OpenBSD Sortie d'OpenSSH 6.0

Posté par (page perso) . Édité par Nÿco, NeoX, Benoît Sibaud et Yves Bourguignon. Modéré par Nÿco. Licence CC by-sa
Tags :
56
4
mai
2012
OpenBSD

OpenSSH (OpenBSD Secure Shell), ensemble d'outils libres de communications chiffrée en utilisant le protocole SSH, est publié en version 6.0 depuis le 22 avril.

Créé comme alternative Open Source à la suite logicielle proposée par la société SSH Communications Security, OpenSSH est développé par l'équipe d'OpenBSD, dirigée par son fondateur, Theo de Raadt, et diffusé sous licence BSD.

Les nouveautés :

  • ssh-keygen(1) : ajout de points de contrôle optionnels pour l'examen des modules
  • ssh-add(1) : nouvelle option -k pour charger des clés simples (évitant les certificats)
  • sshd(8) : Ajout de la prise en compte des caractères génériques pour PermitOpen, permettant des choses comme "PermitOpen localhost:*.bz" #1857
  • ssh(1): support de l'annulation de redirection de port en local et à distance par le multiplex socket. Utilisez ssh -O cancel -L xx:xx:xx -R yy:yy:yy user@host" pour demander l'annulation des redirections spécifiées
  • prise en charge de l'annulation du suivi local/dynamique depuis la ligne de commande

Il y a bien sûr diverses corrections de bogues embarquées. Et d'un point de vue portabilité, on peut noter aussi une nouvelle implémentation d'isolation des privilèges pour Linux et un support de la bibliothèque LDNS de résolution DNS.

SSH Mastery : un livre pour maîtriser OpenSSH

À cette occasion il faut aussi noter que Michael W. Lucas, l'auteur du livre de référence sur OpenBSD - Absolute OpenBSD - publie un nouveau titre aux éditions Tilted Windmill Press : SSH Mastery.

Entièrement consacré à SSH, ce livre n'est pas un simple manuel de référence mais plutôt un guide pratique orienté vers la réalisation de tâches d'administration précises sur OpenSSH - la plus répandue des solutions de sécurisation.

Il couvre toutes les tâches de base et plusieurs tâches avancées telles que la configuration d'un VPN (Chapitre 13) et l'authentification basée sur les clefs. Dans un souci éminemment pratique et pédagogique, l'auteur donne toutes les notions indispensables pour exploiter a posteriori les pages de manuel d'OpenSSH sans buter sur le jargon.

Les exemples abordent largement l'administration sur les systèmes OpenBSD, FreeBSD, Ubuntu. Pour les malchanceux, Putty, le client SSH pour Windows n'a pas été oublié.

  • # Troll

    Posté par . Évalué à  10 .

    [Vendredi]
    Quand on parle de l'interface Metro de Windows 8, ou des effets kikoo de Gnome 3 il y a du monde pour discuter, mais quand on évoque OpenSSH, probablement le composant le plus important des OS unix-like, y'a plus personne.
    [/Vendredi]

    Ou alors tout le monde se tait pour admirer la perfection…

    • [^] # Re: Troll

      Posté par . Évalué à  10 .

      Euh pour moi, le composant le plus important c'est quand même le noyau

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: Troll

        Posté par . Évalué à  10 .

        du moment qu'il n'y a pas de pepins avec le noyau…

        • [^] # Re: Troll

          Posté par . Évalué à  7 .

          Quand on a la pêche, y a jamais de pépin!

    • [^] # Re: Troll

      Posté par (page perso) . Évalué à  7 .

      Il faut dire que c'est la 6.0 car la précédente était la 5.9 mais que c'est une version mineure à mon sens…

      • [^] # Re: Troll

        Posté par (page perso) . Évalué à  5 . Dernière modification : le 04/05/12 à 17:27

        6.0 suit 5.9 tout comme pour OpenBSD, et cela semble logique vu que c'est la même personne à sa tête, la version suivant 4.9 est 5.0, logique différente.
        On aurait pu s'appeler SSH release 60 qui suit le release 59. Chez OpenBSD et donc OpenSSH, on ne privilégie pas le chiffre ni la quantité mais la qualité du release

        CNRS & UNIX-Experience

    • [^] # Re: Troll

      Posté par (page perso) . Évalué à  7 .

      Ou alors, il ne pose pas de problème à la plupart des gens qui n'ont rien à dire qui n'ait pas déjà été dit. Mais si tu veux un râleur, je veux bien râler mais uniquement pour le principe alors.

      J'espère que cette version corrige le bug que j'ai qui fait que la session freeze parfois et impossible de récupérer le terminal, même un ~. ne change rien.

      « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

      • [^] # Re: Troll

        Posté par . Évalué à  -3 .

        bhroâ…

        quand on a pas deux mains gauches palmées griffues et poilues, on utilises tmux ou screen

        OK je sors --->

        • [^] # Re: Troll

          Posté par (page perso) . Évalué à  3 .

          Je ne vois pas bien le rapport.

          « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

      • [^] # Re: Troll

        Posté par (page perso) . Évalué à  5 .

        As-tu essayé les différentes options du Keepalive ?
        (Client|Server)AliveInterval et AliveCountMax. En cas de coupure ça permet de récupérer pas mal de choses.

      • [^] # autossh ?

