SSH™ permet aux utilisateurs de se connecter à distance à un autre système hôte. Contrairement à rlogin ou telnet, SSH chiffre la session de connexion et empêche ainsi aux hackers de détecter les mots de passe en texte clair.
SSH est conçu pour remplacer les méthodes classiques de connexion distante à un autre système via le shell. Un programme similaire appelé scp remplace des programmes moins récents, tels que ftp ou rcp, qui copient les fichiers entre les différents hôtes. Puisque ces applications ne chiffrent pas les mots de passe entre le client et le serveur, évitez de les utiliser lorsque possible. En utilisant des méthodes sécurisées pour vous connecter à distance à d'autres systèmes, vous réduisez les risques en matière de sécurité, pour votre s ystème et le système distant.
SSH (ou Secure SHell) est un protocole servant à créer une connexion sécurisée entre deux systèmes. Dans le protocole SSH, un ordinateur client établit une connexion avec un ordinateur serveur.
SSH offre les garanties de sécurité suivantes :
Après avoir effectué une connexion initiale, le client peut s'assurer de se connecter au même serveur lors des sessions suivantes.
Le client peut transmettre ses données d'authentification au serveur, telles que son nom d'utilisateur et son mot de passe, en format crypté.
Toutes les données envoyées et reçues pendant la connexion sont transférées de façon chiffrée, ce qui les rend extrêmement difficiles à déchiffrer et à lire.
Le client a la possibilité d'utiliser des applications X11 [1] lancées à partir de l'invite du shell. Cette technique, appelée X11 forwarding, permet d'utiliser de façon sécurisée des applications graphiques sur un réseau.
Puisque le protocole SSH chiffre tout ce qu'il envoie et reçoit, il peut être utilisé pour sécuriser des protocoles non sûrs. Grâce à la technique de retransmission de port, un serveur SSH peut être employé pour sécuriser des protocoles non sûrs, tel que POP, augmentant ainsi la sécurité du système et des données.
Red Hat Linux 7.3 contient le paquetage OpenSSH général, (openssh), le serveur OpenSSH (openssh-server) ainsi que des paquetages client (openssh-clients). Consultez le chapitre OpenSSH du Guide de personnalisation officiel Red Hat Linux pour avoir des instructions d'installation et d'utilisation d'OpenSSH. Notez également que les paquetages OpenSSH requièrent le paquetage OpenSSL (openssl). OpenSSL installe de nombreuses bibliothèques cryptographiques importantes qui aident OpenSSH à chiffrer les communications.
Un grand nombre de programmes client et serveur peuvent utiliser le protocole SSH. Il existe plusieurs versions de clients SSH pour les principaux systèmes d'exploitation utilisés aujourd'hui. Donc, même si un utilisateur se connectant à votre système n'utilise pas Red Hat Linux, il peut tout de même avoir recours à un client SSH fait pour son propre système d'exploitation.
L'interception de paquets, la mystification DNS et IP spoofing [2] ainsi que la diffusion de fausses informations de routage ne sont que quelques exemples des menaces qui planent lors des communications en réseau. En d'autres termes, nous pourrions catégoriser ces menaces de la façon suivante :
Interception d'une communication entre deux systèmes — ce scénario implique la présence d'un troisième élément quelque part sur le réseau entre les deux systèmes connectés qui copie l'information échangée entre eux. Celui-ci peut copier et garder l'information ou alors la modifier avant de l'envoyer au destinataire prévu.
Usurpation de l'identité d'un hôte — grâce à cette technique, un système intercepteur prétend être le destinataire désiré d'un message. Si cela fonctionne, le client ne s'en rend pas compte et continue de lui envoyer toute l'information, comme s'il était connecté au bon destinataire.
Dans les deux cas, l'information est interceptée, probablement pour des raisons hostiles. Le résultat peut être catastrophique, peu importe qu'il soit obtenu par l'interception de tous les paquets sur un réseau local d'entreprise ou au moyen d'un serveur DNS piraté qui pointe vers un hôte mal intentionné.
L'utilisation du protocole SSH pour effectuer une connexion shell à distance ou copier des fichiers permet de faire diminuer sensiblement ces menaces à la sécurité. La signature numérique d'un serveur fournit la vérification pour son identité. En outre, la communication complète entre un système client et un système serveur ne peut être utilisée si elle est interceptée car tous les paquets sont chiffrés. De plus, il n'est pas possible d'usurper l'identité d'un des deux systèmes, parce que les paquets sont chiffrés et leurs clés ne sont connues que par les systèmes local et distant.
| [1] | X11 fait référence au système d'affichage de fenêtres X11R6, généralement appelé X. Red Hat Linux comprend XFree86, un système X Window Open Source très utilisé, basé sur X11R6. |
| [2] | La mystification est l'acte de laisser croire aux autres que les paquetages envoyées sur un réseau proviennent d'un système sécurisé. |
| Précédent | Sommaire | Suivant |
| Autres ressources | Niveau supérieur | Séquence des événements d'une connexion SSH |