| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
Caractéristiques des sessions dans Secure Shell
Authentification et échange de clés dans Secure Shell
Acquisition d'informations d'identification GSS dans Secure Shell
Exécution des commandes et transmission de données dans Secure Shell
Configuration des clients et des serveurs dans Secure Shell
Configuration des clients dans Secure Shell
Configuration du serveur dans Secure Shell
Paramètres spécifiques à l'hôte dans Secure Shell
Secure Shell et les variables d'environnement de connexion
Mise à jour des hôtes connus dans Secure Shell
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Le démon Secure Shell (sshd) est démarré normalement au moment de l'initialisation lorsque les services réseau sont démarrés. Le démon détecte les connexions des clients. Une session Secure Shell commence lorsque l'utilisateur exécute une commande ssh, scp ou sftp. Un nouveau démon sshd est cloné pour chaque connexion entrante. Le démon cloné gère l'échange de clés, le chiffrement, l'authentification, l'exécution des commandes et l'échange de données avec le client. Ces caractéristiques de session sont déterminées par les fichiers de configuration côté client et côté serveur. Les arguments de la ligne de commande peuvent remplacer les paramètres des fichiers de configuration.
Le client doit s'authentifier auprès du serveur et vice-versa. Après la réussite de l'authentification, l'utilisateur peut exécuter des commandes à distance et copier des données entre les hôtes.
Le comportement côté serveur du démon sshd est contrôlé par les paramètres de mot-clé dans le fichier /etc/ssh/sshd_config. Par exemple, le fichier sshd_config détermine les types d'authentification qui sont autorisés pour l'accès au serveur. Le comportement côté serveur peut également être contrôlé par les options de la ligne de commande lorsque le démon sshd est démarré.
Le comportement côté client est contrôlé par les mots-clés Secure Shell dans l'ordre de priorité suivant :
Options de ligne de commande
Fichier de configuration de l'utilisateur, ~/.ssh/config
Fichier de configuration à l'échelle du système, /etc/ssh/ssh_config
Par exemple, un utilisateur peut remplacer un paramètre Ciphers de configuration à l'échelle du système qui préfère aes128-cen en spécifiant -c aes256-cen,aes128-cen,arcfour sur la ligne de commande. Le premier chiffre, aes256-cen, est désormais préféré.
Le protocole Secure Shell prend en charge l'authentification utilisateur/hôte et l'authentification hôte serveur. Les clés cryptographiques sont échangées pour la protection des sessions Secure Shell. Secure Shell fournit plusieurs méthodes pour l'authentification et l'échange de clés. Certaines de ces méthodes sont facultatives. Les mécanismes d'authentification client sont répertoriés dans le Tableau 17-1. Les serveurs sont authentifiés à l'aide de clés publiques d'hôte connu.
Pour l'authentification, Secure Shell prend en charge l'authentification de l'utilisateur et l'authentification interactive générique, qui implique généralement des mots de passe. Secure Shell prend également en charge l'authentification avec des clés publiques utilisateur et des clés publiques d'hôte de confiance. Il peut s'agir de clés RSA ou DSA. Les échanges de clés de session sont des échanges de clés éphémères Diffie-Hellman qui sont signées à l'étape d'authentification du serveur. En outre, Secure Shell peut utiliser des informations d'identification GSS pour l'authentification.
Pour utiliser GSS-API pour l'authentification dans Secure Shell, le serveur doit disposer des informations d'identification de l'accepteur GSS-API et le client doit disposer des informations d'identification de l'initiateur GSS-API. La prise en charge est disponible pour mech_dh et pour mech_krb5.
Pour mech_dh, le serveur dispose des informations d'identification de l'accepteur GSS-API si root a exécuté la commande keylogin.
Pour mech_krb5, le serveur dispose des informations d'identification de GSS-API lorsque l'hôte principal qui correspond au serveur possède une valeur correcte dans /etc/krb5/krb5.keytab.
Le client dispose des informations d'identification de l'initiateur pour mech_dh si l'une des actions ci-après a été effectuée :
La commande keylogin a été exécutée.
Le module pam_dhkeys est utilisé dans le fichier pam.conf.
Le client dispose des informations d'identification de l'initiateur pour mech_krb5 si l'une des actions ci-après a été effectuée :
La commande kinit a été exécutée.
Le module pam_krb5 est utilisé dans le fichier pam.conf.
Pour l'utilisation de mech_dh dans le RPC sécurisé, reportez-vous au Chapitre 14, Authentification des services réseau (tâches). Pour l'utilisation de mech_krb5, reportez-vous au Chapitre 19, Introduction au service Kerberos. Pour plus d'informations sur les mécanismes, reportez-vous aux pages de manuel mech(4) et mech_spnego(5).
Une fois l'authentification terminée, l'utilisateur peut utiliser Secure Shell, généralement en demandant un shell ou en exécutant une commande. Par l'intermédiaire des options de commande ssh, l'utilisateur peut effectuer des demandes. Les demandes peuvent inclure l'allocation d'un pseudo-tty, la transmission des connexions X11 ou TCP/IP, ou l'activation d'un programme d'authentification ssh-agent via une connexion sécurisée.
Les composants de base d'une session utilisateur sont les suivants :
L'utilisateur demande un shell ou l'exécution d'une commande, ce qui lance le mode de session.
Dans ce mode, les données sont envoyées ou reçues par le biais du terminal sur le côté client. Sur le côté serveur, les données sont envoyées par l'intermédiaire du shell ou d'une commande.
Lorsque la transmission des données est terminée, le programme utilisateur s'arrête.
L'ensemble de la transmission X11 et de la transmission TCP/IP est arrêté, sauf pour les connexions qui existent déjà. Les connexions X11 et TCP/IP existantes restent ouvertes.
Le serveur envoie un message d'état de sortie au client. Lorsque toutes les connexions sont fermées, telles que les ports transmis qui étaient restés ouverts, le client ferme la connexion au serveur. Ensuite, le client se ferme.
|