Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
Oracle Solaris Secure Shell (présentation)
Authentification Oracle Solaris Secure Shell
Secure Shell dans l'entreprise
Oracle Solaris Secure Shell et le projet OpenSSH
Oracle Solaris Secure Shell (liste des tâches)
Configuration d'Oracle Solaris Secure Shell (liste des tâches)
Configuration d'Oracle Solaris Secure Shell (tâches)
Configuration de l'authentification basée sur l'hôte pour Secure Shell
Utilisation d'Oracle Solaris Secure Shell (liste des tâches)
Utilisation d'Oracle Solaris Secure Shell (tâches)
Génération d'une paire de clés publiques ou privées à utiliser avec Secure Shell
Modification de la phrase de passe pour une clé privée Secure Shell
Connexion à un hôte distant avec Secure Shell
Réduction des invites de mot de passe dans Secure Shell
Configuration de la commande ssh-agent pour qu'elle s'exécute automatiquement dans le CDE
Utilisation du transfert de port dans Secure Shell
Copie de fichiers avec Secure Shell
Définition des connexions aux hôtes en dehors du pare-feu
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Par défaut, l'authentification basée sur l'hôte et l'utilisation des deux protocoles ne sont pas activées dans Secure Shell. La modification de ces valeurs par défaut nécessite une intervention de l'administrateur. L'administrateur doit également intervenir pour que le transfert de port de fonctionne.
La procédure suivante définit un système de clé publique où la clé publique du client est utilisée pour l'authentification sur le serveur. L'utilisateur doit également créer une paire de clés publiques ou privées.
Dans cette procédure, les termes client et hôte local désignent la machine sur laquelle un utilisateur saisit la commande ssh. Les termes serveur et hôte distant désignent la machine que le client tente d'atteindre.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Dans le fichier de configuration du client, /etc/ssh/ssh_config, tapez l'entrée suivante :
HostbasedAuthentication yes
Pour connaître la syntaxe du fichier de configuration, reportez-vous à la page de manuel ssh_config(4)
Dans le fichier de configuration du serveur, /etc/ssh/sshd_config, saisissez la même entrée :
HostbasedAuthentication yes
Pour connaître la syntaxe du fichier de configuration, reportez-vous à la page de manuel sshd_config(4)
Pour plus d'informations, reportez-vous à la section FILES de la page de manuel sshd(1M).
client-host
client-host
Définissez IgnoreRhosts sur no dans le fichier /etc/ssh/sshd_config.
## sshd_config IgnoreRhosts no
## sshd_config IgnoreUserKnownHosts no
Pour des instructions d'utilisation, reportez-vous à la section Génération d'une paire de clés publiques ou privées à utiliser avec Secure Shell .
Les clés d'hôte sont stockées dans le répertoire /etc/ssh. Ces clés sont généralement générées par le démon sshd au premier démarrage.
Sur le client, saisissez la commande sur une seule ligne, sans barre oblique inverse.
# cat /etc/ssh/ssh_host_dsa_key.pub | ssh RemoteHost \ 'cat >> /etc/ssh/ssh_known_hosts && echo "Host key copied"'
Lorsque le fichier est copié, le message "Host key copied" (Clé d'hôte copiée) s'affiche.
Chaque ligne du fichier /etc/ssh/ssh_known_hosts se compose de champs séparés par des espaces :
hostnames algorithm-name publickey comment
## /etc/ssh/ssh_known_hosts File RemoteHost <copied entry>
Exemple 19-1 Configuration de l'authentification basée sur l'hôte
Dans l'exemple ci-dessous, chaque hôte est configuré en tant que serveur et en tant que client. Un utilisateur de l'un ou l'autre hôte peut lancer une connexion ssh à l'autre hôte. La configuration suivante convertit chaque hôte en serveur et client :
Sur chaque hôte, les fichiers de configuration Secure Shell contiennent les entrées suivantes :
## /etc/ssh/ssh_config HostBasedAuthentication yes # ## /etc/ssh/sshd_config HostBasedAuthentication yes IgnoreRhosts no
Sur chaque hôte, le fichier shosts.equiv contient une entrée pour l'autre hôte :
## /etc/ssh/shosts.equiv on machine2 machine1
## /etc/ssh/shosts.equiv on machine1 machine2
La clé publique pour chaque hôte est dans le fichier /etc/ssh/ssh_known_hosts sur l'autre hôte :
## /etc/ssh/ssh_known_hosts on machine2 … machine1
## /etc/ssh/ssh_known_hosts on machine1 … machine2
Les utilisateurs ont un compte sur les deux hôtes :
## /etc/passwd on machine1 jdoe:x:3111:10:J Doe:/home/jdoe:/bin/sh
## /etc/passwd on machine2 jdoe:x:3111:10:J Doe:/home/jdoe:/bin/sh
Cette procédure est utile lorsqu'un hôte interagit avec les hôtes qui exécutent v1 et v2.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Modifier le fichier /etc/ssh/sshd_config.
# Protocol 2 Protocol 2,1
Ajouter une entrée HostKey au fichier /etc/ssh/sshd_config.
HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key HostKey /etc/ssh/ssh_host_rsa1_key
# ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_rsa1_key -N ''
Indique l'algorithme RSA pour v1.
Indique le fichier qui contient la clé d'hôte.
Indique qu'aucune phrase de passe n'est requise.
# svcadm restart network/ssh:default
Vous pouvez également redémarrer le système.
Le transfert de port permet à un port local d'être transmis à un hôte distant. En réalité, un socket est alloué pour écouter le port côté local. De la même façon, un port peut être spécifié côté distant.
Remarque - Le transfert de port Secure Shell doit utiliser des connexions TCP. Secure Shell ne prend pas en charge les connexions UDP pour le transfert de port.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Définissez la valeur de AllowTcpForwarding sur yes dans le fichier /etc/ssh/sshd_config.
# Port forwarding AllowTcpForwarding yes
remoteHost# svcadm restart network/ssh:default
Pour plus d'informations sur la gestion des services persistants, reportez-vous au Chapitre 18, Gestion des services (présentation) du Guide d’administration système : administration de base et à la page de manuel svcadm(1M).
remoteHost# /usr/bin/pgrep -lf sshd 1296 ssh -L 2001:remoteHost:23 remoteHost