La version 4.3 nous avait offert le support intégré d'un tunnel VPN (Virtual Private Network) à l'aide de la primitive "PermitTunnel" à mettre dans la configuration du serveur.
La nouvelle version 4.4 sortie le 27 septembre 2006 ajoute au serveur sshd une couche de configuration conditionnelle grâce à la primitive "Match". Un des avantages est que l'on peut maintenant faire des réglages, comme la redirection du flux X-Window, en fonction de l'utilisateur et de la machine cliente. Cette fonctionnalité permet finalement d'affiner les réglages possibles, donc de n'autoriser que ce qui est nécessaire aux utilisateurs et par la même, améliorer encore la sécurité du système d'information.
D'autres ajout, a priori moins important, ont été faits, notamment au niveau des sous-systèmes du serveur (SubSystem). Cette dernière amélioration devrait permettre d'avoir dans le futur des sous-systèmes comme sftp plus souple.
Vous pouvez soutenir le développement du projet OpenSSH en faisant un don ou en achetant des tshirts et des posters. La nouvelle primitive "Match" introduit un test conditionnel et marque le début d'un bloc qui se finit sur la primitive "Match" suivante. Les mot-clefs définis dans le bloc modifient la configuration globale du serveur ssh pour toutes les connections vérifiant le ou les critères.
Seuls quelques paramètres sont ainsi modifiables : AllowTcpForwarding, ForceCommand, GatewayPorts, PermitOpen, X11DisplayOffset, X11Forwarding, et X11UseLocalHost. C'est déjà pas mal. Cependant, d'autres paramètres pourront être modifiés dans le futur dans les blocs "Match".
La condition peut se faire sur une combinaison du nom de l'utilisateur, du groupe de celui-ci, du nom de la machine distante ou de son adresse IP.
Un petit exemple valant mieux qu'un long discours :
Match Address 192.168.1.10 User toto,titi
X11Forwarding yes
AllowTcpForwarding yes
Et voila, le retour X-Window ne fonctionnera que pour les utilisateurs toto et titi depuis la machine cliente 192.168.1.10.
On remarque aussi l'ajout de la primitive "ForceCommand" qui est particulièrement adaptée à un bloc "Match". Cette primitive ignore la commande demandée par le client et force l'exécution de la commande spécifié. La commande originelle du client est passée par la variable d'environnement "SSH_ORIGINAL_COMMAND". Cette primitive est l'alter ego de l'option command="..." possible dans le fichier ~/.ssh/authorized_keys.
Dans le même ordre d'idée, l'option permitopen="..." de ce même fichier authorized_keys est aussi possible dans un bloc "Match" par la primitive "PermitOpen". Cette primitive permet de définir les ports TCP qui peuvent être retransmis (forwarding) vers une autre machine.
Aller plus loin
- OpenSSH (13 clics)
- Note de la révision 4.4 (1 clic)
- Page de manuel sshd_config (2 clics)
# OpenSSH roxorz
Posté par Youx . Évalué à 1.
Je me demande s'il y a encore des gens qui utilisent le vieux telnet tout pourrave (enfin à part les gens sous windows je veux dire ^^)
Par contre, un truc manque et qui serait bien ça serait la possibilité de faire du resume avec scp ...
[^] # Re: OpenSSH roxorz
Posté par chl (site web personnel) . Évalué à 6.
scp n'est pas fait pour ça, regarde plutôt du côté d'rsync.
[^] # Re: OpenSSH roxorz
Posté par Youx . Évalué à -9.
Partager le répertoire, pas de completion zsh, je sais même pas si ça fait de l'identification par clé (ça m'étonnerait), protocole qui change tous les 4 matins (le truc bien rassurant) etc ...
Pour copier un seul fichier, scp est plus adapté je pense. Mais des fois le transfert bah ça peut échouer pour diverses raisons (déco 24h, wifi, ...), et sur un gros fichier c'est chiant de devoir tout recommencer. :)
[^] # Re: OpenSSH roxorz
Posté par Matthieu Moy (site web personnel) . Évalué à 10.
