Nov 21, 2024

Wiki

Python

Aide

edit SideBar

Search

Open Ssh


Présentation

Origine

Les premières solutions proposées pour avoir accès à un shell sur une machine distante (connectée au réseau), comme rsh ou telnet, fonctionnelles, souffraient d'un sérieux handicap : tous les échanges entre le poste client et la machine distante circulaient en clair. Pas uniquement les données, mais aussi le nom d'utilisateur et le mot de passe.

Les réseaux n'étant pas toujours sûrs, et la possibilité technique de voir (sniffer) tout ce qui se passe entre deux machines sur un réseau, posent alors de sérieux problèmes de sécurité.

rsh et telnet ne sont pas les seuls programmes à procéder de la sorte. La majorité des protocoles traditionnels échangent toutes sortes d'informations en clair sur le réseau : FTP, HTTP, POP3, IMAP, NFS...

Une solution de shell distant sécurisé, possédant toutes les fonctionnalités de rsh, mais dont les connexions entre les machines sont chiffrées, est donc apparue : c'est OpenSSH.

Historique

OpenSSH est une alternative au programme SSH, libre (sous licence OpenBSD) et plus sécurisée, en particulier du fait que son code peut être audité. Elle date de 1999.

Son logo est Puffy, un poisson globe jaune, est choisi à cause de l'algorithme Blowfish, et de la manière qu'a ce poisson de se protéger.

Installation

OpenSSH se compose :

  • d'un serveur, programme attendant les connexions SSH en provenance de l'extérieur,
  • d'un client, qui permet de se connecter à une machine en attente de connexion (disposant d'un serveur OpenSSH).

Ainsi, on ne peut se connecter qu'aux machines possédant un serveur SSH, et pour s'y connecter il nous faut un client SSH. Ce dernier est installé de base dans les distributions GNU/Linux modernes. Quant au serveur, si vous en avez besoin, vous pouvez l'installer comme suit (sur une distribution Debian/Ubuntu) :

  $ sudo aptitude install openssh-server

Notez la création d'une clé RSA, et d'une clé DSA, lors de l'installation du serveur.

Utilisation

Outre la possibilité d'avoir accès à un terminal distant en chiffrant les échanges, OpenSSL permet aussi ;

  • de sécuriser des protocoles déjà existants,
  • de posséder un système d'authentification des machines en présence...

Le système d'authentification

Une machine est identifiée pas son adresse ou son nom. Un pirate peut utiliser ces informations, et se faire passer soit pour le client, soit pour le serveur lors d'une quelconque connexion.

Cette usurpation d'identité est impossible sous OpenSSH, qui ajoute une couche d'authentification, identifiant les parties en présence à l'aide d'une clé.

Les clés SSH

La clé de type RSA sert pour l'identification (dire qui on est), la clé DSA pour l'authentification (prouver qui on est).

Page Actions

Recent Changes

Group & Page

Back Links