18.5. Beaucoup plus qu'un shell sécurisé</

Une interface sécurisée en ligne de commande n'est que la première utilisation, parmi tant d'autres, de SSH. En ayant la quantité nécessaire de bande passante, les sessions X11 peuvent être dirigées sur un canal SSH ou bien, en utilisant la retransmission TCP/IP, les connexions par port entre systèmes, considérées auparavant comme étant non-sécurisés, peuvent être appliquées à des canaux SSH spécifiques.

18.5.1. Retransmission X11

L'ouverture d'une session X11 par le biais d'une connexion SSH établie est aussi facile que l'exécution d'un programme X sur un ordinateur local. Lorsqu'un programme X est exécuté à partir d'un invite du shell sécurisée, le client et le serveur SSH créent un nouveau canal sécurisé et les données du programme X sont ensuite envoyées à l'ordinateur client par ce canal de façon transparente.

La retransmission X11 peut être très utile. Elle peut être utilisée par exemple, pour créer une session interactive sécurisée avec up2date. Pour ce faire, connectez-vous au serveur en utilisant ssh et en tapant:

up2date &

Après avoir fourni le mot de passe super-utilisateur pour le serveur, l'Agent de mise à jour Red Hat apparaîtra et permettra à l'utilisateur distant de mettre à jour en toute sécurité son système distant.

18.5.2. Retransmission de port

Grâce à SSH, il est possible de sécuriser des protocoles TCP/IP non-sécurisés via la retransmission de port. En utilisant cette technique, le serveur SSH devient un conduit crypté vers le client SSH.

La retransmission de port consiste à mapper un port local du client vers un port distant du serveur. SSH permet de mapper tout port du serveur vers tout port du client, sans nécessité une correspondance des numéros de port pour un bon fonctionnement.

Pour créer un canal de retransmission de port TCP/IP qui attend les connexions sur l'hôte local, utilisez la commande suivante:

ssh -L port-local:hôte-distant:port-distant nom-d'utilisateur@nom-d'hôte

NoteRemarque
 

Afin de pouvoir définir la retransmission de port pour qu'elle puisse être en mode réception des ports inférieurs à 1024, il est nécessaire d'avoir un accès super-utilisateur (ou root).

Pour vérifier le courrier électronique sur un serveur nommé mail.example.com au moyen du protocole POP à travers une connexion cryptée, utilisez la commande ci-dessous:

ssh -L 1100:mail.example.com:110 mail.example.com

Une fois que le canal de retransmission de port est en place entre l'ordinateur client et le serveur de courrier, dirigez le client POP mail pour qu'il utilise le port 1100 sur l'hôte local afin de vérifier le nouveau courrier. Toute requête envoyée au port 1100 de le système client sera dirigée de façon sécurisée vers le serveur mail.example.com.

Si mail.example.com n'exécute pas un serveur SSH, mais qu'un autre ordinateur le fait, SSH peut toujours être utilisé pour sécuriser une partie de la connexion. Dans ce cas, un commande légèrement différente est nécessaire:

ssh -L 1100:mail.example.com:110 other.example.com

Dans cet exemple, des requêtes POP du port 1100 sur l'ordinateur client sont transférées au moyen de la connexion SSH au port 22 vers le serveur SSH, other.example.com. Ensuite, other.example.com se connecte au port 110 de mail.example.com vérifier l'arrivée de nouveau courrier. Notez qu'en utilisant cette technique, seule la connexion entre le système client et le serveur SSH other.example.com est sécurisée.

La retransmission de ports peut être également utilisée pour obtenir des informations de façon sécurisée à travers un pare-feu. Si le pare-feu est configuré de façon à permettre le trafic SSH par son port standard (22), mais bloque l'accès aux autres ports, une connexion entre deux ordinateurs hôtes qui utilisent des ports bloqués est tout de même possible en redirigeant leur communication sur une connexion SSH établie entre eux.

NoteRemarque
 

L'utilisation de la retransmission de port pour transférer des connexions de cette façon permet à tout utilisateur sur le système client de se connecter à ce service. Si le système client est compromis, les pirates auront également accès aux services retransmis.

Les administrateurs système inquiets quant à l'utilisation de la retransmission de port peuvent désactiver cette fonction sur le serveur en spécifiant le paramètre No pour la ligne AllowTcpForwarding dans /etc/ssh/sshd_config et ensuite redémarrer le service sshd.