Utilisation de certificats OpenSSH

Magazine
Marque
GNU/Linux Magazine
Numéro
137
Mois de parution
avril 2011


Résumé
Depuis la version 5.4 d'OpenSSH, on peut signer les clés publiques des utilisateurs ou des serveurs pour éviter la fameuse attaque du « Man-In-The-Middle ». Cette opération de signature permet d'obtenir ce que l'on appelle communément un certificat. Nous allons donc voir dans cet article comment générer et utiliser ces certificats dans OpenSSH. Attention, il ne s'agit pas là de certificats X.509 (cela fera l'objet d'un autre article) mais plutôt d'un format spécifique plus simple...

1. Introduction

La première version de Secure SHell (SSH) a été développée en 1995 par Tatu Ylönen (Finlande). C'est en 2006 que la version 2 de SSH a été finalisée par le groupe de travail SECSH de l'IETF (Internet Engineering Task Force) sous la forme de 6 « Resquest For Comments » (RFC 4450 à 4456 [2]). SSH-2 propose par défaut 3 méthodes d'authentification : PublicKey, Password et HostBased, mais il en existe d'autres (Kerberos - GSSAPI, One Time Passord, etc.). L'authentification à clé publique est la seule méthode imposée par la RFC et c'est celle que l'on va utiliser tout au long de cet article.

Avant de passer à la partie technique proprement dite, je pense qu'il est bon de revenir rapidement sur le fonctionnement classique de l'authentification à clé publique de SSH-2 (côté utilisateur et côté serveur) pour voir quels petits problèmes cela peut soulever (les utilisateurs avertis peuvent directement passer au paragraphe 3). Après cela, il sera plus...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite