Beaucoup plus qu'un shell sécurisé

Retransmission X11

Ouvrir une session X11 par le biais d'une connexion SSH établie est aussi facile que d'exécuter un programme X sur le système local. Lorsqu'un programme X est exécuté à partir de l'invite shell sécurisée, le client et le serveur SSH créent un nouveau canal sécurisé et les données du programme X sont ensuite envoyées à l'ordinateur client par ce canal de façon transparente.

La retransmission X11 peut être très utile. Vous pourriez, par exemple, l'utiliser pour créer une session sécurisée et interactive sur le serveur avec up2date pour mettre à jour des paquetages. Pour ce faire, connectez-vous au serveur en utilisant ssh et entrez :

up2date &

Le système vous demandera de fournir le mot de passe root pour le serveur. Ensuite, l' agent de mise à jour Red Hat s'affiche à l'écran et vous pouvez mettre à jour vos paquetages sur le serveur comme si vous étiez confortablement assis devant cette machine.

Retransmission de port

Grâce à SSH vous pouvez sécuriser des protocoles TCP/IP via la retransmission de port. Lorsque vous utilisez cette technique, le serveur SSH devient un conduit crypté vers le client SSH.

La retransmission de port mappe un port local du client vers un port distant du serveur. SSH permet de mapper tous les ports du serveur vers tous les ports du client. Les numéros de port ne doivent pas correspondre pour que le mappage ait lieu.

Pour créer un canal de retransmission de port TCP/IP qui attend les connexions sur l'hô,te local, utilisez la commande suivante :

ssh -L port-local:nomhôte-distant:port-distant nomutilisateur@nomhôte

	Remarque
	Afin de pouvoir définir la retransmission TCP/IP pour qu'elle puisse être en mode réception des ports inférieurs à 1024, il est nécessaire d'avoir un accès super-utilisateur.

Par exemple, si vous voulez vérifier votre courrier sur un serveur appelé mail.domain.com au moyen du protocole POP et avec une connexion cryptée, utilisez la commande ci-dessous :

ssh -L 1100:mail.domain.com:110 mail.domain.com

Une fois que le canal de retransmission de port est en place entre les deux ordinateurs, vous pouvez diriger votre client POP mail pour qu'il utilise le port 1100 sur l'hô,te local afin de vérifier le nouveau courrier. Toute requête envoyée au port 1100 de votre système sera dirigée de façon sécurisée au serveur mail.domain.com.

Si mail.domain.com n'exécute aucun démon de serveur SSH, mais que vous pouvez tout de même vous connecter via SSH à un ordinateur du même réseau, vous pouvez toujours utiliser SSH pour sécuriser la partie de connexion POP. Dans ce cas, la commande est légèrement différente :

ssh -L 1100:mail.domain.com:110 other.domain.com

Dans cet exemple, vous transférez votre requête POP du port 1100 de votre ordinateur au moyen de la connexion SSH au port 22 de other.domain.com. Ensuite, other.domain.com se connecte au port 110 de mail.domain.com pour vous permettre de vérifier votre courrier. Avec cette technique, seule la connexion entre votre système et other.domain.com est sécurisée.

La retransmission TCP/IP peut être très utile pour obtenir des informations de façon sécurisée à travers un pare-feu. Si le pare-feu est configuré de façon à permettre le trafic SSH par son port standard (22), mais bloque l'accès aux autres ports, une connexion entre deux ordinateurs hôtes qui utilisent des ports bloqués est tout de même possible en redirigeant leur communication sur une connexion SSH établie entre eux.

Remarque

L'utilisation de la retransmission de port pour transférer des connexions de cette façon permet à tout utilisateur sur le système client de se connecter au service auquel vous transférez des connexions. Si le système client est compromis, les hackers auront également accès aux services retransmis. Les administrateurs système concernés par la retransmission de port peuvent désactiver cette fonction sur le serveur en spécifiant le paramètre No pour la ligne AllowTcpForwarding dans /etc/ssh/sshd_config et redémarrer le service sshd.