Une interface sécurisée en ligne de commande n'est que la première utilisation, parmi tant d'autres, de SSH. En ayant la quantité nécessaire de bande passante, les sessions X11 peuvent être dirigées sur un canal SSH ou bien, en utilisant la retransmission TCP/IP, les connexions par port entre systèmes, considérées auparavant comme étant non-sécurisés, peuvent être appliquées à des canaux SSH spécifiques.
L'ouverture d'une session X11 par le biais d'une connexion SSH établie est aussi facile que l'exécution d'un programme X sur un ordinateur local. Lorsqu'un programme X est exécuté à partir d'un invite du shell sécurisée, le client et le serveur SSH créent un nouveau canal sécurisé et les données du programme X sont ensuite envoyées à l'ordinateur client par ce canal de façon transparente.
La retransmission X11 peut être très utile. Elle peut être utilisée par exemple, pour créer une session interactive sécurisée avec up2date. Pour ce faire, connectez-vous au serveur en utilisant ssh et en tapant :
up2date & |
Après avoir fourni le mot de passe super-utilisateur pour le serveur, l'Agent de mise à jour Red Hat apparaîtra et permettra à l'utilisateur distant de mettre à jour en toute sécurité son système distant.
Grâce à SSH, il est possible de sécuriser des protocoles TCP/IP non-sécurisés via la retransmission de port. En utilisant cette technique, le serveur SSH devient un conduit crypté vers le client SSH.
La retransmission de port consiste à mapper un port local du client vers un port distant du serveur. SSH permet de mapper tout port du serveur vers tout port du client, sans nécessiter une correspondance des numéros de port pour un bon fonctionnement de l'opération.
Pour créer un canal de retransmission de port TCP/IP qui attend les connexions sur l'hôte local, utilisez la commande suivante :
ssh -L local-port:remote-hostname:remote-port username@hostname |
![]() | Remarque |
---|---|
Pour configurer la retransmission de port de manière à ce qu'elle s'effectuedes sur les ports inférieurs à 1024, il est nécessaire d'avoir un accès super-utilisateur (ou root). |
Pour vérifier le courrier électronique sur un serveur nommé mail.example.com au moyen du protocole POP par une connexion cryptée, utilisez la commande ci-dessous :
ssh -L 1100:mail.example.com:110 mail.example.com |
Une fois que le canal de retransmission de port est en place entre l'ordinateur client et le serveur messagerie, indiquez au client de messagerie POP d'utiliser le port 1100 sur l'hôte local afin de vérifier le nouveau courrier. Toute requête envoyée au port 1100 du système client sera dirigée de façon sécurisée vers le serveur mail.example.com.
Si mail.example.com n'exécute pas un serveur SSH, mais qu'un autre ordinateur l'exécute, SSH peut toujours être utilisé pour sécuriser une partie de la connexion. Dans ce cas toutefois, une commande légèrement différente est nécessaire :
ssh -L 1100:mail.example.com:110 other.example.com |
Dans cet exemple, des requêtes POP3 du port 1100 de l'ordinateur client sont retransmis au moyen de la connexion SSH au port 22 vers le serveur SSH, other.example.com. Ensuite, other.example.com se connecte au port 110 de mail.example.com pour vérifier la réception de nouveau courrier. Notez qu'en utilisant cette technique, seule la connexion entre le système client et le serveur SSH other.example.com est sécurisée.
La retransmission de ports peut être également utilisée pour obtenir des informations de façon sécurisée à travers un pare-feu. Si le pare-feu est configuré de façon à permettre le trafic SSH par son port standard (22), mais bloque l'accès aux autres ports, une connexion entre deux ordinateurs hôtes qui utilisent des ports bloqués est tout de même possible en redirigeant leur communication sur une connexion SSH établie entre eux.
![]() | Remarque |
---|---|
L'utilisation de la retransmission de port pour transférer des connexions de cette façon permet à tout utilisateur du système client de se connecter à ce service. Si le système client est compromis, les pirates auront également accès aux services retransmis. Les administrateurs système inquiets quant à l'utilisation de la retransmission de port peuvent désactiver cette fonction sur le serveur en spécifiant le paramètre No pour la ligne AllowTcpForwarding dans /etc/ssh/sshd_config et en redémarrant ensuite le service sshd. |
Précédent | Sommaire | Suivant |
Fichiers de configuration d'OpenSSH | Niveau supérieur | Besoin de SSH pour les connexions à distance |