Tu veux dire quoi ?
> pas de completion zsh,
Si.
> je sais même pas si ça fait de l'identification par clé (ça m'étonnerait),
Lis le man, et soit étonné. rsync utilise ssh, et permet tout ce que fait ssh.
> protocole qui change tous les 4 matins (le truc bien rassurant)
En effet, en faisant du rsync d'une Debian sid à une RedHat 7.2 sortie il y a 5 ans, j'ai un warning comme quoi ça marcherait mieux si j'upgradais mon serveur. Je suis super pas rassuré.
> Pour copier un seul fichier, scp est plus adapté je pense.
Cites-moi un seul avantage de scp par rapport à rsync ...
Tu as mal regardé rsync, c'est un remplacement clairement amélioré en tous points de scp. Le seul cas où il est vraiment intéressant d'utiliser scp, c'est ... quand rsync n'est pas installé !
[^] # Re: OpenSSH roxorz
Posté par Matthieu Moy (site web personnel) . Évalué à -2.
Tu veux dire quoi ?
> pas de completion zsh,
Si.
> je sais même pas si ça fait de l'identification par clé (ça m'étonnerait),
Lis le man, et soit étonné. rsync utilise ssh, et permet tout ce que fait ssh.
> protocole qui change tous les 4 matins (le truc bien rassurant)
En effet, en faisant du rsync d'une Debian sid à une RedHat 7.2 sortie il y a 5 ans, j'ai un warning comme quoi ça marcherait mieux si j'upgradais mon serveur. Je suis super pas rassuré.
> Pour copier un seul fichier, scp est plus adapté je pense.
Cites-moi un seul avantage de scp par rapport à rsync ...
Tu as mal regardé rsync, c'est un remplacement clairement amélioré en tous points de scp. Le seul cas où il est vraiment intéressant d'utiliser scp, c'est ... quand rsync n'est pas installé !
[^] # Re: OpenSSH roxorz
Posté par Matthieu Moy (site web personnel) . Évalué à 0.
[^] # Re: OpenSSH roxorz
Posté par Anonyme . Évalué à 3.
Je pense dire une bêtise, mais... Sftp est-il une solution à ton problème ? C'est livré avec Ssh non ?
[^] # Re: OpenSSH roxorz
Posté par jeromelinuxfr . Évalué à 2.
rsync -avP ton_gros_fichier la_destination
et man rsync
[^] # Re: OpenSSH roxorz
Posté par ʭ ☯ . Évalué à 5.
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: OpenSSH roxorz
Posté par Christophe Chailloleau-Leclerc . Évalué à 10.
Oui.
- Tous ceux qui ne connaissent pas (les informaticients non-geeks, et il y'en a !)
- Tous ceux qui bossent avec des un*x en tout genres sur lesquels ssh n'est pas installé et où ils n'ont pas le droit de l'installer (je sais de quoi je parle)
- Et j'en oublie...
Pour info, putty est très bien, sous windows, pour faire du ssh, et même pour le telnet il est infiniment mieux que celui de windows...
[^] # Re: OpenSSH roxorz
Posté par xenon_hs (site web personnel) . Évalué à 0.
[^] # Re: OpenSSH roxorz
Posté par Fabien Engels . Évalué à 8.
http://www.xs4all.nl/~whaa/putty/
L'avantage c'est qu'il va se loger dans le tray, il permet de cliquer dans les liens qui apparait dans la session SSH, il se reconnecte automatiquement aprés un retour d'hibernation du poste de travail ...
Il gère aussi la transparence et il a une icone plus sympa, bref Putty Tray c'est bien ;)
[^] # Re: OpenSSH roxorz
Posté par left . Évalué à 9.
Mais c'est super, il ne manque plus que le support du protocole de msn et la gestion des smiley. On tient le bon bout.
[^] # Re: OpenSSH roxorz
Posté par Fabien Engels . Évalué à 9.
Si j'ai mis ces deux details avec un retour à la ligne, c'etait pour separé des choses pratiques utiles et des choses inutiles donc indispensable.
