Utilisez un Shell Jump pour accéder à un appareil réseau distant

La technologie Shell Jump permet de se connecter rapidement à un dispositif réseau SSH ou Telnet, afin d’en utiliser la fonction de ligne de commande. Vous pouvez, par exemple, exécuter un script normalisé sur plusieurs systèmes afin d’installer un correctif ou de résoudre un problème de réseau. Les administrateurs peuvent activer le filtrage de commandes pour empêcher les utilisateurs d’utiliser accidentellement des commandes dommageables sur les points de terminaison connectés par SSH.

Créer un raccourci de Shell Jump

Créer un raccourci de Jump

Pour créer un raccourci de Shell Jump, cliquez sur le bouton Créer dans l’interface de Jump. Dans le menu déroulant, sélectionnez Shell Jump. Les raccourcis de Shell Jump apparaissent dans l’interface de Jump avec les Jump Clients et d’autres types de raccourcis d’élément de Jump.

Remarque : les raccourcis de Shell Jump ne sont activés que si leur Jumpoint est configuré pour un accès de Shell Jump ouvert ou limité.

Organisez et gérez les éléments de Jump existants en en sélectionnant un ou plusieurs et en cliquant sur Propriétés.

pour voir les propriétés de plusieurs éléments de Jump, les éléments sélectionnés doivent tous être du même type (par ex. uniquement des Jump Clients, uniquement des Jump distants, etc.). Pour vérifier les propriétés d’autres types d’éléments de Jump, veuillez consulter la section adéquate de ce guide.

Créer un nouveau raccourci de Shell Jump

Saisissez un Nom pour l’élément de Jump. Ce nom identifie l’élément dans les onglets de la session. Cette chaîne contient 128 caractères au maximum.

Dans la liste déroulante Jumpoint, sélectionnez le réseau qui héberge l’ordinateur auquel vous voulez accéder.  La console d’accès se souviendra de votre choix de Jumpoint la prochaine fois que vous créerez ce type d’élément de Jump. Saisissez le nom d’hôte / IP du système auquel vous souhaitez accéder.

Sélectionnez le protocole à utiliser, SSH ou Telnet.

Port bascule automatiquement vers le port par défaut du protocole sélectionné, mais il peut être modifié en fonction de vos paramètres réseau.

Saisissez le nom d’utilisateur avec lequel se connecter.

Sélectionnez le type de terminal, xterm ou VT100.

Vous pouvez également choisir d’Envoyer des paquets de persistance pour empêcher la clôture des sessions inactives. Indiquez le nombre de secondes devant s’écouler entre deux envois de paquets.

Déplacez des éléments de Jump d’un groupe de Jumps à l’autre en utilisant le menu déroulant Groupe de Jumps. La possibilité de déplacer des éléments de Jump vers et depuis différents groupes de Jumps dépend des autorisations pour votre compte.

Organisez encore mieux vos éléments de Jump en saisissant le nom d’une Balise nouvelle ou existante. Bien que les éléments de Jump sélectionnés soient rassemblés sous cette balise, ils seront toujours listés dans le groupe de Jump auquel chacun d’eux est attaché. Pour ramener un élément de Jump vers son groupe de Jump de plus haut niveau, laissez ce champ vide.

Les éléments de Jump comprennent un champ Commentaires pour un nom ou une description, ce qui facilite et accélère le tri, la recherche et l’identification des éléments de Jump.

Pour régler le moment pendant lequel les utilisateurs sont autorisés à accéder à cet élément de Jump, si une notification d’accès doit être envoyée, et/ou si une autorisation ou un ID de ticket provenant de votre système de ticket externe est requis pour l’utilisation de cet élément de Jump, choisissez une Règle de Jump. Ces règles doivent être configurées par l’administrateur dans l’interface /login.

Choisissez une règle de session à attribuer à cet élément de Jump. La règle de session attribuée à cet élément de Jump a la priorité la plus élevée lors de la configuration des autorisations de session. Le fait de pouvoir définir ou non une règle de session dépend là encore des autorisations définies pour votre compte.

Utiliser un raccourci de Shell Jump

Pour utiliser un raccourci de Shell Jump pour commencer une session, sélectionnez simplement le raccourci dans l’interface de Jump, puis cliquez sur le bouton Jump.

Clé hôte du serveur Shell Jump

Si vous tentez d’effectuer un Shell Jump vers un périphérique SSH sans clé hôte en cache, vous recevrez une alerte indiquant que la clé hôte du serveur n’est pas en cache et qu’il n’y a aucune garantie que le serveur soit celui que vous pensez.

Si vous sélectionnez Enregistrer la clé et se connecter, la clé est mise en cache sur le système hôte du Jumpoint afin que cette alerte ne s’affiche plus pour les tentatives suivantes de Shell Jump vers ce système. L’option Se connecter uniquement lance la session sans mettre la clé en cache, et Interrompre met fin à la session Shell Jump.

Lorsque vous effectuez un Shell Jump vers un périphérique distant, une session d’interpréteur de commandes commence immédiatement avec cet appareil. Si vous effectuez un Shell Jump vers un appareil SSH approvisionné avec une clé non cryptée ou avec une clé cryptée dont le mot de passe a été mis en cache, vous n’êtes pas invité à fournir un mot de passe. Dans le cas contraire, vous devrez saisir un mot de passe. Vous pouvez ensuite envoyer des commandes au système distant.

