Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
Secure Shell dans l'entreprise
Secure Shell et le projet OpenSSH
Secure Shell et prise en charge FIPS-140
Secure Shell (liste des tâches)
Configuration de Secure Shell (tâches)
Configuration de Secure Shell (liste des tâches)
Procédure de configuration de l'authentification basée sur l'hôte pour Secure Shell
Procédure de configuration du transfert de port dans Secure Shell
Procédure de création d'exceptions d'utilisateur et d'hôte SSH aux valeurs par défaut du système
Utilisation de Secure Shell (tâches)
Utilisation de Secure Shell (liste des tâches)
Procédure de génération d'une paire de clés publiques ou privées à utiliser avec Secure Shell
Procédure de modification de la phrase de passe pour une clé privée Secure Shell
Procédure de connexion à un hôte distant avec Secure Shell
Procédure de réduction des invites de mot de passe dans Secure Shell
Procédure d'utilisation du transfert de port dans Secure Shell
Procédure de copie de fichiers avec Secure Shell
Procédure de configuration de connexions par défaut à des hôtes en dehors du pare-feu
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Par défaut, l'authentification basée sur l'hôte et l'utilisation des deux protocoles ne sont pas activées dans Secure Shell. La modification de ces valeurs par défaut nécessite une intervention de l'administrateur. L'administrateur doit également intervenir pour que le transfert de port de fonctionne.
La liste des tâches suivante présente les procédures de configuration de Secure Shell.
|
La procédure suivante définit un système de clé publique où la clé publique du client est utilisée pour l'authentification sur le serveur. L'utilisateur doit également créer une paire de clés publiques ou privées.
Dans cette procédure, les termes client et hôte local désignent la machine sur laquelle un utilisateur saisit la commande ssh. Les termes serveur et hôte distant désignent la machine que le client tente d'atteindre.
Avant de commencer
Vous devez être dans le rôle root.
Dans le fichier de configuration du client, /etc/ssh/ssh_config, tapez l'entrée suivante :
HostbasedAuthentication yes
Pour connaître la syntaxe du fichier de configuration, reportez-vous à la page de manuel ssh_config(4)
Dans le fichier de configuration du serveur, /etc/ssh/sshd_config, saisissez la même entrée :
HostbasedAuthentication yes
Pour connaître la syntaxe du fichier de configuration, reportez-vous à la page de manuel sshd_config(4)
Pour plus d'informations, reportez-vous à la section FILES de la page de manuel sshd(1M).
client-host
client-host
Définissez IgnoreRhosts sur no dans le fichier /etc/ssh/sshd_config.
## sshd_config IgnoreRhosts no
## sshd_config IgnoreUserKnownHosts no
Pour des instructions d'utilisation, reportez-vous à la section Procédure de génération d'une paire de clés publiques ou privées à utiliser avec Secure Shell.
Les clés d'hôte sont stockées dans le répertoire /etc/ssh. Ces clés sont généralement générées par le démon sshd à la première initialisation.
Sur le client, saisissez la commande sur une seule ligne, sans barre oblique inverse.
# cat /etc/ssh/ssh_host_dsa_key.pub | ssh RemoteHost \ 'cat >> /etc/ssh/ssh_known_hosts && echo "Host key copied"'
Lorsque le fichier est copié, le message "Host key copied" (Clé d'hôte copiée) s'affiche.
Chaque ligne du fichier /etc/ssh/ssh_known_hosts se compose de champs séparés par des espaces :
hostnames algorithm-name publickey comment
## /etc/ssh/ssh_known_hosts File RemoteHost <copied entry>
Exemple 17-1 Configuration de l'authentification basée sur l'hôte
Dans l'exemple ci-dessous, chaque hôte est configuré en tant que serveur et en tant que client. Un utilisateur de l'un ou l'autre hôte peut lancer une connexion ssh à l'autre hôte. La configuration suivante convertit chaque hôte en serveur et client :
Sur chaque hôte, les fichiers de configuration Secure Shell contiennent les entrées suivantes :
## /etc/ssh/ssh_config HostBasedAuthentication yes # ## /etc/ssh/sshd_config HostBasedAuthentication yes IgnoreRhosts no
Sur chaque hôte, le fichier shosts.equiv contient une entrée pour l'autre hôte :
## /etc/ssh/shosts.equiv on machine2 machine1
## /etc/ssh/shosts.equiv on machine1 machine2
La clé publique pour chaque hôte est dans le fichier /etc/ssh/ssh_known_hosts sur l'autre hôte :
## /etc/ssh/ssh_known_hosts on machine2 … machine1
## /etc/ssh/ssh_known_hosts on machine1 … machine2
Les utilisateurs ont un compte sur les deux hôtes :
## /etc/passwd on machine1 jdoe:x:3111:10:J Doe:/home/jdoe:/bin/sh
## /etc/passwd on machine2 jdoe:x:3111:10:J Doe:/home/jdoe:/bin/sh
Le transfert de port permet à un port local d'être transmis à un hôte distant. En réalité, un socket est alloué pour écouter le port côté local. De la même façon, un port peut être spécifié côté distant.
Remarque - Le transfert de port Secure Shell doit utiliser des connexions TCP. Secure Shell ne prend pas en charge les connexions UDP pour le transfert de port.
Avant de commencer
Vous devez être dans le rôle root.
Définissez la valeur de AllowTcpForwarding sur yes dans le fichier /etc/ssh/sshd_config.
# Port forwarding AllowTcpForwarding yes
remoteHost# svcadm restart network/ssh:default
Pour plus d'informations sur la gestion des services persistants, reportez-vous au Chapitre 6, Gestion des services (présentation) du manuel Administration d’Oracle Solaris : Tâches courantes et à la page de manuel svcadm(1M).
remoteHost# /usr/bin/pgrep -lf sshd 1296 ssh -L 2001:remoteHost:23 remoteHost
Cette procédure permet d'ajouter un bloc Match conditionnel après la section globale du fichier /etc/ssh/sshd_config. Les paires de valeurs de mot clé qui suivent le bloc Match spécifient des exceptions pour l'utilisateur, le groupe, l'hôte ou l'adresse spécifié comme la correspondance.
Avant de commencer
Vous devez être dans le rôle root.
Placez les blocs Match après les paramètres globaux.
Remarque - La section globale du fichier peut ou ne peut pas afficher la liste des paramètres par défaut. Pour les valeurs par défaut, reportez-vous à la page de manuel sshd_config(4).
Vous avez peut-être les utilisateurs qui ne devraient pas être autorisés à utiliser le transfert TCP. Dans l'exemple ci-dessous, tout utilisateur dans le groupe public et tout nom d'utilisateur commençant par test ne peut pas utiliser le transfert TCP :
## sshd_config file ## Global settings # Example (reflects default settings): # # Host * # ForwardAgent no # ForwardX11 no # PubkeyAuthentication yes # PasswordAuthentication yes # FallBackToRsh no # UseRsh no # BatchMode no # CheckHostIP yes # StrictHostKeyChecking ask # EscapeChar ~ Match Group public AllowTcpForwarding no Match User test* AllowTcpForwarding no
Pour connaître la syntaxe du bloc Match, reportez-vous à la page de manuel sshd_config(4).