Une fonctionnalité particulièrement intéressante de SSH: la connexion par rebond.

SSH : connexion par rebond

La connexion par rebond consiste à passer par une machine intermédiaire lors d’une connexion ssh entre deux machines. Cette technique permet d’ajouter un niveau de sécurité pour l’accès à distance vers une machine sensible.

Exemple de cas

Une machine titi(192.168.0.1) veut se connecter à une machine toto(172.30.2.2); celle-ci n’étant joignable que par la machine tata(10.24.231.5). En utilisant simplement ssh, cela se traduit par :

titi$ ssh 10.24.231.5 
tata$ ssh 172.30.2.2
toto$

Cette technique n’est pas très pratique et a quelques inconvénients, car il n’est pas possible de transférer des fichiers de titi vers toto et inversement, ni de faire passer un flux X11.

Pour ce faire, le fichier de configuration de ssh de la machine titi va être modifier de tel sorte que la machine tata soit paramétrée en tant que rebond de connexion via l’option ProxyCommand.

ProxyCommand

Éditer le fichier de configuration de la machine titi et modifier comme suit :

sudo nano /etc/ssh/sshd_config

Host toto
ProxyCommand ssh 10.24.231.5 -w 172.30.2.2:22

Pour toutes les connexions à partir de titi vers l’hôte(host) toto, dorénavant elles passeront automatiquement par la machine tata via l’option ProxyCommand.

Astuce : Pour ajouter une nouvelle brique de sécurité et pour ne pas à saisir le mot de passe à chaque nouvelle connexion, utiliser une clé SSH.