Connexion SFTP sans login avec des clés ssh

[Langer]

Bonjour à tous,

je me demandais si il était possible de faire manger à DownloadStation des liens SFTP (depuis un flux RSS) qui nécessitent une authentification sur un serveur distant, mais sans inscrire le login et le mot de passe dans le lien, grace au clés ssh.

Exemple de fichier qui se fait télécharger par DownloadStation sans problème

Citation

sftp://login:mdp@IPFTPSERVEUR/chemin/fichier

je souhaite que le lien soi sous cette forme pour que le mot de passe ne soit plus visible.

Citation

sftp://login@IPFTPSERVEUR/chemin/fichier ou sftp://IPFTPSERVEUR/chemin/fichier

J'ai donc créer des clés de connexion ssh entre le syno et mon serveur distant pour éviter de rentrer le mot de passe à chaque fois.

Dans la console du syno, la connexion sftp sans mot de passe au serveur distant fonctionne bien, mais les liens sftp rentrés dans DownloadStation ne sont pas téléchargés, il y a une erreur.

 

Y a t il des paramètres supplémentaires à modifier dans le cœur de DownloadStation pour qu'il considère les connexions par clés SSH?

Merci de votre aide

 

[Langer]

Update :

J'ai eu un retour du support Synology qui m'a confirmer que ce n'était pas possible pour l'instant, mais qu'il allait probablement intégrer cette fonctionnalité dans une mise à jour futur :

Citation

Unfortunately not possible at this time. I will submit this functonality as a feature request to our developers on your behalf. I can't currently give a timeline for its inclusion, but you can sign up here to be notified of updates automatically by email: http://sy.to/registersynologyaccount

 

[Fenrir]

Sinon, si ton flux rss ne contient pas l'historique, tu peux le faire avec un petit script.

wget -q -O- "ton.xml" | grep -o '<enclosure url="[^"]*' | grep -o '[^"]*$' | xargs ...

 

[Langer]

Le 23/08/2017 à 11:04, Fenrir a dit :

$' | xargs ...

 

Salut Fenrir,

Le flux Rss conserve l'historique, mais je peux surement le paramétrer différemment. A vrai dire, j'aimerai que tout passe par le DownloadStation, pour un suivi plus simple :)

Je vais attendre sagement l'implantation du feature dans une mise à jour du syno, je suis pas pressé, ça fait 2 ans que je chercher une solution haha

 

[Fenrir]

Petite question, pourquoi passer par du SFTP si c'est juste en téléchargement ? https avec authentification ça marche aussi bien (même mieux) ou encore FTPs (sauf niveau parefeu avec les ports dynamiques)

[Langer]

Pas fou,

J'ai jamais testé le HTTPS avec authentification, je vais tester ce soir. Les débits seront peut être différents.

Je souhaite de toute manière ne plus avoir l'authentification dans mes liens rss, mais avec des clés ssh sur les deux machines. Je pense que cela sera transparent pour DownloadStation si l'authentification par clés se transmette, que ce soit du SFTP ou HTTPS

[Fenrir]

Par HTTPS ça sera potentiellement plus rapide qu'en SFTP, par contre l'authentification en HTTP (S ou non), ça ne passe pas par des clefs mais par login/pass (qui seront chiffrés dans S) ou par certificat (plus complexe à gérer et ça ne t'avancera pas).

=>HTTPS avec login+pass c'est géré par syno et c'est autant sécurisé que sftp (si la conf est correcte coté serveur).

[Langer]

Si je comprends bien, le lien HTTPS contiendrait quand même login et mot de passe ?

[Fenrir]

Au temps pour moi, je pensais qu'on pouvais entrer un login/pass dans DownloadStation pour les RSS comme on peut le faire pour les téléchargements direct ...

À titre perso, je fais aussi des sauvegardes via le module RSS de DownloadStation, j'ai juste configuré le serveur Web pour qu'il n'autorise que mon IP à se connecter (enfin ça c'était avant que je monte un vpn entre les 2)

[Langer]

j'avais fait un .htaccess effectivement pour n'autoriser que mon IP, mais malheureusement je n'ai plus d'IP fixe ...

Je pense aussi au VPN entre les deux serveurs aussi, mais je crois que tout le flux DownStation passera par mon serveur distant, ce que je ne souhaite pas non plus. Je m' attarderai une fois le reste résolu haha

[Fenrir]

Si ton serveur a une ip fixe, ce que je pense, il suffit d'ajouter une route sur le syno pour que seuls les flux à destination de cette adresse passent par le VPN, ou tu indiques directement l'adresse "vpn" du serveur dans tes RSS.

Sinon il y a plein d'autres manières de faire, mais comme je ne sais pas quel est ton objectif ...

[Langer]

J'ai un serveur distant avec Yunohost dessus, avec wordpress et ma seedbox.

Un script php permet de génèrer un flux rss de tous les téléchargements, cependant avec le login et mot de passe en clair, pour que DownloadStation puisse grabber les liens. http://www.nas-forum.com/forum/topic/37336-ssh-download-station-ou-notification/?page=2

L'idée est de connecter DownloadStation avec le serveur distant par clé ssh pour que le mot de passe ne soit plus obligé d'apparaitre dans les liens du flux rss.

 

Je fais aussi une sauvegarde de certains dossiers de mon Syno vers mon serveur distant avec HyperBackup.

C'est peut être too much pour mes besoins mais s'il est possible d'encapsuler seulement le trafic de Hyperbackup et du sftp par DownloadStation dans un VPN entre mon serveur distant et le Syno, la sécurité serait encore augmentée :)

 

Modifié le 26 août 2017 par Langer

[Fenrir]

, ça me fait penser à un truc : https://blog.fenrir.fr/2013/10/24/sauvegarde-via-rss/

Dans ton cas, sans IP fixe et avec DownloadStation qui ne sait pas gérer les clefs ni gérer des login/pass centralisés, le plus simple reste bien le VPN.

Tu installes un serveur VPN (openvpn par exemple) et tu configures ton nas pour qu'il s'y connecte automatiquement (mais qu'il ne l'utilise pas comme passerelle par défaut et dans tes rss, tu indiques l'adresse "VPN" du serveur. Pour sécuriser un peu plus, tu peux configurer ton virtualhost pour qu'il n'accepte que les connexions venants d'ip privées.

Accessoirement, le serveur VPN pourra te servir à plein d'autres choses (administration du serveur, surfer avec l'ip du serveur, ...).

[Langer]

ok, je vais essayer, il y a l'app OpenVPN sur Yunohost.

J'ai dèjà un client VPN privé pour mon surf, dont le serveur est bcp plus proche que mon serveur distant actuel :)

Modifié le 26 août 2017 par Langer

[Fenrir]

En passant, c'est devenu stable Yunohost ?

J'avais testé il y a 2 ou 3 ans, ce n'était pas très fiable pour un usage un peu avancé.

[Langer]

Je trouve que ça fonctionne bien, j'ai pas eu de problème pendant 1 an avec. Les app sont beaucoup plus nombreuses maintenant. Je ne fais pas des choses très avancées par contre haha

 

 

Modifié le 26 août 2017 par Langer