[^] # Re: OpenSSH roxorz
Posté par Frédéric Stemmelin . Évalué à 4.
Il peut être utile a ceux qui utilisent putty pour ouvrir un tunnel ssh et qui doit rester ouvert tout le temps.
A la prochaine occasion je vais l'utiliser.
[^] # Re: OpenSSH roxorz
Posté par Raphaël Berbain . Évalué à 10.
Loin de moi l'idée de me positionner brutalement en extrémiste primaire du libre/open source/capucepalibre/débat philosophique du jour sur linuxfr (autrement connu sous le nom de "troll poilu"), mais diantre, il s'agit là d'un client ssh, tout de même.
Votre paranoïaque médian,
[^] # Re: OpenSSH roxorz
Posté par Temsa (site web personnel) . Évalué à 8.
Si vous voulez de la transparence comme PuTTY Tray, il suffit d'utiliser Vitrite avec ( http://www.framasoft.net/article2320.html ). Par contre ca rend toute la fenetre transprente, alors qu'il serait mieu que ce ne soit que le fond (avec les raccourci je "transparente" en live lorsque j'ai besoin de voir a travers, mais on ne voit plus rien a ce qu'on ecrit souvent dans ce cas, c'est chiant...
J'avais trouvé aussi un outil permettant de modifier des paramètres avec toutes les (ou un partie des) sessions enregistrées de putty (trèèèès pratique), ca marche bien, mais pas quand les sessions sont dans des "sous repertoires". Malheureusement j'ai perdu le nom...
J'ai pensé a faire mon propre putty tout patché avec ce que je voulais, mais il faut à priori VC que je n'ai pas (j'ai vaguement regardé comment faire sans, et ça m'a vite gonflé :P ).
J'ai testé pleins de dérivé de putty, et franchement tutty est le mieu foutu, mais les outils pour putty même ne fonctionnet pas tous (genre celui qui permet d'envoyer le texte que tu tapes dans plusieurs fenetre en même temps)
[^] # Re: OpenSSH roxorz
Posté par Fabien Engels . Évalué à 6.
Ce que j'aimerai aussi en fonctionnalité, c'est un client avec des onglets, c'est ce qui me manque quand je suis sous Windows par rapport à Konsole (ça permet de switcher trés rapidement d'une session a une autre).
J'utilise pas la transparence sous Putty Tray, car il me semble qu'elle s'applique aussi à toute la fenetre.
[^] # Re: OpenSSH roxorz
Posté par enzbang (site web personnel) . Évalué à 3.
Mais bon... il ne gère pas la transparence et l'icone est moche il faut l'avouer.
[^] # Re: OpenSSH roxorz
Posté par Nicolas Évrard (site web personnel) . Évalué à 10.
- Et j'en oublie...
Moi, j'utilise encore telnet mais plus du tout dans son but original. C'est plutôt pour aller vérifier un serveur POP/IMAP/HTTP/....
C'est quand même bien plus utile si on veut vraiment voir ce qu'il se passe à l'autre bout du net quand quelquechose merdoie.
[^] # Re: OpenSSH roxorz
Posté par Matthieu Moy (site web personnel) . Évalué à 6.
[^] # Re: OpenSSH roxorz
Posté par imalip . Évalué à 4.
[^] # Re: OpenSSH roxorz
Posté par mania . Évalué à 5.
>de faire du resume avec scp ...
En tout cas j'utilise lftp pour mes transferts par sftp/ssh et je peux t'assurer que c'est possible question protocole...
[^] # Re: OpenSSH roxorz
Posté par peck (site web personnel) . Évalué à 3.
Le protocole est plus proche du ftp et donc supporte plus de choses comme le resume. Et a part les vieux serveurs qui ne supportaient pas le sftp, rien ne t'empeche de l'utiliser.
[^] # Re: OpenSSH roxorz
Posté par plusplus . Évalué à 5.