        Posté par . Évalué à  2 . Dernière modification : le 10/05/12 à 20:06

        J'espère que cette version corrige le bug que j'ai qui fait que la session freeze parfois et impossible de récupérer le terminal, même un ~. ne change rien.

        autossh est une surcouche qui gère ce genre de soucis, de manière transparente pour les applications qui utilisent les entrée et sortie standard de ssh ou le tunneling.
        Par contre, il relance ssh pour rétablir la connexion, donc c’est plus approprié pour être utilisé avec une clé sans « passphrase »…

        Théorie du pot-au-feu : « Tout milieu où existe une notion de hauteur (notamment les milieux économique, politique, professionnels) se comporte comme un pot-au-feu : les mauvaises graisses remontent. »

    • [^] # Re: Troll

      Posté par . Évalué à  3 .

      Nous sommes béas d'admiration.

    • [^] # Re: Troll

      Posté par . Évalué à  10 .

      C'est simplement le principe de l'abri à vélo en action (cf. http://bikeshed.com/ )

      Émettre un avis subjectif sur des choses triviales est facile donc tout le monde le fait. Dès qu'on passe sur des choses un peu plus techniques, objectives ou constructives y'a beaucoup moins de monde.

    • [^] # Re: Troll

      Posté par (page perso) . Évalué à  2 . Dernière modification : le 04/05/12 à 15:21

      J'suis pas sûr que les utilisateurs d'effets kikoulol soient ceux qui utilisent le plus OpenSSH, OpenSSL oui ça par contre ils l'utilisent (sans le savoir en général …) :-)

    • [^] # Re: Troll

      Posté par (page perso) . Évalué à  10 .

      Quand on parle de l'interface Metro de Windows 8, ou des effets kikoo de Gnome 3 il y a du monde pour discuter, mais quand on évoque OpenSSH, probablement le composant le plus important des OS unix-like, y'a plus personne.

      J'utilise KDE. Ce qui prouve que OpenSSH m'intéreserait si on pouvait configurer plus de trucs. En particulier OpenSSH ne prend toujours pas en charge les onglets et les ombres. Il reste vraiment beaucoup de progrés à faire.

      ---------------> [ ]

  • # 'tain la honte...

    Posté par (page perso) . Évalué à  10 .

    Amis libristes aujourd'hui je fais mon coming-out: je n'ai absolument rien écrit dans cette dépêche ! Nan mais quel fainéant je fais !
    Toujours un truc à faire… Un gamin à consoler… Une fête à organiser… Des amis qui…bref la vie quoi.

    Alors que je voulais vous parler du nouveau super algo ECDSA introduit dans la 5.7, des bonnes raisons d'avoir une clé par algo, de faire attention avec la nouvelle option -k qui écrase le fichier moduli que vous avez mis une semaine à générer…(patch prévu pour la 6.1 inch all'Marx)

    Je voulais également vous parler de la stabilité d'openSSH depuis presque 12 ans, de sa place dans le classement des outils de sécurité (http://sectools.org/) de sa robustesse (vis à vis de cette coch$$*ù d'openSSL et de son parsing ASN1…suivez mon regard vers les derniers CVE) de la récente possibilité d'utiliser des certificats en lieu et place des clés, des nombreuses possibilités de Match, du remote forwarding ou même comment créer un petit VPN perso.

    D'autre part, Michael Lucas (l'auteur d'Absolute openBSD et absolute freeBSD) a eu la gentillesse de m'envoyer son nouveau bouquin SSH Mastery. Un excellent petit bouquin de 120 pages pas totalement exhaustif (il ne traite pas les certificats par ex) mais bourré de bonnes astuces et plein d'excellents conseils. Je voulais également vous en faire une petite présentation et vous en recommander la lecture.

    Mais voilà, je n'ai même pas eu le temps de remercier Michael, ni de faire quoique ce soit sur cette dépêche.
    Alors jetez-moi l'anathème je le mérite bien.
    Sinon en bon vieux rebelle que je suis je le ferai peut-être à l'envers…

    • [^] # moduli

      Posté par (page perso) . Évalué à  4 .

      Votre remarque concernant l'écrasement des fichiers moduli me fait imaginer que vous pourriez potentiellement jeter de votre lumière dans la lanterne de ceux qui s'interrogent sur l'utilité de générer de tels fichiers. Me tromperais-je ?

      • [^] # Re: moduli

        Posté par (page perso) . Évalué à  5 .

        Salut,

        en préambule saches que je ne suis pas du tout spécialiste en crypto. Je peux juste te dire que le fichier moduli contient en fait les grands nombres premiers qui seront utilisés dans la phase de négociation des clés par l'algo Diffie-Hellman tel que décrit dans cette rfc: http://tools.ietf.org/html/rfc4419

        De mon point de vue ça ne peut pas nuire de le refaire avec de plus grands nombres (j'ai une centaine de primes à 8192) quand on est pas certain de ce qui se passe sur son lan (je ne citerai pas mon hébergeur mais c'est fou ce que je vois passer sur mon interface…)

        Concernant les clés, il ne faut pas confondre la crypto symétrique (DES,AES) et asymétrique (RSA,DSA,ECDSA) aussi appelée à clé publique, qui est utilisée par SSH entre autres.

        Mais dans les 2 cas il s'agit d'un domaine d'application des mathématiques que je n'ai jamais maîtrisé alors je préfère m'en tenir aux recommandations des pros. En d'autre termes j'ai des phrases de passe très longues avec des caractères variés et surtout je génère 3 clés (une par algo) comme ça si un algo est cassé un jour futur, ben je le désactive et il me reste les autres. Bon ça c'est depuis que j'ai lu le bouquin de Michael Lucas hein… ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.