Configuration de Secure Shell (tâches)

Par défaut, l'authentification basée sur l'hôte et l'utilisation des deux protocoles ne sont pas activées dans Secure Shell. La modification de ces valeurs par défaut nécessite une intervention de l'administrateur. L'administrateur doit également intervenir pour que le transfert de port de fonctionne.

Configuration de Secure Shell (liste des tâches)

La liste des tâches suivante présente les procédures de configuration de Secure Shell.

Procédure de configuration de l'authentification basée sur l'hôte pour Secure Shell

La procédure suivante définit un système de clé publique où la clé publique du client est utilisée pour l'authentification sur le serveur. L'utilisateur doit également créer une paire de clés publiques ou privées.

Dans cette procédure, les termes client et hôte local désignent la machine sur laquelle un utilisateur saisit la commande ssh. Les termes serveur et hôte distant désignent la machine que le client tente d'atteindre.

Avant de commencer

Vous devez être dans le rôle root.

1. Sur le client, activez l'authentification basée sur l'hôte.

   Dans le fichier de configuration du client, /etc/ssh/ssh_config, tapez l'entrée suivante :

   HostbasedAuthentication yes

   Pour connaître la syntaxe du fichier de configuration, reportez-vous à la page de manuel ssh_config(4)

2. Sur le serveur, activez l'authentification basée sur l'hôte.

   Dans le fichier de configuration du serveur, /etc/ssh/sshd_config, saisissez la même entrée :

   HostbasedAuthentication yes

   Pour connaître la syntaxe du fichier de configuration, reportez-vous à la page de manuel sshd_config(4)

3. Sur le serveur, vous devez configurer un fichier qui permet au client d'être reconnu en tant qu'hôte de confiance.

   Pour plus d'informations, reportez-vous à la section FILES de la page de manuel sshd(1M).

   • Ajoutez le client sous la forme d'une entrée pour le fichier /etc/ssh/shosts.equiv du serveur.

     client-host

   • Ou bien, vous pouvez demander aux utilisateurs d'ajouter une entrée pour le client dans leur fichier ~/.shosts sur le serveur.

     client-host

4. Sur le serveur, vérifiez que le démon sshd peut accéder à la liste des hôtes de confiance.

   Définissez IgnoreRhosts sur no dans le fichier /etc/ssh/sshd_config.

   ## sshd_config
   IgnoreRhosts no

5. Assurez-vous que les utilisateurs de Secure Shell sur votre site possèdent des comptes sur les deux hôtes.
6. Procédez de l'une des manières suivantes pour placer la clé publique du client sur le serveur.
   • Modifiez le fichier sshd_config sur le serveur, puis demandez à vos utilisateurs d'ajouter les clés d'hôte publiques du client à leur fichier ~/.ssh/known_hosts.

     ## sshd_config
     IgnoreUserKnownHosts no

     Pour des instructions d'utilisation, reportez-vous à la section Procédure de génération d'une paire de clés publiques ou privées à utiliser avec Secure Shell.

   • Copiez la clé publique du client sur le serveur.

     Les clés d'hôte sont stockées dans le répertoire /etc/ssh. Ces clés sont généralement générées par le démon sshd à la première initialisation.

     1. Ajoutez la clé au fichier /etc/ssh/ssh_known_hosts sur le serveur.

        Sur le client, saisissez la commande sur une seule ligne, sans barre oblique inverse.

        # cat /etc/ssh/ssh_host_dsa_key.pub | ssh RemoteHost \
        'cat >> /etc/ssh/ssh_known_hosts && echo "Host key copied"'

     2. Lorsque vous y êtes invité, indiquez votre mot de passe de connexion.

        Lorsque le fichier est copié, le message "Host key copied" (Clé d'hôte copiée) s'affiche.

