USB partagée entre plusieurs machines

Support Debian
#1

Bonjour,

Quelqu’un connait-il un moyen de pouvoir partager une même clef USB entre plusieurs ordinateurs?
Je sais le faire entre deux machines avec USB/IP, mais c’est une seule machine distante vis à vis de la machine ayant la clef physiquement.
Je voudrais le faire entre tout un parc de machine avec une seule clef.
L’utilisation est uniquement en lecture.

L’objectif final est de faire une gestion du verrouillage des machines si la clef n’est pas présente (plus d’accès distants, plus de saisie d’identifiant en session locale, verrouillage des disques chiffrés…).

La clef est une Yubikey 5.

#2

Bonjour,

Il existe plusieurs solutions :

  1. VirtualHere : Permet de partager un périphérique USB sur le réseau. Tu peux l’installer sur un Raspberry Pi (ou une machine dédiée) et autoriser plusieurs connexions.
    USB over Network (FabulaTech) : Solution commerciale qui permet de partager des périphériques USB sur un réseau avec plusieurs connexions simultanées.

Limite : Si ta clé ne permet qu’une connexion à la fois, cela peut bloquer. Mais pour de la lecture (comme vérifier la présence de la clé), ça peut suffire.

NFS/Samba avec un dump sécurisé de la clé
Authentification centralisée avec YubiKey
Solutions hardware dédiées

#3

Virtualhere est à bannir. La licence n’est pas transférable. Installée sur une machine, pas possible de le faire sur une autre.
En plus le dev n’est pas sympa, les retours sont très mauvais sur le net.

Coté clef pas de soucis.

L’authentification coté yubikey, le serveur est un serveur OPT et HOTP/OATH uniquement.

L’ancien serveur a été supprimé coté yubico, il est passé en obsolète et à priori on ne peut plus le download.

NFS/SAMBA pas utilisable pour les clefs de sécurité comme yubikey ou nitrokey.

Après il y a le hard, mais on tape cher:

  • 500€ pour Anywhere USB avec 2 ports USB.
  • 120€ pour le F5L009 Belkin (probablement le moins cher)
  • 120 à 140€ pour AnyplaceUSB qui doit être connecté à un PC (windows et max only semble-t-il, nécessite un logiciel spécifique sur le serveur et le client)
#4

Re,
Je suppose que tu as également regardé de ce côté là : USB over Network (alternatives à VirtualHere)… cout élevé sur le long terme.
Hub USB sur IP avec bascule manuelle
Belkin F5L009 comme tu l’annonçais : il faut compter environ 120 €
Tu peux aussi utiliser Raspberry Pi avec un hub USB et un outil comme usbip
Egalement : Authentification centralisée via RADIUS avec OTP local mais tu vas dépendre du serveur central
Attention pas très sécurisé malgré « l’intitulé » un Dump sécurisé avec vérification distante

#5

Oui ça coûte un bras, la chemise avec.

Pas possible pour USB/IP, une seule machine a la possibilité de monter le device. J’ai déjà utilisé, avec un tunn el pour sécuriser le protocole USB/IP car il n’y a aucune sécurité. Mais si je veux pouvoir accéder au device avec plusieurs machines pas possible.

Non il faut impérativement utiliser la clef. En fait l’idée est de ne pas pouvoir faire la moindre authentification tant que la clef n’est pas branchée.
Elle a deux rôle, dévérouiller les systèmes, et permettre l’authentification.

#6

Tu pourrais la monter à l’intérieur d’un serveur apache

#7

Il n’existe pas de solution parfaite et abordable à ma connaissance pour partager une clé USB physique sur plusieurs machines simultanément. Si le budget est limité, la meilleure approche serait sans doute un KVM USB intelligent ou un serveur d’authentification centralisé avec watchdog local .

#8

Ce sont des hub mais ca va de 120 à 300 euros suivant la marque et le modèle sans compter que certains ne sont pas compatibles linux.

Les solutions sont viable (au moins sous Windows) pour en avoir utilisé professionnellement (même si le modèle à l’époque était un peut difficile à mettre en place).

J’ai bien peut de devoir me résoudre à acheter un des modèle (ceux à 120 euros) mais il faut que je fasse attention aux licences.

Ou alors de trouver comment le faire en modifiant le code source de USB/IP, mais je ne suis pas sur d’en avoir assez les compétences. A étudier aussi comme solution.

#9

Si l’achat d’un hub USB réseau n’est pas envisageable, des alternatives logicielles comme USB Network Gate permettent de transformer un concentrateur USB classique en appareil sans fil, partageant ainsi l’accès aux périphériques USB sur un réseau. Cependant, cette solution peut nécessiter des compétences techniques pour la mise en place et la configuration.​net-usb.com. Mais je pense que c’est à ta porté.

Citation
Si cela peut t’aider : https://learn.microsoft.com/fr-fr/windows/wsl/connect-usb

#10

J’ai regardé la solution, elle semble pas mal, mais ça veut dire:

  • utiliser le wifi, moins fiable que le cable
  • Coté sécurité le wifi est moins bien que le cable
  • Je ne veut pas qu’on puisse avoir accès au système sans accès physique. Car c’est l’idée de départ. Pas moyen de pouvoir accéder au système sans la clef et sans l’accès local.

Mais ça peut être une bonne étape de départ.

#11

On est d’accord sur le WIFI mais… En fait, USB Network Gate peut fonctionner aussi bien sur Wi-Fi que sur un réseau filaire Ethernet ! Le logiciel transmet les données USB sur IP, donc si tes « machines » sont connectées par câble réseau, tu bénéficies d’une connexion stable et sécurisée.
Après tu peux aussi regarder du côté d’un Serveurs USB sur Ethernet (sans Wi-Fi) :

Silex DS-600 ou Digi AnywhereUSB : ils branchent tes périphériques USB et les partagent sur le réseau via un simple câble RJ45. Si tu ne les connais pas déjà
Après côté tarifs ça pique un peu… beaucoup :slight_smile:

1 J'aime
#12

Petit supplément, avec Trump, les tarifs de produits américain ont pris 25% :slight_smile: l’exemple chez net-usb justement: Acheter USB Network Gate - Licences Individuelles et Professionnelles

Et coté USBIP: c’est géré par l’équipe Debian su package Linux 6.12.12, dsauf que le code n’ pas été modifié depuis 2016/2015 au bas mot…
Donc projet mort à moins de le ramener à la vie…:frowning:, pas facile le code n’est pas très commenté et certains choix d’architecture sont discutables.
D’autant qu’aucun contact cité dans les paquets n’a daigné répondre. Ce qui n’est pas très top pour un projet global ayant les prétentions qu’ils ont.

Me reste qu’à abandonner le sujet tel qu’il est, et de voir pour faire autrement. Les produits du marché sont de véritable rackets.