Non, il ne s’agit pas d’un nouveau concurrent pour Tor (réseau) ou Freenet. Il s’agit juste d’un outil pour les personnes auto‐hébergées qui voudraient accéder à tous leurs services de n’importe où.

Cette dépêche explique son fonctionnement et ce qu’apporte sa dernière version.

OpenSSH 8.0 est disponible depuis le 17 avril 2019. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme telnet et rlogin. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.

Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.

Préambule : bonjour tout le monde, j'ai écrit cet article il y quelques jours (NdM: sur son blog, puis republié par Reflets.info), j'en profite pour le partager avec vous. La version originale possède énormément de liens et je ne peux pas tout mettre ici, vous avez le lien vers l'article en question en bas de la page.

En 1988, on commença à parler du programme Echelon ; vient ensuite Frenchelon ; et bien sûr le lanceur d'alerte Edward Snowden. La Quadrature du Net a mis en place le site nsa-observer pour regrouper les infos. Dans la suite de la dépêche, un petit tour d'horizon rapide de ce site.

OpenSSH 7.9 est disponible depuis le 19 octobre 2018. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme telnet et rlogin. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.

Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.

Mosh est une application permettant d'ouvrir une session à distance et sécurisée sur une machine de type Unix.

À la différence du célèbre et incoutournable SSH, Mosh offre la possibilité de maintenir une session ouverte tout en étant connecté par intermittence (roaming IP), d'où son nom : Mobile Shell.
Ce dernier est une alternative au couple SSH+Screen.

Fonctionnement

Mosh utilise SSH pour se connecter sur l'hôte distant. Une fois la connexion établie, un processus mosh-server prend le relais sur un port UDP en ouvrant une nouvelle session sécurisée et ferme la session SSH. Le client communique alors directement avec mosh-server. Avantage de la solution ? Si le client change d'adresse IP et qu'il retente une connexion à travers SSH, mosh-server reprend le dialogue avec la nouvelle adresse IP.

Mosh utilise aussi une approche différente de SSH pour la gestion de l'affichage du terminal client. Mosh n'attend pas une réponse de l'hôte distant pour afficher ce qui a été saisi par l'utilisateur. Le client et le serveur possèdent chacun un instantané (snapshot) de l'écran à afficher. La solution de Mosh repose sur la synchronisation de ces deux états. Ce qui permet à l'utilisateur de réduire les impressions de latence si la qualité de sa connexion est mauvaise.

Autres points importants :

• Mosh n'a pas besoin des droits super-utilisateur pour s'exécuter.
• Mosh impose un environnement en UTF-8 et ne gère pas d'autres encodages.
• Mosh ne gère pas encore le X-forwarding, ni le Port-forwarding.

OpenSSH (OpenBSD Secure Shell), ensemble d'outils libres de communications chiffrée en utilisant le protocole SSH, est publié en version 6.0 depuis le 22 avril.

Créé comme alternative Open Source à la suite logicielle proposée par la société SSH Communications Security, OpenSSH est développé par l'équipe d'OpenBSD, dirigée par son fondateur, Theo de Raadt, et diffusé sous licence BSD.

Les nouveautés :

• ssh-keygen(1) : ajout de points de contrôle optionnels pour l'examen des modules
• ssh-add(1) : nouvelle option -k pour charger des clés simples (évitant les certificats)
• sshd(8) : Ajout de la prise en compte des caractères génériques pour PermitOpen, permettant des choses comme "PermitOpen localhost:*.bz" #1857
• ssh(1): support de l'annulation de redirection de port en local et à distance par le multiplex socket. Utilisez ssh -O cancel -L xx:xx:xx -R yy:yy:yy user@host" pour demander l'annulation des redirections spécifiées
• prise en charge de l'annulation du suivi local/dynamique depuis la ligne de commande

Il y a bien sûr diverses corrections de bogues embarquées. Et d'un point de vue portabilité, on peut noter aussi une nouvelle implémentation d'isolation des privilèges pour Linux et un support de la bibliothèque LDNS de résolution DNS.

Git-deliver est un système simple et sécurisé sous GPLv3 pour :

• déployer un logiciel sur un ou plusieurs serveurs ;
• vérifier quelle version est sur un serveur, qui l'a livré et quand, et les éventuelles modifications depuis la livraison ;
• partager des configurations de livraison.

Git-deliver s'appuie sur les atouts de :

• Git pour la gestion des versions, le transfert de données et le contrôle d'intégrité ;
• SSH pour l'authentification et l'exécution à distance de commandes ;
• Bash pour l'exécution de scripts de livraison.

Un prototype fonctionnel se trouve sur Github, ainsi que plus d'informations et de documentation.

Contrairement à un simple Git push/checkout, Git-deliver :

• rend la livraison « atomique » ;
• structure la livraison en étapes et gère les erreurs tout en maintenant la disponibilité du logiciel ;
• archive les livraisons et automatise les retours en arrière (« rollback ») ;
• garde un journal des opérations ;
• fournit une façon simple de savoir quelle version est livrée sur quel serveur, de valider l'intégrité des livraisons, et de savoir quand et par qui une version a été livrée ;
• prévoit d'intégrer des recettes de livraison préfabriquées pour les environnements les plus courants.

La configuration de l'invite de commande du shell est un sujet largement traité sur le web. Cependant, on y voit le plus souvent des configurations du type « j'affiche l'horloge sur une ligne complète en arc-en-ciel clignotant ». Pas cool.

Le prompt idéal doit permettre de se rendre compte intuitivement de l'environnement où vous êtes (connexion ssh, root, dépôt git, etc.) et ne doit afficher les informations contextuelles que si elles sont nécessaires. Cool.

Le prompt bash que je vous propose a les fonctionnalités suivantes :

• couleurs vives pour une connexion root,
• affichage du nom d'hôte uniquement en cas de connexion distante, avec une couleur différente selon le type de connexion (ssh, telnet),
• dans les répertoires GIT, affichage du nom de la branche, avec une couleur indiquant le statut des commits
• rappel du nombre de jobs attachés au terminal, si besoin est
• alertes batterie et/ou charge système, si besoin est, avec un dégradé de couleurs

Après son « Bien démarrer avec GnuPG », gouttegd nous livre un nouveau journal sur l’utilisation du Trusted Platform Module (TPM) pour s’authentifier auprès d’un serveur SSH. Ce journal a été converti en dépêche et enrichi des premiers commentaires.

Tunnelmon, un moniteur de tunnels sécurisés SSH, sort en version 1.1. Il est publié sous GPLv3. Le code est en Python.

• Il propose une interface de supervision et de gestion des tunnels SSH s'exécutant sur un système.
• Il peut afficher soit une liste des tunnels sur la sortie standard, soit une interface interactive en mode texte dans le terminal.
• Il peut également afficher la liste des connexions réseaux issues de chaque tunnel et leur état.

Tunnelmon gère aussi les tunnels mis en place avec autossh, une application qui peut redémarrer automatiquement vos tunnels en déroute.
Avec cette version 1.1, il gère maintenant les trois méthodes de redirection de ports proposées par SSH.