Académique Documents
Professionnel Documents
Culture Documents
LASFAR Salim
OpenSSH chiffre tout le trafic (mots de passe y compris),
via une combinaison astucieuse de chiffrement
symtrique et asymtrique. OpenSSH fournit galement
d'autres mthodes d'authentification alternatives au
traditionnel mot de passe.
Comme son nom l'indique, OpenSSH est dvelopp dans
le cadre du projet OpenBSD.
LP-R2SI:
Administration des
rseaux et scurit
sous Linux.
Encadr Par : Mr M.EL KIRAM
Introduction:
Lorsque lon se connecte en SSH sur une machine
Linux (ou Unix) pour effectuer des commandes
distance depuis un script ou pour effectuer des tches
administratives, il peut tre trs intressant dviter
dutiliser une authentification par mot de passes,
souvent simplistes. Dautant plus dans le cas de
script, ou mme lorsque lon utilise des mot de passes
labors, il est souvent ncessaire de mettre le mot de
passe dans le script, donc en clair, ce qui videment
rend inutile le fait dutiliser des mot de passes labors.
Lutilisation de Kerberos ou de certificats peut palier lutilisation de mot de
passes et donc rendre lauthentification bien plus scurise. Une autre
alternative et lutilisation de clefs RSA pour lauthentification SSH.
Lauthentification RSA pour les connexions SSH se base sur un change de clefs
et la signature de jetons dauthentification au moment de la connexion.
Authentification RSA
Le principe de lauthentification RSA se base sur la signature de jetons
dauthentification lors de la connexion. Le client dispose dune paire de clefs
dauthentification : une clef prive quil est le seul dtenir et une clef publique
que les serveurs utiliseront pour vrifier lidentit du client. Au moment de
lauthentification, le client signe un jeton avec sa clef prive et le donne au
serveur sur lequel il a besoin de sauthentifier. Le serveur doit avoir accs la
clef publique du client pour dcrypter le jeton dauthentification. Comme lors
de lutilisation dun algorithme de cryptage, seule la clef publique correspondant
la clef prive permet de dcrypter le message : cest le principe de signature
numrique. Le serveur, avec la clef publique, peut donc vrifier la signature du
jeton dauthentification, en ayant lassurance que seul le client a pu gnrer la
signature (le client est le seul dtenir la clef prive).
Installation
OpenSSH :
Tout se passe dans le fichier /etc/ssh/sshd_config, normalement
l'authentification par clef publique est active par dfaut, mais dans le cas
contraire, a se passe ici :
RSAAuthentication
#PubkeyAuthentication
AuthorizedKeysFile
La
deuxime
ligne
yes
yes
.ssh/authorized_keys
indique
trouver
les
clefs
publiques.
Il faut secouer la souris pour gnr des nombres alatoires pour cre les
cls :
Voici les cls que on a gnr et aussi la cl publique quon va utiliser pour le
fichier authorized_keys :
On vrifie:
On vrifie :
Test de la connexion :
Le moment de vrit!
Il faut configurer une session SSH avec PuTTY et mettre l'emplacement de la
clef prive dans Connection -> SSH -> Auth pour que Pageant sache quelle clef
utiliser (si Pageant ne tourne pas, PuTTY demande lui mme le mot de passe de
la clef prive, mais ne s'en souvient pas ensuite).
Si le client indique un message du style : Server refused our key , il faut vrifier
toute la configuration ( configuration du serveur, le nom de l'utilisateur, bonne
clef prive, bonne clef publique copie-colle ).
Dans le cas contraire, le client doit indiquer directement le prompt du sytme
distant et c'est gagn!