[^] # Re: OpenSSH roxorz
Posté par Prosper . Évalué à 5.
http://www2.papamike.ca:8082/tutorials/pub/lftp.html
[^] # Re: OpenSSH roxorz
Posté par Krunch (site web personnel) . Évalué à 4.
http://openssh.org/faq.html#2.10
Sinon personnellement j'ai fait ça : http://www.krunch.be/vrac/sw/patches/scp-s.diff
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: OpenSSH roxorz
Posté par Naha (site web personnel) . Évalué à 3.
Si je comprends bien, c'est plutôt scp qui est en voie d'extinction car non standardisé, tandis que sftp, qui l'est, est toujours développé.
[^] # Re: OpenSSH roxorz
Posté par BAud (site web personnel) . Évalué à 4.
- en SSH1, il y a scp et sftp
- en SSH2, scp s'appuie sur sftp-subsystem (côté serveur, les commandes scp sont en fait du sftp, pour simplifier)
Enfin, je parle de openssh tel que je le connaissais et l'avais compris, cela a changé ou évolué dans cette dernière version ?
[^] # Re: OpenSSH roxorz
Posté par Krunch (site web personnel) . Évalué à 2.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: OpenSSH roxorz
Posté par fridim . Évalué à 1.
Utilise un client FTP qui gère le scp comme il faut. J'utilise yafc ( http://yafc.sourceforge.net ) et il permet le resume sur scp. Y en a d'autres (lftp il semblerait).
# historique de OpenSSH
Posté par supergab . Évalué à 5.
[^] # Re: historique de OpenSSH
Posté par chl (site web personnel) . Évalué à 10.
http://openssh.org/fr/history.html
[^] # Re: historique de OpenSSH
Posté par herodiade . Évalué à 10.
Celà dit, ça va être dur de supplanter OpenSSH. Non seulement sur le plan fonctionnel, mais surtout en ce qui concerne la confiance des utilisateurs et des distros qui l'intègrent.
En effet, en suivant le cvs, on remarque vite qu'OpenSSH est régulièrement audité par des spécialistes renommés. Je me rappele avoir vu passer quelques corrections de bugs identifiées par Solaar designer ou Ulrich Drepper, par ex. Ou, pour s'en tenir à ces derniers mois, des corrections venant d'audits par l'outil d'analyse statique « coverty » de standford, par l'outil « Saturne » et par la Google Security Team.
Mais le gros de ce travail de (ré)audit permanent et d'amélioration continue de la sécurité tient à l'intégration d'OpenSSH dans un projet beaucoup plus large, OpenBSD. De là, de nombreux developpeurs d'OpenBSD participent régulièrement au ré-audit d'OpenSSH, avec en particulier des recherches ou améliorations « à thèmes » : séparation des privilèges (c'était il y a un moment déjà, mais plus récement: ), utilisation systématique de fonctions d'allocations renforcées ad hoc pour prévenir divers types de débordements, recherche systématique des int overflow, ré-audit systématique de la gestion des signaux, ré-audit systématique des paths d'erreurs, ...
Autrement dit, à mon sens, le succès d'OpenSSH vient aussi du fait que sa sécurité n'est pas seulement améliorée par ses développeurs (au sens strict), pas si nombreux, mais par une équipe beaucoup plus large de développeurs experts en sécurité, l'équipe d'OpenBSD (même les développeurs du noyau ou de la libc d'Open participent régulièrement à l'amélioration de la sécurité d'OpenSSH).
[^] # Re: historique de OpenSSH
Posté par Krunch (site web personnel) . Évalué à 2.
http://0xbadc0de.be/wiki/doku.php?id=libssh:libssh
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: historique de OpenSSH
Posté par M . Évalué à 2.
Un article sur lwn sur les serveur/client ssh n'etait pas tres flateur pour ce logiciel.
Par contre http://matt.ucc.asn.au/dropbear/dropbear.html semble une alternative interressante pour l'embarqué.
[^] # Re: historique de OpenSSH
Posté par Sytoka Modon (site web personnel) . Évalué à 7.
