Synchronisation de fichier sur un serveur SSH

[invite5e0178f7]

Bonjour tout le monde

Je suis sur ce projet depuis un certain temps.
L'objectif était de faire un script qu'on pouvait appeler directement en cliquant dessus ou par ligne de programme .
Il doit pouvoir synchroniser un document de l'ordinateur sur un serveur SSH (en local pour le test).
Pour cela je me suis servi de Winscp pour faire mon script.
Malheureusement je me suis aperçu que les scripts ne sont pas sécurisés.
et Winscp n'accepte que les codes UTF8 et UTF-16 donc je ne peux pas les transformer en .exe.
Connaissez-vous une autre méthode pour faire la même chose?
un langage ou autres
Je vous montre quand même mon code qui fonctionne en .bat avec les extensions Winscp.

j'ai un .bat qui lance la console sur Winscp et appel le script

Code:

@echo off
"C:\Program Files (x86)\WinSCP\WinSCP.com" /ini="C:\Program Files (x86)\WinSCP\WinScp.ini" /console /script=C:\Users\XXXX\Desktop\winscp\V3\script.bat
pause
close
exit

et ça c'est le script de connexion au serveur et de synchronisation des documents

Code:

option batch on
option confirm off
Open sftp://root:root@127.0.0.1/ -hostkey="ssh-rsa 1024 d0:ae:2b:e6:ed:90:89:3e:ed:76:f5:d7:a9:ee:ff:87"
option transfer binary

cd serveurSSH/BDD/         
lcd "C:\Users\PORO\Documents\testSSH\clientSSH\BDD"
synchronize remote  C:\Users\XXXX\Documents\testSSH\clientSSH\BDD\  /serveurSSH/BDD/ 

close
exit

dans l'espoir que quelqu'un puisse m'aider et/ou que mon code aide quelqu'un

Bonne journée
-----

[invite5e0178f7]

bonjour

j'ai 2 idée:
le script d'appel décrypte utilise puis recrypte le scrypt.bat
ainsi le mdp serveur reste illisible en temps normale.
mais il reste lisible lors de l’exécution
Bloquer l'access de l'utilisateur au fichier et autorisé l’exécution via un raccourcie.
mais il reste encore lisible lors de l’exécution

Si quelqu'un à une autre idée je suis preneur.

Bonne journée

[pm42]

J'ai du mal à voir quel est ton problème. Quand tu dis "les scripts ne sont pas sécurisés", c'est contre quoi ?
Parce que là, toutes les solutions que tu proposes, que ce soit de passer en .exe ou de crypter/décrypter le script ne changent absolument rien à la sécurité sauf si l'utilisateur est une quiche complète.
Mais en sécurité, ce n'est pas contre eux qu'on se protège.

A partir du moment où il est possible de faire du ssh/sftp entre ton serveur et ton client et sans authentification à chaque fois, tu as un risque de sécurité.
Il y a des solutions avec des droits d'accès restreints, en faisant faire la synchronisation par un service qui tourne sous l'id d'un autre utilisateur qui n'a pas les droits de se logger (mais c'est plus lourd), etc.

Mais rien n'est parfait et il faudrait connaitre le besoin et le risque réel pour savoir quelle est la meilleure solution.
Par contre, vouloir sécuriser sans bien connaitre le sujet amène en général à faire des trucs qui ne marchent pas, du genre mettre une porte blindée mais oublier les fenêtres.

[invite5e0178f7]

Bonjour,

Désolé si je n'ai pas été claire
En gros dans mon script.bat il y a

Code:

sftp://root:root@127.0.0.1/

hors j'ai lu que des logiciels permettent d'intercepter les lignes de commande l'or de leur exécution
donc un hack peux obtenir les ID, mdp et IP du serveur.
Ce que j’aimerais c'est de me protégé contre ça ainsi contre les modification et la lecture du .bat.
Mais ça je pense que c'est impossible d’où m'a demande d'aide.

Bonne jounnée

[A voir en vidéo sur Futura]

[pm42]

En gros dans mon script.bat il y a

Code:

sftp://root:root@127.0.0.1/

Bon déjà, il ne faut jamais utiliser le compte root pour ça.

hors j'ai lu que des logiciels permettent d'intercepter les lignes de commande l'or de leur exécution
donc un hack peux obtenir les ID, mdp et IP du serveur.

L'ip du serveur n'est pas quelque chose qu'on doit protéger.
Par contre, mettre un login et mot de passe en clair est clairement une mauvaise idée.

Dans le cas de ssh/sftp, il vaut mieux utiliser le mécanisme de clé publique/privée.
Mais de toute manière, il n'y a pas de miracles : quelqu'un qui a accès à la machine pourra éventuellement l'exploiter. Mais cela sera plus compliqué pour lui.

Ce que j’aimerais c'est de me protégé contre ça ainsi contre les modification et la lecture du .bat.

Comme je disais, on ne peut pas sécuriser sans connaitre exactement le besoin, le contexte, les attaques possibles...