Oracle Solaris Secure Shell (présentation)

Avec Secure Shell, l'authentification s'effectue via l'utilisation de mots de passe et/ou de clés publiques. Tout le trafic réseau est chiffré. Par conséquent, Secure Shell empêche tout intrus potentiel de lire une communication interceptée. Secure Shell empêche également un adversaire de mystifier le système.

Secure Shell peut également être utilisé comme un VPN à la demande. Un VPN peut transmettre le trafic système X Window ou connecter des numéros de port individuels compris entre les machines locales et distantes via un lien réseau crypté.

Avec Secure Shell, vous pouvez effectuer les actions suivantes :

Se connecter de manière sécurisée à un autre hôte sur un réseau non sécurisé.
Copier des fichiers en toute sécurité entre les deux hôtes.
Exécuter des commandes en toute sécurité sur l'hôte distant.

Secure Shell prend en charge deux versions du protocole Secure Shell. La version 1 est la version d'origine de ce protocole. La version 2 est plus sécurisée, et règle certaines failles de sécurité de base de la version 1. La version 1 est fournie uniquement pour aider les utilisateurs qui effectuent une migration vers la version 2. Il est vivement déconseillé aux utilisateurs d'utiliser la version 1.

Remarque - Ci-après dans ce texte, v1 est utilisé pour représenter la version 1, et v2 est utilisé pour représenter la version 2.

Authentification Oracle Solaris Secure Shell

Secure Shell fournit des méthodes de clé publique et mot de passe pour l'authentification de la connexion à l'hôte distant. L'authentification avec clé publique est un mécanisme d'authentification plus fiable que l'authentification par mot de passe, car la clé privée ne se déplace pas sur le réseau.

Les méthodes d'authentification sont tentées dans l'ordre suivant. Lorsque la configuration ne satisfait pas à une méthode d'authentification, la méthode suivante est tentée.

GSS-API : utilise les informations d'authentification des mécanismes GSS-API tels que mech_krb5 (Kerberos V) et mech_dh (AUTH_DH) pour authentifier les clients et serveurs. Pour plus d'informations sur GSS-API, reportez-vous à la rubrique Introduction to GSS-API du Developer’s Guide to Oracle Solaris Security.
Authentification basée sur l'hôte : utilise les clés d'hôte et les fichiers rhosts. Utilise les clés d'hôte privées/publiques RSA et DSA du client pour authentifier ce dernier. Utilise les fichiers rhosts pour autoriser les clients à des utilisateurs.
Authentification avec clé publique : authentifie les utilisateurs avec leurs clés publiques et privées RSA et DSA.
Authentification du mot de passe : utilise PAM pour authentifier les utilisateurs. La méthode d'authentification du clavier dans v2 permet l'invitation arbitraire par PAM. Pour plus d'informations, reportez-vous à la section SECURITY de la page de manuel sshd(1M).

Le tableau suivant répertorie les conditions requises pour l'authentification d'un utilisateur essayant de se connecter à un hôte distant. L'utilisateur est sur l'hôte local, le client. L'hôte distant, le serveur, exécute le démon sshd. Le tableau présente les méthodes d'authentification Secure Shell, les versions de protocole compatibles et les exigences de l'hôte.

Tableau 19-1 Méthodes d'authentification pour Secure Shell

Méthode d'authentification (version du protocole)	Exigences de l'hôte local (client)	Exigences de l'hôte distant (serveur)
GSS-API (v2)	Informations d'identification de l'initiateur pour le mécanisme GSS.	Informations d'identification de l'accepteur pour le mécanisme GSS. Pour plus d'informations, reportez-vous à la section Acquisition d'informations d'identification GSS dans Secure Shell.
Basée sur l'hôte (v2)	Compte utilisateur Clé privée de l'hôte local dans `/etc/ssh/ssh_host_rsa_key` ou `/etc/ssh/ssh_host_dsa_key` `HostbasedAuthentication yes` dans `/etc/ssh/ssh_config`	Compte utilisateur Clé privée de l'hôte local dans `/etc/ssh/known_hosts` ou `~/.ssh/known_hosts` `HostbasedAuthentication yes` dans `/etc/ssh/sshd_config` `IgnoreRhosts no` dans `/etc/ssh/sshd_config` Entrée d'hôte local dans `/etc/ssh/shosts.equiv`, `/etc/hosts.equiv`, `~/.rhosts` ou `~/.shosts`
Clé publique RSA ou DSA (v2)	Compte utilisateur Clé privée dans `~/.ssh/id_rsa` ou `~/.ssh/id_dsa` Clé publique d'utilisateur dans `~/.ssh/id_rsa.pub` ou `~/.ssh/id_dsa.pub`	Compte utilisateur Clé publique d'utilisateur en `~/.ssh/authorized_keys`
Clé publique RSA (v1)	Compte utilisateur Clé privée dans `~/.ssh/identity` Clé publique d'utilisateur en `~/.ssh/identity.pub`	Compte utilisateur Clé publique d'utilisateur en `~/.ssh/authorized_keys`
Interactive avec clavier (v2)	Compte utilisateur	Compte utilisateur Prend en charge PAM, y compris l'invite arbitraire et le changement de mot de passe lorsque le vieillissement du mot de passe est déclenché.
Basée sur mot de passe (v1 ou v2)	Compte utilisateur	Compte utilisateur Prend en charge PAM.
`.rhosts` uniquement (v1)	Compte utilisateur	Compte utilisateur `IgnoreRhosts no` dans `/etc/ssh/sshd_config` Entrée d'hôte local dans `/etc/ssh/shosts.equiv`, `/etc/hosts.equiv`, `~/.shosts` ou `~/.rhosts`
`.rhosts` avec RSA (v1) sur le serveur uniquement	Compte utilisateur Clé publique de l'hôte local dans `/etc/ssh/ssh_host_rsa1_key`	Compte utilisateur Clé publique de l'hôte local dans `/etc/ssh/ssh_known_hosts` ou `~/.ssh/known_hosts` `IgnoreRhosts no` dans `/etc/ssh/sshd_config` Entrée d'hôte local dans `/etc/ssh/shosts.equiv`, `/etc/hosts.equiv`, `~/.shosts` ou `~/.rhosts`

Secure Shell dans l'entreprise

Pour obtenir des informations complètes sur la fonction Secure Shell sur un système Oracle Solaris, reportez-vous à l'ouvrage Secure Shell in the Enterprise, de Jason Reid, ISBN 0-13-142900-0, Juin 2003. Ce manuel fait partie de la série Sun BluePrints publiée par Sun Microsystems Press.

Ignorer les liens de navigation
Quitter l'aperu
	Guide d'administration système : Services de sécurité