Guacamole sur un plateau (5/5) : on passe à deux facteurs, et c‘est terminé !

Après une semaine de préparatif, on arrive à la fin de notre tuto pour installer Guacamole. Il ne reste plus qu’à ajouter un second facteur, qui passe tant qu’à faire par un second canal, afin de renforcer la sécurité.

Notre dossier sur Guacamole :

• Guacamole sur un plateau (1/5) : on monte un bastion sécurisé
• Guacamole sur un plateau (2/5) : Apache Tomcat et Let’s Encrypt
• Guacamole sur un plateau (3/5) : on écrase nos avocats (serveur et client)
• Guacamole sur un plateau (4/5) : on sécurise la base de données
• Guacamole sur un plateau (5/5) : on passe à deux facteurs, et c‘est terminé !

Mettons deux facteurs dans la boîte

Nous vous conseillons grandement d’utiliser une solution permettant de sécuriser l’authentification à votre application Guacamole, vu qu’on pourra accéder à vos serveurs depuis le web.

Parmi les options possibles proposées, vous avez du TOTP (mot de passe à usage unique basé sur le temps, Time based One Time Password en anglais) ou la solution Duo. Pour le TOTP, il y a bien évidemment Google Authenticator, mais si cela réalise un second facteur, cela ne passe pas par un second canal, c’est-à-dire un canal déconnecté du premier.

En effet, quand vous saisissez le code à 6 chiffres du TOTP, vous l’entrez dans la même interface sur le même serveur que le mot de passe (qui est le premier facteur d’authentification). Cela vous protège du vol de mot de passe, ce qui est toujours bon à prendre, mais cela ne va pas contrecarrer un keylogger qui pourra rejouer le même code TOTP s’il agit dans la minute

Certes, cette menace est peu probable, ce qui explique qu’un TOTP suffise en général, mais les banques (par exemple) savent bien que le TOTP n’est pas infaillible et que le passage par un second canal apporte un niveau supplémentaire de sécurité (nous disons bien “supplémentaire”, pas “absolu”).

Illustrons ici avec Duo, qu’on peut utiliser gratuitement tant qu’on reste dans le cadre limité d’une utilisation personnelle avec peu de machines à sécuriser et qui nous permettra d’avoir une authentification multicanale.

root@r:/# cd /guacd
root@r:/guacd# wget https://downloads.apache.org/guacamole/1.5.3/binary/guacamole-auth-duo-1.5.3.tar.gz.asc
root@r:/guacd# wget https://downloads.apache.org/guacamole/1.5.3/binary/guacamole-auth-duo-1.5.3.tar.gz
root@r:/guacd# gpg -v guacamole-auth-duo-1.5.3.tar.gz.asc
root@r:/guacd# tar -xf guacamole-auth-duo-1.5.3.tar.gz
root@r:/guacd# cd guacamole-auth-duo-1.5.3/
root@r:/guacd/guacamole-auth-duo-1.5.3# cp guacamole-auth-duo-1.5.3.jar /etc/guacamole/extensions/
root@r:/guacd/guacamole-auth-duo-1.5.3# systemctl restart tomcat9

Pour le fichier propriétés, il faut adapter les valeurs :

root@r:/etc/guacamole# cat guacamole.properties
# Hostname and Guacamole server port
guacd-hostname: localhost
guacd-port: 4822
 
# MySQL properties
mysql-hostname: localhost
mysql-port: 3306
mysql-database: guacd
mysql-username: guacd_user
mysql-password: un_bon_mot_de_passe
 
# DUO
duo-api-hostname=api-xxxxx.duosecurity.com
duo-integration-key=xxxxxxxxxxxxxxxxxxxx
duo-secret-key=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
duo-application-key=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Comment obtenir les valeurs de clé nécessaires pour l’utilisation de Duo ? En allant sur duo.com, en créant son petit compte perso et en joutant une application de type « Web SDK ».

Recopiez et mémorisez les valeurs fournies dans l’écran suivant (qu’il faut valider).

Pour la dernière valeur (duo-application-key), mettez une valeur aléatoire. Pour en obtenir une en Python, vous pouvez par exemple essayer çà :

import os, hashlib
print(hashlib.sha1(os.urandom(32)).hexdigest())

Puis, on redémarre tout !

root@r:/etc/letsencrypt# systemctl restart tomcat9 guacd

Il ne reste qu’à ajouter vos serveurs, en fonction des types de connexions que vous souhaitez utiliser, avec “Nouvelle Connexion” dans le menu Paramètres puis Connexions.

N’oubliez pas des paramètres tels que « Agencement clavier » ou « nombre de couleurs », à ajuster selon vos goûts et vos contraintes (lissage des polices, affichage du fond d’écran, etc.).

Vous obtiendrez finalement un écran similaire à celui-ci :

Vous profiterez ainsi de vos machines distantes de façon efficace, en utilisant les caractéristiques et les avancées proposées par HTML 5 !

Sources

• • A Step-By-Step Guide to Securing a Tomcat Server With LetsEncrypt or Any SSL Certificate | by Mahdi Mashrur Matin | Medium

• • Using Let's Encrypt certificates in Java applications - Ken Coenen — Ordina JWorks Tech Blog (ordina-jworks.io)

• • 17 exemples de commandes Keytool à connaître en tant qu'administrateur système et développeur - Geekflare

• • Utilisation de l'outil de clé pour le provisionnement - Documentation IBM

• • Java Keytool - Créer un Keystore :: Java Keytool - Créer un Keystore :: GlobalSign Support

• • Créer un Java Key Store (JKS) en ligne de commande | Net-Security

• • Apache Guacamole, un bastion d'administration RDP, SSH, etc. (it-connect.fr)

• • Guacamole : gérer les accès à votre environnement informatique - RDR-IT

• • Install and Use Guacamole Remote Desktop on Ubuntu 20.04 | ComputingForGeeks