Utilisation de certificats OpenSSH

Magazine
Marque
GNU/Linux Magazine
Numéro
137
Mois de parution
avril 2011


Résumé
Depuis la version 5.4 d'OpenSSH, on peut signer les clés publiques des utilisateurs ou des serveurs pour éviter la fameuse attaque du « Man-In-The-Middle ». Cette opération de signature permet d'obtenir ce que l'on appelle communément un certificat. Nous allons donc voir dans cet article comment générer et utiliser ces certificats dans OpenSSH. Attention, il ne s'agit pas là de certificats X.509 (cela fera l'objet d'un autre article) mais plutôt d'un format spécifique plus simple...

1. Introduction

La première version de Secure SHell (SSH) a été développée en 1995 par Tatu Ylönen (Finlande). C'est en 2006 que la version 2 de SSH a été finalisée par le groupe de travail SECSH de l'IETF (Internet Engineering Task Force) sous la forme de 6 « Resquest For Comments » (RFC 4450 à 4456 [2]). SSH-2 propose par défaut 3 méthodes d'authentification : PublicKey, Password et HostBased, mais il en existe d'autres (Kerberos - GSSAPI, One Time Passord, etc.). L'authentification à clé publique est la seule méthode imposée par la RFC et c'est celle que l'on va utiliser tout au long de cet article.

Avant de passer à la partie technique proprement dite, je pense qu'il est bon de revenir rapidement sur le fonctionnement classique de l'authentification à clé publique de SSH-2 (côté utilisateur et côté serveur) pour voir quels petits problèmes cela peut soulever (les utilisateurs avertis peuvent directement passer au paragraphe 3). Après cela, il sera plus...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Par le(s) même(s) auteur(s)

Sécurisez vos noms de domaine avec DNSSEC

Magazine
Marque
GNU/Linux Magazine
Numéro
225
Mois de parution
avril 2019
Spécialité(s)
Résumé

Le service DNS (Domain Name System) est depuis les années 1980 un des composants essentiels du fonctionnement d’Internet, car il permet notamment la conversion d’un nom de domaine en adresse IP (et l’inverse également). Il a été la cible de plusieurs attaques comme l’usurpation d’identité DNS (DNS ID Spoofing [1]) et la pollution de cache (DNS cache poisoning [1] [2]). Avec la mise en place d’une zone racine « signée » en janvier 2010 ([3]), il est désormais possible de vérifier les données reçues par le système DNS en activant DNSSEC (Domain Name System Security Extensions [4]). Je vous propose donc de voir comment mettre en œuvre tout cela.

Installation sans écran de Slackware sur un Raspberry Pi 3

Magazine
Marque
GNU/Linux Magazine
Numéro
207
Mois de parution
septembre 2017
Spécialité(s)
Résumé
Vous venez d'acheter un Raspberry Pi 3 et vous n'avez pas d'écran avec un connecteur HDMI à portée de main pour installer/paramétrer votre petit « jouet ». Qu'à cela ne tienne, un câble Ethernet suffira ! Je vous propose également de voir comment on peut utiliser un autre système Linux que la distribution de référence Raspbian, en installant par exemple une Slackware.

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Surveillez la consommation énergétique de votre code

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Donnez une autre dimension à vos logs avec Vector

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous