Les premières solutions proposées pour avoir accès à un shell sur une machine distante (connectée au réseau), comme rsh ou telnet, fonctionnelles, souffraient d'un sérieux handicap : tous les échanges entre le poste client et la machine distante circulaient en clair. Pas uniquement les données, mais aussi le nom d'utilisateur et le mot de passe.
Les réseaux n'étant pas toujours sûrs, et la possibilité technique de voir (sniffer) tout ce qui se passe entre deux machines sur un réseau, posent alors de sérieux problèmes de sécurité.
rsh et telnet ne sont pas les seuls programmes à procéder de la sorte. La majorité des protocoles traditionnels échangent toutes sortes d'informations en clair sur le réseau : FTP, HTTP, POP3, IMAP, NFS...
Une solution de shell distant sécurisé, possédant toutes les fonctionnalités de rsh, mais dont les connexions entre les machines sont chiffrées, est donc apparue : c'est OpenSSH.
OpenSSH est une alternative au programme SSH, libre (sous licence OpenBSD) et plus sécurisée, en particulier du fait que son code peut être audité. Elle date de 1999.
Son logo est Puffy, un poisson globe jaune, est choisi à cause de l'algorithme Blowfish, et de la manière qu'a ce poisson de se protéger.
OpenSSH se compose :
Ainsi, on ne peut se connecter qu'aux machines possédant un serveur SSH, et pour s'y connecter il nous faut un client SSH. Ce dernier est installé de base dans les distributions GNU/Linux modernes. Quant au serveur, si vous en avez besoin, vous pouvez l'installer comme suit (sur une distribution Debian/Ubuntu) :
$ sudo aptitude install openssh-server
Notez la création d'une clé RSA, et d'une clé DSA, lors de l'installation du serveur.
Outre la possibilité d'avoir accès à un terminal distant en chiffrant les échanges, OpenSSL permet aussi ;
Une machine est identifiée pas son adresse ou son nom. Un pirate peut utiliser ces informations, et se faire passer soit pour le client, soit pour le serveur lors d'une quelconque connexion.
Cette usurpation d'identité est impossible sous OpenSSH, qui ajoute une couche d'authentification, identifiant les parties en présence à l'aide d'une clé.
La clé de type RSA sert pour l'identification (dire qui on est), la clé DSA pour l'authentification (prouver qui on est).