OpenSSH dépasse SSH ... en nombre

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
27
fév.
2002
Sécurité
OpenSSH.org a "scanné" 2,4 millions d'IP entre décembre et février sur l'utilisation des produits ssh. D'après les stats, OpenSSH obtient 59.4% de "part de marché", contre 37.3% pour SSH.

Commentaire de Theo : "Most major Linux distributions install OpenSSH by default."

Source : OpenBSD journal.

Aller plus loin

  • # Normal

    Posté par  . Évalué à 10.

    Le produit est plus ou moins unamiment reconnu comme étant le meilleur. Et en plus il est libre...

    C'est donc normal qu'il s'impose.
    • [^] # Re: Normal

      Posté par  . Évalué à 3.


      1°/ perso je préfère ssh (j'aime sa gestion des clefs et je trouve dommage que openssh ne soit pas super compatible avec ssh quand on veut s'authentifier en se servant de clefs)


      2°/ comme il est intégré avec les distib linux et *bsd c'est donc normal qu'il s'impose (ça me fait penser à un certain Internet Explorer...)



      et hop -1
      • [^] # Re: Normal

        Posté par  . Évalué à 5.

        D'un autre coté, SSH n'est pas libre, donc c'est normal aussi qu'il ne soit pas partout ...
      • [^] # Re: Normal

        Posté par  . Évalué à 4.

        (ça me fait penser à un certain Internet Explorer...)

        Oui, certes. Mais si l'on regarde à deux fois, c'est très différent.
        Je suis d'accord, le fait qu'il soit proposé avec la distrib' (linux ou *BSD), augmente la diffusion de ce soft. Mais il s'agit d'un logiciel libre, même s'il n'est pas sous la GPL (il s'agit d'une license BSD, c'est normal puisqu'il a été développé pour OpenBSD, à partir de la version libre de SSH -disons SSH.com pour être plus clair- qui date d'il y a un moment -1.1.12, je crois- et qui n'a d'ailleurs plus grand chose à voir avec SSH.com). donc, tu sais dans quelle mesure il est intégré au système d'exploitation. Il est portable (*très* portable, comme tout ce qui touche à OpenBSD). Comme il est sous license BSD, tu pourrais en faire une version commerciale si ça t'amuse. Tu peux l'enlever (totalement !) de ton système et le remplacer par SSH.com si tu veux.
        tu peux essayer de le rendre plus compatible avec SSH.com pour ce qui est de l'authentification par clé. Il est pérenne, peut-être plus que SSH.com qui pourrait bien devenir incompatible avec SSH1.

        En fait, je ne sais pas pourquoi je continue, car il serait sûrement plus rapide de déterminer ce que tu ne peux pas faire....

        Tout ça pour dire qu'il s'agit d'un logiciel libre, qui remplace avantageusement SSH.com dans la plupart des cas (je l'ai couramment installé sur des windows, en partie parce que les outils en ligne de commande sont plus complet et qu'il est donc plus facile de faire des scripts avec, en partie parce qu'il est libre et que les clients on t parfaitement compris les avantages qu'il y avait à cela).
        Donc, ça peut rappeler IE, mais comme on le dit en dessous de mon post, si il s'impose, c'est aussi - et surtout- parce qu'il est libre. D'ailleurs, tu peux être sûr que dans le grosses boîtes ou on a pris OpenSSH, si on avait eu un quelconque avantage à le remplacer par SSH.com, ça aurait été fait, parce que c'est pas 700 € de license qui leur font peur.

        <Secte mode=on>Et puis c'est normal qu'il s'impose, passke RMS il a dit que quand on peut utiliser un logiciel libre il fallait le faire. Alors, hein !! <Secte>
  • # Autorisation légale SSH

    Posté par  . Évalué à 10.

    Il est à noter que depuis le 5 février 2002, la DCSSI a accepté la demande du CNRS concernant l'utilisation des protocoles ssh v1.5 et v2 pour l'ensemble de ses unités.

    Pour les universités, la demande est en cours : c'est donc une pagaille légale pour les unités CNRS hébergées par les universités !
    • [^] # Re: Autorisation légale SSH

      Posté par  . Évalué à 9.

      C'est a dire?
      Je bosse dans un labo du CNRS, et j'aimerais savoir ce que ca veut dire.
      Perso, je m'en fous, vu que j'ai fermer telnet sur ma machine, et que j'utilise SSH.
      Mais va p'tet falloir en parler a plus de gens?
      • [^] # Re: Autorisation légale SSH

        Posté par  (site web personnel) . Évalué à 7.

        Dans mon cas (université de Lille 1), il faut faire une demande explicite pour demander l'ouverture du port ssh sur le firewall pour un accées par l'exterieur de l'université à ma machine. C'est *plus ou moins* accepté par les administrateurs.
        • [^] # Re: Autorisation légale SSH

          Posté par  . Évalué à 4.

          ET poiour moi, adminstateur de ma machine, je dois aussi demander l'autorisation pour utiliser SSH et GPG?
          Mince, je risque d'avoir fini ma these avant d'avoir le debut d'une reponse!!!
          Tant pis, je les garde.
        • [^] # Re: Autorisation légale SSH

          Posté par  . Évalué à 8.

          Comme a peut prés toutes les univ, les admins aime pas a avoir a gerer les acces exterieur, vue déjà le boulot qu'ils ont en interne...

          Mais bon la limitation legale n'est elle pas valable , aussi sur les reseaux internes ?
      • [^] # Re: Autorisation légale SSH

        Posté par  (site web personnel) . Évalué à 10.

        Normalement, SSH ne peut être utilisé "librement" en France car les protocoles utilisés ont des clés dépassant 128 bits --> contraire à la loi 1999 sur la cryptographie.