        Chaque ligne du fichier /etc/ssh/ssh_known_hosts se compose de champs séparés par des espaces :

        hostnames algorithm-name publickey comment

     3. Modifiez le fichier /etc/ssh/ssh_known_hosts et ajoutez RemoteHost comme premier champ de l'entrée copiée.

        ## /etc/ssh/ssh_known_hosts File
        RemoteHost <copied entry>

Exemple 17-1 Configuration de l'authentification basée sur l'hôte

Dans l'exemple ci-dessous, chaque hôte est configuré en tant que serveur et en tant que client. Un utilisateur de l'un ou l'autre hôte peut lancer une connexion ssh à l'autre hôte. La configuration suivante convertit chaque hôte en serveur et client :

• Sur chaque hôte, les fichiers de configuration Secure Shell contiennent les entrées suivantes :

  ## /etc/ssh/ssh_config
  HostBasedAuthentication yes
  # 
  ## /etc/ssh/sshd_config
  HostBasedAuthentication yes
  IgnoreRhosts no

• Sur chaque hôte, le fichier shosts.equiv contient une entrée pour l'autre hôte :

  ## /etc/ssh/shosts.equiv on machine2
  machine1

  ## /etc/ssh/shosts.equiv on machine1
  machine2

• La clé publique pour chaque hôte est dans le fichier /etc/ssh/ssh_known_hosts sur l'autre hôte :

  ## /etc/ssh/ssh_known_hosts on machine2
  … machine1

  ## /etc/ssh/ssh_known_hosts on machine1
  … machine2

• Les utilisateurs ont un compte sur les deux hôtes :

  ## /etc/passwd on machine1
  jdoe:x:3111:10:J Doe:/home/jdoe:/bin/sh

  ## /etc/passwd on machine2
  jdoe:x:3111:10:J Doe:/home/jdoe:/bin/sh

Procédure de configuration du transfert de port dans Secure Shell

Le transfert de port permet à un port local d'être transmis à un hôte distant. En réalité, un socket est alloué pour écouter le port côté local. De la même façon, un port peut être spécifié côté distant.

Avant de commencer

Vous devez être dans le rôle root.

1. Configurez une définition Secure Shell sur le serveur distant pour autoriser le transfert de port.

   Définissez la valeur de AllowTcpForwarding sur yes dans le fichier /etc/ssh/sshd_config.

   # Port forwarding
   AllowTcpForwarding yes

2. Redémarrez le service Secure Shell.

   remoteHost# svcadm restart network/ssh:default

   Pour plus d'informations sur la gestion des services persistants, reportez-vous au Chapitre 6, Gestion des services (présentation) du manuel Administration d’Oracle Solaris : Tâches courantes et à la page de manuel svcadm(1M).

3. Vérifiez que le transfert de port peut être utilisé.

   remoteHost# /usr/bin/pgrep -lf sshd
    1296 ssh -L 2001:remoteHost:23 remoteHost

Procédure de création d'exceptions d'utilisateur et d'hôte SSH aux valeurs par défaut du système

Cette procédure permet d'ajouter un bloc Match conditionnel après la section globale du fichier /etc/ssh/sshd_config. Les paires de valeurs de mot clé qui suivent le bloc Match spécifient des exceptions pour l'utilisateur, le groupe, l'hôte ou l'adresse spécifié comme la correspondance.

Avant de commencer

Vous devez être dans le rôle root.

1. Modifiez le fichier sshd_config.
2. Configurez un utilisateur, un groupe, un hôte ou une adresse pour qu'ils utilisent d'autres paramètres de mot-clé SSH que les paramètres par défaut.

   Placez les blocs Match après les paramètres globaux.

   ---

   Remarque - La section globale du fichier peut ou ne peut pas afficher la liste des paramètres par défaut. Pour les valeurs par défaut, reportez-vous à la page de manuel sshd_config(4).

   ---

   Vous avez peut-être les utilisateurs qui ne devraient pas être autorisés à utiliser le transfert TCP. Dans l'exemple ci-dessous, tout utilisateur dans le groupe public et tout nom d'utilisateur commençant par test ne peut pas utiliser le transfert TCP :

   ## sshd_config file
   ## Global settings
   
   # Example (reflects default settings):
   #
   # Host *
   #   ForwardAgent no
   #   ForwardX11 no
   #   PubkeyAuthentication yes
   #   PasswordAuthentication yes
   #   FallBackToRsh no
   #   UseRsh no
   #   BatchMode no
   #   CheckHostIP yes
   #   StrictHostKeyChecking ask
   #   EscapeChar ~
   Match Group public
    AllowTcpForwarding no
   Match User test*
    AllowTcpForwarding no

   Pour connaître la syntaxe du bloc Match, reportez-vous à la page de manuel sshd_config(4).