
Pangolin SSH : accès SSH privé, RDP, bastion et provisioning
·7605 mots·36 mins
Pangolin commence souvent comme un reverse proxy Zero Trust pour des interfaces web.
Mais son intérêt ne s’arrête pas aux dashboards HTTP. L’accès SSH est probablement l’un des cas d’usage les plus intéressants, parce qu’il touche à une surface sensible : l’administration système.
Le réflexe classique reste d’ouvrir 22/tcp sur Internet, de filtrer par IP, puis de compter sur Fail2ban, CrowdSec ou une configuration OpenSSH correcte. Ça peut fonctionner. Mais dès que plusieurs personnes doivent accéder à plusieurs machines, le modèle devient vite pénible à maintenir proprement.
Pangolin SSH propose une autre approche :
ne pas exposer directement SSH sur Internet ; contrôler l’accès par identité, rôle et machine ; utiliser un tunnel Pangolin vers le réseau cible ; garder des ressources limitées, au lieu de donner accès à tout un LAN ; offrir soit un terminal web, soit un accès CLI classique. À noter avant d’aller plus loin : d’après la documentation Pangolin consultée le 2 juillet 2026, les fonctionnalités SSH décrites ici sont disponibles avec Pangolin Cloud et Pangolin Enterprise Edition. En self-hosted Community Edition, vérifiez ce que votre instance expose réellement dans l’interface.
C’est la suite logique des deux premiers articles de la série :
installation de Pangolin et premiers sites Newt ; exposition d’une interface sensible derrière le SSO ; puis maintenant : accès shell, bastion, OpenSSH et provisioning. Je ne vais pas refaire la documentation Pangolin. Le but est de poser une architecture exploitable, avec les choix qui évitent de transformer un bon outil d’accès en nouveau point faible.
