gestion de l'offre cloud?
Si Guillaume ou Ludo passent par la j 'aimerais leur avis svp
cordialement
yann
JacquesF
Messages : 121
Enregistré le : jeu. mars 14, 2019 10:44 am

mar. mai 12, 2020 4:17 pm

Bonsoir,
C'est juste ment le but des 4 variables server.wan.addr / server.wan.port / server.wan.user / server.wan.password du fichier main.properties.
De cette manière il est possible de monter un tunnel SSH pour encapsuler la connexion au serveur.
La sécurité est prévue avec un login/password au choix et dans ce cas la connexion à la BDD reste sécurisée.
Voir le manuel (page 130 de mémoire) pour un peu plus de détail.

Si on veut une authentification par clef, ce n'est pas indiqué dans le manuel, mais ce n'est pas non plus compliquéà mettre en place (et des programmes comme autossh (Linux) ou MyEnTunnel (Windows) permettent de maintenir la liaison ouverte en permanence si on le souhaite.

Cordialement
J. Ferré
OpenConcerto v1.7.0
Configuration multiposte - Serveur Postgresql v11.11 sous Linux (Debian 10.9)
Clients Linux (Mageia & Kubuntu) & Windows (7 Pro et 10 Pro)
yann
Messages : 29
Enregistré le : dim. janv. 08, 2012 10:36 pm

mer. mai 13, 2020 10:59 am

Bonjour Jacques
ce que je veux sire c'est que si je connais l'adfresse ip du serveur (ip publique avec accès configuré dans le routeur) alors avec n'importe quelle installation je peux entrer dans la base de n'importe quel serveur avec le login openconcerto et le mot de passe openconcerto c'est ce point preci squi me travaille...
je trouve que à l install on devrait pouvoir configurer l'utilisateur qui se connecte à la base OpenConcerto et lui attribuer un mot de passe personnalisé.
Ca serait déja un peu mieux
c'est pour ca que j'aurai aimé l'avis de Guillaume

merci
yann
JacquesF
Messages : 121
Enregistré le : jeu. mars 14, 2019 10:44 am

mer. mai 13, 2020 10:26 pm

C'est pour cela qu'un accès externe doit passer par du SSH.
De cette façon, on peut avoir une authentification forte sans se prendre la tête avec la BDD.
Ouvrir un port externe sur un accès WAN est toujours un risque, donc éviter le 22 qui est scanné systématiquement, les ports bien connus (dont le 5432) et rediriger ce port sur le serveur SSH en local, et une fois le tunnel établi la connexion à la BDD est sécurisée.

Personnellement, je n'ai pas d'accès direct à mon serveur SQL, mais j'ai 2 ports qui sont accessibles de l'extérieur, un pour un VPN (qui lui me permet d'accéder à mon serveur SQL si je suis en déplacement) et un sur mon serveur Web, lequel n'accepte que les connexions https avec authentification du client par certificat. Et je suis tranquille, même avec un mot de passe implicite pour OpenConcerto.

C'est tout l'intérêt du tunnelling SSH ou SSL.

Jacques
OpenConcerto v1.7.0
Configuration multiposte - Serveur Postgresql v11.11 sous Linux (Debian 10.9)
Clients Linux (Mageia & Kubuntu) & Windows (7 Pro et 10 Pro)
chrishablet
Messages : 30
Enregistré le : mer. mai 19, 2021 2:32 pm

sam. juil. 10, 2021 5:24 am

Je me permet de déterrer le sujet, car j'utilise un hébergeur o2switch , le nom de la base de donnée est forcement avec un prefix xxx_openconcerto par exemple.

Par contre je n'ai pas eu assez d'information pertinente dans le manuel sur la connexion ssh. Mon objectif est de centraliser la base de donnée sur cet hébergeur et de connecter tout les postes sur cette base a distance.
- Est-ce que c'est réalisable ?
- Quand on dit que openconcerto gère nativement la connexion ssh, cela veut-il dire que dans la variable ip serveur on peut mettre directement ssh xx.xx.xx.xx@xx.xx.xx.xx ?