Malheureusement, OpenSSH ne tourne pas en natif sous la plateforme Windows et c'est justement sous cette plate-forme que l'on voit des implémentations propriétaires du serveur SSH et l'implémentation libre du seul client avec putty (que l'on trouve maintenant aussi sous Linux).
La meilleure version libre sous Windows du serveur est pour moi copSSH mais, un manque de confiance, et le fait que cela ne soit pas une application native (mais cygwin) fait que personnellement, je ne la dépoie pas sur tous les postes de bureau sous cet OS.
Enfin, plutôt que de vouloir refaire OpenSSH, on voit apparaître une nouvelle manière d'avoir un accès distant avec les terminaux web au travers des serveurs AnyTerm et AjaxTerm. Il s'agit là d'utiliser un serveur Apache avec une application utilisant la philosophie Ajax pour la rendre plus réactive, chose absolument nécessaire pour un terminal. Personnellement, je n'ai pas encore testé ce genre de chose, je trouve que cela fait un peu usine à gaz. Je n'ai donc pas encore vraiment confiance d'un point de vue sécurité. Et puis, Apache, c'est quand même plus lourd en terme de charge système que sshd.
copSSH
http://www.itefix.no/phpws/
AnyTerm
http://anyterm.org/
AjaxTerm
http://antony.lesuisse.org/qweb/trac/wiki/AjaxTerm
# Houlala, on se dirige pas vers un gros caca là ?
Posté par rangzen (site web personnel) . Évalué à 0.
Pour ceux qui ont oublier mobilix : http://linuxfr.org/2003/09/08/13859.html
[^] # Re: Houlala, on se dirige pas vers un gros caca là ?
Posté par Sylvain Briole (site web personnel) . Évalué à 5.
http://marc.theaimsgroup.com/?l=openbsd-misc&m=115879165(...)
# Acheter les goodies OpenSSH/BSD
Posté par Nicolas Legrand (site web personnel) . Évalué à 0.
Est-ce que désormais on peut facilement acheter leurs produits ? Et avec quel type de moyen de paiement ?
[^] # Re: Acheter les goodies OpenSSH/BSD
Posté par gaston . Évalué à 3.
Ou aller chez ces magasins spécialisés : http://openbsd.org/orders.html#france
On peut payer par CB directement (sécurisé évidemment), les détails sont la : http://openbsd.org/orders.html#cshop (descendre un peu jusqu'a "Western Europe")
Wim Vandeputte (http://kd85.com) s'occupe de l'expédition, et j'ai jamais eu aucun problème de ce coté.
[^] # Re: Acheter les goodies OpenSSH/BSD
Posté par Loïs Taulelle ࿋ (site web personnel) . Évalué à 2.
C'est à 2h de métro^W TGV de paris.
Proverbe Alien : Sauvez la terre ? Mangez des humains !
[^] # Re: Acheter les goodies OpenSSH/BSD
Posté par Miod in the middle . Évalué à 2.
[^] # Re: Acheter les goodies OpenSSH/BSD
Posté par neriki (site web personnel) . Évalué à 2.
https://https.openbsd.org/cgi-bin/order.eu
Rien à redire (au contraire, j'ai même reçu un grand autocollant Puffy transparent en plus dans ma dernière commande :) ).
# sftp depuis ssh
Posté par mirak mirak . Évalué à 1.
Je sais que le shell c'est bash donc ssh donne la main a /usr/bin/bash mais bon ça parait logique sur le plan de l'utillisation de pouvoir envoyer un fichier directement à l'endroit d'où on se connecte.
[^] # Re: sftp depuis ssh
Posté par mxt . Évalué à 1.
http://zssh.sourceforge.net/
Je ne sais pas ça marche bien, et ça n'a plus l'air trop maintenu, mais si ça peut faire un heureux.
[^] # Re: sftp depuis ssh
Posté par M . Évalué à 6.
L'ideal serait de rajouter un commande dans le shell ssh ("~C")
PS chercher dans le man "ESCAPE CHARACTERS" pour plus d'info.
[^] # Re: sftp depuis ssh
Posté par reno . Évalué à 4.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.