20.5. Beaucoup plus qu'un shell sécurisé

20.5.1. Retransmission X11

L'ouverture d'une session X11 par le biais d'une connexion SSH établie est aussi facile que l'exécution d'un programme X sur un ordinateur local. Lorsqu'un programme X est exécuté à partir d'une invite du shell sécurisée, le client et le serveur SSH créent un nouveau canal sécurisé et les données du programme X sont ensuite envoyées à l'ordinateur client via ce canal d'une manière transparente.

La retransmission X11 peut être très utile. Elle peut être utilisée par exemple, pour créer une session interactive sécurisée avec up2date. Pour ce faire, connectez-vous au serveur en utilisant ssh et en tapant :

up2date &

Après avoir fourni le mot de passe du super-utilisateur pour le serveur, l'Agent de mise à jour Red Hat apparaît et permet à l'utilisateur distant de mettre à jour en toute sécurité son système à distance.

20.5.2. Retransmission de port

Grâce à SSH, il est possible de sécuriser des protocoles TCP/IP non-sécurisés via la retransmission de port. En utilisant cette technique, le serveur SSH devient un conduit crypté vers le client SSH.

La retransmission de port consiste à mapper un port local du client vers un port distant du serveur. SSH permet de mapper un port quelconque du serveur vers un port quelconque du client ; pour que cette technique fonctionne, il n'est pas nécessaire qu'une correspondance existe entre ces numéros de port.

Pour créer un canal de retransmission de port TCP/IP qui écoute les connexions sur l'hôte local, utilisez la commande suivante :

ssh -L local-port:remote-hostname:remote-port username@hostname

	Remarque
	Pour configurer la retransmission de port de manière à ce qu'elle écoute sur les ports inférieurs à 1024, il est nécessaire d'avoir un accès de niveau super-utilisateur (ou root).

Pour vérifier le courrier électronique sur un serveur nommé mail.example.com en utilisant le protocole POP via une connexion cryptée, utilisez la commande ci-dessous :

ssh -L 1100:mail.example.com:110 mail.example.com

Une fois que le canal de retransmission de port est en place entre l'ordinateur client et le serveur messagerie, indiquez au client de messagerie POP3 d'utiliser le port 1100 sur l'hôte local afin de vérifier le nouveau courrier. Toutes les requêtes envoyées au port 1100 du système client seront transmises de façon sécurisée au serveur mail.example.com.

Si mail.example.com n'exécute pas un serveur SSH, mais qu'un autre ordinateur l'exécute, SSH peut toujours être utilisé pour sécuriser une partie de la connexion. Dans ce cas toutefois, une commande légèrement différente est nécessaire :

ssh -L 1100:mail.example.com:110 other.example.com

Dans cet exemple, des requêtes POP3 en provenance du port 1100 de l'ordinateur client sont retransmises vers le serveur SSH, other.example.com par le biais de la connexion SSH sur le port 22 . Ensuite, other.example.com se connecte au port 110 sur mail.example.com pour vérifier la réception de nouveau courrier. Notez qu'en utilisant cette technique, seule la connexion entre le système client et le serveur SSH other.example.com est sécurisée.

La retransmission de port peutégalement être utilisée pour obtenir des informations de façon sécurisée à travers un pare-feu. Si le pare-feu est configuré de façon à permettre le trafic SSH par son port standard (22) mais bloque l'accès aux autres ports, une connexion entre deux ordinateurs hôte utilisant des ports bloqués est tout de même possible en redirigeant leur communication sur une connexion SSH établie.

Remarque

L'utilisation de la retransmission de port pour transférer des connexions de cette façon permet à tout utilisateur du système client de se connecter à ce service. Si le système client est compromis, les pirates auront également accès aux services retransmis. Les administrateurs système préoccupés quant à l'utilisation de la retransmission de port peuvent désactiver cette fonction sur le serveur en spécifiant le paramètre No pour la ligne AllowTcpForwarding dans /etc/ssh/sshd_config et en redémarrant ensuite le service sshd.