Ou comment dois-je m'y prendre ?

Merci pour vos réponses, cordialement
JacquesF
Messages : 121
Enregistré le : jeu. mars 14, 2019 10:44 am

sam. juil. 10, 2021 12:41 pm

Bonjour,

Pour ma société, je suis également hébergé chez o2switch pour la partie mail et web.
De mémoire, les connexions SSH ne sont ouvertes que pour les adresses indiquées au service client pour des raisons de sécurité.
L'accès distant à une BDD hébergée localement ne fait pas partie des services offerts (il me semble avoir lu une restriction justement sur ce point). Donc, ce n'est pas vraiment la meilleure configuration pour héberger OC.
Il est tout à fait possible d'y sauvegarder la BDD en revanche.
Les variables server.wan.* dans le fichier de configuration main.properties permettent d'indiquer l'adresse, le port, le login et le mot de passe à utiliser sur le serveur distant.
  • server.wan.addr
    server.wan.port
    server.wan.user
    server.wan.password
Dans ce contexte, le serveur PgSQL tourne en local sur le serveur sur le port 5432 (server.ip=127.0.0.1\:5432) selon le manuel.
Si toutes les machines qui doivent se connecter à la base sont sur un même LAN, dans ce cas o2switch ne verrait que l'adresse de la passerelle (un compte dyndns fonctionnerait, avec le risque de coupure le temps que la mise à jour se propage lors du changement d'adresse publique si l'IP n'st pas fixe).
Sinon, un VPN entre les clients et une même machine qui ferait le relais vers o2switch pourrait aussi fonctionner, avec les mêmes possibilités de problème si l'IP n'est pas fixe.
Pas de réponse simple et directe à la question, tout dépend des compétences en réseau et informatique de la personne qui gèrera le système, et de la disponibilité attendue de la BDD, du nombre de clients potentiels et de leur "dispersion" par rapport à la partie principale du réseau.
Construire un VPN n'est pas franchement compliqué, une identification par clefs non plus, gérer une PKI devient plus complexe même si ça reste abordable pour un nombre limité de machines.

Jacques
OpenConcerto v1.7.0
Configuration multiposte - Serveur Postgresql v11.11 sous Linux (Debian 10.9)
Clients Linux (Mageia & Kubuntu) & Windows (7 Pro et 10 Pro)
chrishablet
Messages : 30
Enregistré le : mer. mai 19, 2021 2:32 pm

dim. juil. 11, 2021 2:39 pm

Merci jacques pour votre réponse, effectivement l'approche par vpn est très intéressante. Ceci dit par contre pour le login et le mdp de la base de donnée comment puis-je modifier cela ?
JacquesF
Messages : 121
Enregistré le : jeu. mars 14, 2019 10:44 am

dim. juil. 11, 2021 9:01 pm

Bonsoir,

A moins de modifier le code source, je ne vois pas comment le faire.
Comme je l'ai déjà écrit plus haut, il est possible de restreindre l'accès au serveur PgSQL à un sous-réseau, une machine, ou plusieurs, dans le fichier de config du serveur.
Il est possible d’utiliser SSH pour avoir des connexions sécurisées entre les machines et le serveur hébergeant PgSQL, ce qui fait que si seule l'identification est autorisée en locale depuis le serveur (exemple typique de config tunnel SSH), la sécurité est celle de l'accès physique au serveur, et pour les clients de l'authentification SSH (mot de passe et/ou clefs). Dans ce cas, le fait d'avoir un mot de passe trivial n'est plus un problème en réalité.

Jacques
OpenConcerto v1.7.0
Configuration multiposte - Serveur Postgresql v11.11 sous Linux (Debian 10.9)
Clients Linux (Mageia & Kubuntu) & Windows (7 Pro et 10 Pro)
Répondre