        Citation du site de Bernard Perrot :

        "SSH assurant un chiffrement "dur" (3-DES obligatoirement par défaut, IDEA 128bits également, Blowfish 256 bits, etc.), il relève d'une autorisation préalable."

        Tout outil (enfin l'organisme souhaitant l'utiliser) ne se conformant pas à cette loi doit donc obtenir l'accord du DSCCI pour être utilisé.

        C'est pour cela que Bernard Perrot a crée SSF : http://perso.univ-rennes1.fr/bernard.perrot/SSF/(...) (version "amoindrie" de SSH).

        Mais le CNRS vient d'obtenir l'accord du DSCSSI pour utiliser SSH sur ses machines. J'ai une copie du mail d'un admin du CNRS à ce sujet, si ça intéresse quelqu'un.
    • [^] # Re: Autorisation légale SSH

      Posté par  . Évalué à 10.

      Et a votre avis, quand est-ce que les entreprises vont s'en inquieter ?

      Parce que vu le nombre d'entreprises qui utilisent les differentes versions de SSH et qui ne font pas la demande ...
      Enfin bon, j'ai pas encore vu d'entreprises poursuivies par la justice francaise pour utilisation de cryptage fort ...

      Vous avez vu des cas quelque part ???
      • [^] # Re: Autorisation légale SSH

        Posté par  . Évalué à 6.

        Pour l'instant, il n'y a pas d'entreprises poursuivies à propos du cryptage fort.
        Mais, tant qu'il n'est pas légalisé c''est un vrai probleme pour une societé de service de proposer une solution avec SSH, dans le cadre d'une réponse à un appel d'offre par exemple. Voire pour une entreprise quelconque qui pourrait s'etonner qu'on lui prescrive une solution "illegale".
        Bref, c'est pas tres bon pour l'innovation, ni pour le bizness.
        • [^] # Re: Autorisation légale SSH

          Posté par  (site web personnel) . Évalué à 4.

          Je ne vois pas trop ou est le problème, beaucoup d'hébergeurs français offrent (Open)SSH sur leurs machines et le crie haut et fort.

          PS : il est vrai que ces machines sont souvent hébergées hors de France, du coup seul le client utilise SSH de manière illégale.
        • [^] # Re: Autorisation légale SSH

          Posté par  (site web personnel) . Évalué à 4.

          La situation actuelle n'est pas tenable. Elle ne peut embêter que les gens honnêtes.
          Lorsqu'une loi est idiote ou trop difficile d'application, elle n'est pas appliquée.
          Dans ce cas il y a eu la loi contre l'avortement. On a fini par la supprimer après qu'une adolescente violée se soit fait avorter, car les tribunaux l'avaient condamné.
          Les militaires ont peur de ne pas pouvoir contrôler... Pendant ce temps là, le réseau Echelon fait de l'espionnage économique en Europe et les mafieux font des affaires.
          Arrêtons la farce, elle n'est pas drôle !
    • [^] # Re: Autorisation légale SSH

      Posté par  . Évalué à 5.

      > la DCSSI a accepté la demande du CNRS concernant l'utilisation des protocoles ssh v1.5 et v2 pour l'ensemble de ses unités.

      Suites aux différentes questions je développe un pneu :

      Auparavant, l'usage de ssh était autorisé si on utilisait les logiciels figurant sur la page http://www.SCSSI.gouv.fr/present/chiffre/liste.html(...) , essentiellement du IBM. Ceci interdisait en pratique de mettre ssh sur un serveur Linux ou Solaris (très fréquent dans les labos cnrs/fac) en particulier vers l'extérieur : bonjour la sécurité.

      Maintenant, on a le droit d'utiliser n'importe quel ssh, pourvu qu'il utilise le protocole 1.5 ou 2 ; on va enfin pouvoir sécuriser l'accès depuis l'extérieur !

      Là où commence la pagaille, c'est que les labos cnrs de la fac ont très souvent un seul serveur pour la recherche et pour l'enseignement ; or ssh n'est toujours pas autorisé pour les universités. Comment distinguer les 2 ? Pourquoi ne pourrait-on pas sécuriser un département d'informatique par rapport à l'extérieur, en particulier des djeun hax0rz ?

      Tant que tout passe en clair, c'est une bataille perdue d'avance.
  • # Openssh vs ssh

    Posté par  (site web personnel) . Évalué à 4.

    Pardonnez moi mais à part le fait qu'un logiciel soit libre, quelles sont les différences entre les deux logiciels ?
    • [^] # Re: Openssh vs ssh

      Posté par  . Évalué à 4.

      - OpenSSH ne supporte pas tout ce qui est breveté
      (surtout pour les algorithmes de cryptage)
      - SSH supporte les Certificats (PKI) et les Smart Cards (peut être que OpenSSH aussi, mais j'ai pas vu)

      Par contre l'équipe OpenSSH semble plus réactive en termes de sécurité.
      • [^] # Re: Openssh vs ssh

        Posté par  . Évalué à 6.

        OpenSSH supporte l'authentification par SmartCard (plus de détails dans README.smartcard dans les sources) depuis l'été dernier.
    • [^] # Re: Openssh vs ssh

      Posté par  . Évalué à 2.

      Disons que la plus grosse difference que j'ai vu pour le moment c'est qu'avec SSH on peut forcer l'utilisateur a s'authentifier avec la passphrase, le password et l'IP de sa machine. Cela n'est pas possible avec Openssh. Openssh sait demander les differentes authentifications mais pas les 2 ou 3 à la fois. C'est soit le password, soit la passphrase mais pas les 2.
      C'est un peu genant dans certain cas surtout sur des sites tres sensibles.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.