Les administrateurs peuvent configurer le filtrage de commandes sur les éléments Shell Jump pour bloquer certaines commandes et en autoriser d’autres, dans le but d’empêcher un utilisateur d’utiliser accidentellement une commande pouvant provoquer des résultats indésirables. Dans le cas où un utilisateur essayerait d’utiliser une commande correspondant à une expression non autorisée, il se verrait présenter une invite et ne serait pas autorisé à exécuter la commande.

Le filtre de commandes de BeyondTrust utilise des expressions régulières étendues, ne devant pas être confondues avec egrep. Pour plus d’informations, rendez-vous à l’adresse msdn.microsoft.com/en-us/library/bb982727.aspx.

Configurer le filtrage des invites d’interpréteur :

  1. connectez-vous à l’interface /login en tant qu’utilisateur avec l’autorisation de configurer les éléments de Jump et les règles de session.
  2. Rendez-vous dans Jump > Éléments de Jump et faites défiler vers le bas jusqu’à la section Filtrage de Shell Jump.
  3. Dans la boîte de texte Invites d’interpréteur reconnues, saisissez des regex correspondant aux invites d’interpréteur de commandes sur vos systèmes de points de terminaison, une par ligne.

 les sauts de ligne ou les nouvelles lignes ne sont pas autorisés au sein des modèles d’invite de commande saisis. Si un système de point de terminaison utilise une invite multiligne, saisissez une expression correspondant uniquement à la ligne finale de l’invite dans la boîte de texte.

  1. Cliquez sur Enregistrer.

 après avoir saisi les regex que vous souhaitez utiliser, vous pouvez procéder à un test avec une invite d’interpréteur pour déterminer si elle correspond à l’une des regex de la liste. Cela vous permet de tester vos regex sans avoir à débuter une session. Saisissez l’expression dans la boîte de texte Invite d’interpréteur et cliquez sur le bouton Vérifier. Vous recevrez une notification vous indiquant si l’invite d’interpréteur que vous avez saisie correspond à l’une des regex de la liste.

Configurer le filtrage des commandes :

  1. Rendez-vous dans Utilisateurs et sécurité > Règles de session et créez une nouvelle règle ou modifiez-en une existante.

 vous pouvez également configurer cela pour les utilisateurs et/ou les règles de groupe.

  1. Localisez le paramètre Modifier l’interpréteur de commandes dans la section Règle de session :: Modifier.
  2. Comme vous utiliserez le filtrage de commande avec les éléments de Shell Jump, sélectionnez le bouton radio Autoriser pour permettre l’utilisation de l’interpréteur de commandes.
  3. Choisissez entre Autoriser toutes les commandes, Autoriser les modèles de commandes ci-dessous, ou Interdire les modèles de commandes ci-dessous et spécifiez dans la boîte de texte quels modèles de regex vous souhaitez autoriser ou bloquer.

 une fois que vous avez saisi les modèles de commande que vous souhaitez autoriser ou bloquer, vous pouvez tester des commandes dans la boîte de texte Testeur de commandes. Cela vous permet de tester vos filtres de commandes sans avoir à débuter une session. Cela vous permet de tester vos filtres de commandes sans avoir à débuter une session. Vous recevrez une notification vous indiquant si l’exécution d’une des commandes saisies serait autorisée sur le système distant, sur la base des regex spécifiées dans la liste.

Les deux messages possibles sont :

  • La commande saisie sera autorisée selon vos sélections.
  • La commande saisie sera bloquée selon vos sélections.

Utiliser l’injection d’informations d’authentification avec SUDO sur un point de terminaison Linux

Pour utiliser l’injection d’informations d’authentification avec SUDO, un administrateur doit configurer un ou plusieurs comptes fonctionnels sur chaque point de terminaison Linux auxquels on pourra accéder par Shell Jump. Le processus pour configurer les fichiers sudoers étant complexe et différent pour chaque plate-forme, veuillez vous reporter à la documentation de votre plate-forme pour savoir comment accomplir ce processus. Chaque compte fonctionnel doit :

  • Permettre l’authentification par SSH (mot de passe ou clé SSH)
  • Avoir les informations d’authentification du compte stockées dans le gestionnaire d’informations d’authentification de point de terminaison
  • Avoir une ou plusieurs entrées dans /etc/sudoers autorisant le compte fonctionnel à accéder à une ou plusieurs commandes devant être exécutées sans nécessiter un mot de passe (NOPASSWD).

Un administrateur doit créer un élément de Shell Jump pour le point de terminaison.

un administrateur doit ensuite configurer le gestionnaire d’informations d’authentification de point de terminaison et/ou la banque de mots de passe pour accorder aux utilisateurs l’accès aux comptes fonctionnels pour cet élément de Jump.

Lorsqu’un utilisateur effectue un Jump sur l’élément de Shell Jump, il peut choisir dans la liste de comptes fonctionnels disponibles pour ce point de terminaison. Chaque compte fonctionnel a son propre ensemble de commandes pouvant être exécutées en utilisant SUDO, comme configuré par l’administrateur sur le point de terminaison. Les informations d’authentification pour le compte sont transmises du gestionnaire d’informations d’authentification de point de terminaison au point de terminaison.

il est possible de configurer les éléments de Jump pour permettre à plusieurs utilisateurs d’accéder au même élément de Jump en simultané. Si l’option Rejoindre une session existante est activée, d’autres utilisateurs sont susceptibles de rejoindre une session déjà en cours. Le propriétaire initial de la session reçoit une notification lui indiquant qu’un autre utilisateur a rejoint la session, mais il n’est pas autorisé à lui refuser l’accès. Pour en savoir plus sur les Jumps simultanés, veuillez consulter Paramètres d’élément de Jump.