Vous ne le savez pet être pas, mais si vous le savez je serais bien surpris, mais j’ai longtemps cru qu’accéder à mes serveurs depuis l’extérieur devait être une épreuve initiatique. Un rite tribal. Un sacrifice de port 22 sous la pleine lune.
Dans mon passé, chaque connexion à un serveur était un combat. Un duel entre l’homme et la machine (la machine gagnait souvent).
Jusqu’au jour où j’ai découvert Teleport.
Il existe déjà 143 articles sur Teleport, écrits par des gourous barbus sur Medium, des DevOps sous caféine et des influenceurs cloud certifiés AWS++.
Mais voilà. Il manquait le mien.
Ahh... Teleport...
Avec Teleport on se téléporte. Teleport, ce n’est pas juste un outil, c’est une porte dimensionnelle. Contrairement aux solutions traditionnelles, il ne se contente pas d’ouvrir une porte d’entrée : il centralise les accès, les sécurise, les trace, et surtout, il les simplifie. Grâce à lui, tu peux te connecter à tes serveurs, tes bases de données, ou même à tes sessions RDP Windows, avec une authentification forte, un accès web convivial, et un terminal en ligne de commande robuste.
Et le plus beau ? Il ne demande presque rien.
Un VPS à 1€, un nom de domaine à deux balles, et vous voilà propulsé dans une gestion des accès digne de la NSA...
Installons le sur mon VPS tout neuf à 1€ de chez IONOS. (1vcpu, 1 Go de RAM et 10Go de NVME)
Il y a mille et une façons de l'installer, mais pour les besoins de de l'article je vais déployer le self hosted demo cluster.
Doc officielle: https://goteleport.com/docs/admin-guides/deploy-a-cluster/linux-demo/
Installation et paramétrage
Avant toute chose, rajoutez deux enregistrements DNS "A" à partir de portail de votre registrar, chacun pointant vers l'adresse IP publique de votre hôte Linux (notre VPS Ionos). En supposant que votre nom de domaine soit teleport.example.com, configurez les enregistrements pour :
Source:
Lancez cette commande sur votre hôte Linux:
curl https://cdn.teleport.dev/install.sh | bash -s 17.5.1
Ensuite cette commande pour configurer le certificat:
sudo teleport configure -o file \
--acme --acme-email=user@example.com \
--cluster-name=teleport.example.com
sudo systemctl enable teleport sudo systemctl start teleport
Et si vous avez bien configuré vos DNS, en tapant https://teleport.exemple.com (avec votre nom de domaine bien-sur) vous devrez tomber sur le portail!
Ta daaaaam !!!
Maintenant il nous reste à créer l'admin principal:
sudo tctl users add teleport-admin --roles=editor,access --logins=root,ubuntu
Le serveur Teleport nous retourne une URL, il faudra se connecter dessus pour finaliser le paramétrage du compte.
Création du mot de passe
Configuration de la MFA
Et bim! Vous y êtes!
Ensuite il suffit d'aller dans "Enroll New Resource", ou "Add New" > "Resource"
Choisissez le type de la "resource" que vous voulez enroller, j'ai choisi RHEL/CentOS:
Recèperez et lancez la commande retournée sur l’hôte que vous voulez enroller, et le tour est joué!
Au bout de quelques instants je vois mon Wazuh de test remonter sur mon Teleport de test :=)
Aller plus loin
Je vais m’arrêter la, mais j'imagine que vous l'avez deviné, la puissance de Teleport ne s’arrête pas la..., en fait elle commence juste! :)
Parmi les points les plus marquants, je noterais:
- Connexions aux serveurs SSH (Linux),
- Connexions aux bases de données,
- Connexions aux clusters Kubernetes,
- Connexions aux sessions RDP Windows.
- Connexions aux Application Web que vous ne souhaitez pas exposer à tout le monde...
Fonctionnalités clés :
- SSO (OAuth, GitHub, SAML, etc),
- 2FA obligatoire (TOTP ou WebAuthn),
- Journalisation complète des sessions (audit),
- Accès via terminal (tsh ssh) ou interface web (https://teleport.mondomaine.tld),
- Intégration facile dans les environnements cloud et hybrides.
- RBAC: rôles, permissions, accès finement réglés comme une montre suisse
Et comme je ne suis pas là pour écrire un roman, je finirais en disant:
"Si vous cherchez à simplifier votre quotidien tout en élevant votre niveau de sécurité, alors il est peut-être temps de laisser tomber vos clés SSH... et d’embarquer avec Teleport".
Je vous laisse, j’ai une session Teleport à savourer. :-)
PS : Ce post n’est pas sponsorisé par Teleport. Mais si vous me lisez, les gars, je suis chaud pour un t-shirt. ;)