OpenSSH (OpenBSD Secure Shell), ensemble d'outils libres de communications chiffrée en utilisant le protocole SSH, est publié en version 6.0 depuis le 22 avril.
Créé comme alternative Open Source à la suite logicielle proposée par la société SSH Communications Security, OpenSSH est développé par l'équipe d'OpenBSD, dirigée par son fondateur, Theo de Raadt, et diffusé sous licence BSD.
Les nouveautés :
- ssh-keygen(1) : ajout de points de contrôle optionnels pour l'examen des modules
- ssh-add(1) : nouvelle option -k pour charger des clés simples (évitant les certificats)
- sshd(8) : Ajout de la prise en compte des caractères génériques pour PermitOpen, permettant des choses comme "PermitOpen localhost:*.bz" #1857
- ssh(1): support de l'annulation de redirection de port en local et à distance par le multiplex socket. Utilisez ssh -O cancel -L xx:xx:xx -R yy:yy:yy user@host" pour demander l'annulation des redirections spécifiées
- prise en charge de l'annulation du suivi local/dynamique depuis la ligne de commande
Il y a bien sûr diverses corrections de bogues embarquées. Et d'un point de vue portabilité, on peut noter aussi une nouvelle implémentation d'isolation des privilèges pour Linux et un support de la bibliothèque LDNS de résolution DNS.
SSH Mastery : un livre pour maîtriser OpenSSH
À cette occasion il faut aussi noter que Michael W. Lucas, l'auteur du livre de référence sur OpenBSD - Absolute OpenBSD - publie un nouveau titre aux éditions Tilted Windmill Press : SSH Mastery.
Entièrement consacré à SSH, ce livre n'est pas un simple manuel de référence mais plutôt un guide pratique orienté vers la réalisation de tâches d'administration précises sur OpenSSH - la plus répandue des solutions de sécurisation.
Il couvre toutes les tâches de base et plusieurs tâches avancées telles que la configuration d'un VPN (Chapitre 13) et l'authentification basée sur les clefs. Dans un souci éminemment pratique et pédagogique, l'auteur donne toutes les notions indispensables pour exploiter a posteriori les pages de manuel d'OpenSSH sans buter sur le jargon.
Les exemples abordent largement l'administration sur les systèmes OpenBSD, FreeBSD, Ubuntu. Pour les malchanceux, Putty, le client SSH pour Windows n'a pas été oublié.
Aller plus loin
- openssh-unix-dev list: "Call for testing: OpenSSH-6.0" (114 clics)
- OpenSSH.com (107 clics)
- OpenSSH 6.0 has just been released (97 clics)
# Troll
Posté par MTux . Évalué à 10.
[Vendredi]
Quand on parle de l'interface Metro de Windows 8, ou des effets kikoo de Gnome 3 il y a du monde pour discuter, mais quand on évoque OpenSSH, probablement le composant le plus important des OS unix-like, y'a plus personne.
[/Vendredi]
Ou alors tout le monde se tait pour admirer la perfection…
[^] # Re: Troll
Posté par zebra3 . Évalué à 10.
Euh pour moi, le composant le plus important c'est quand même le noyau
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Troll
Posté par francoisp31 . Évalué à 10.
du moment qu'il n'y a pas de pepins avec le noyau…
[^] # Re: Troll
Posté par FantastIX . Évalué à 7.
Quand on a la pêche, y a jamais de pépin!
[^] # Re: Troll
Posté par Sytoka Modon (site web personnel) . Évalué à 7.
Il faut dire que c'est la 6.0 car la précédente était la 5.9 mais que c'est une version mineure à mon sens…
[^] # Re: Troll
Posté par Loïc Blot (site web personnel) . Évalué à 5. Dernière modification le 04 mai 2012 à 17:27.
6.0 suit 5.9 tout comme pour OpenBSD, et cela semble logique vu que c'est la même personne à sa tête, la version suivant 4.9 est 5.0, logique différente.
On aurait pu s'appeler SSH release 60 qui suit le release 59. Chez OpenBSD et donc OpenSSH, on ne privilégie pas le chiffre ni la quantité mais la qualité du release
Veepee & UNIX-Experience
[^] # Re: Troll
Posté par claudex . Évalué à 7.
Ou alors, il ne pose pas de problème à la plupart des gens qui n'ont rien à dire qui n'ait pas déjà été dit. Mais si tu veux un râleur, je veux bien râler mais uniquement pour le principe alors.
J'espère que cette version corrige le bug que j'ai qui fait que la session freeze parfois et impossible de récupérer le terminal, même un ~. ne change rien.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Troll
Posté par francoisp31 . Évalué à -3.
bhroâ…
quand on a pas deux mains gauches palmées griffues et poilues, on utilises tmux ou screen
OK je sors --->
[^] # Re: Troll
Posté par claudex . Évalué à 3.
Je ne vois pas bien le rapport.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Troll
Posté par Raoul Volfoni (site web personnel) . Évalué à 5.
As-tu essayé les différentes options du Keepalive ?
(Client|Server)AliveInterval et AliveCountMax. En cas de coupure ça permet de récupérer pas mal de choses.
[^] # autossh ?
Posté par Arthur Accroc . Évalué à 2. Dernière modification le 10 mai 2012 à 20:06.
autossh est une surcouche qui gère ce genre de soucis, de manière transparente pour les applications qui utilisent les entrée et sortie standard de ssh ou le tunneling.
Par contre, il relance ssh pour rétablir la connexion, donc c’est plus approprié pour être utilisé avec une clé sans « passphrase »…
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Troll
Posté par kuroineko . Évalué à 3.
Nous sommes béas d'admiration.
[^] # Re: Troll
Posté par ckyl . Évalué à 10.
C'est simplement le principe de l'abri à vélo en action (cf. http://bikeshed.com/ )
Émettre un avis subjectif sur des choses triviales est facile donc tout le monde le fait. Dès qu'on passe sur des choses un peu plus techniques, objectives ou constructives y'a beaucoup moins de monde.
[^] # Re: Troll
Posté par Julien (site web personnel) . Évalué à 2. Dernière modification le 04 mai 2012 à 15:21.
J'suis pas sûr que les utilisateurs d'effets kikoulol soient ceux qui utilisent le plus OpenSSH, OpenSSL oui ça par contre ils l'utilisent (sans le savoir en général …) :-)
[^] # Re: Troll
Posté par Maclag . Évalué à 10.
J'utilise KDE. Ce qui prouve que OpenSSH m'intéreserait si on pouvait configurer plus de trucs. En particulier OpenSSH ne prend toujours pas en charge les onglets et les ombres. Il reste vraiment beaucoup de progrés à faire.
---------------> [ ]
# 'tain la honte...
Posté par Raoul Volfoni (site web personnel) . Évalué à 10.
Amis libristes aujourd'hui je fais mon coming-out: je n'ai absolument rien écrit dans cette dépêche ! Nan mais quel fainéant je fais !
Toujours un truc à faire… Un gamin à consoler… Une fête à organiser… Des amis qui…bref la vie quoi.
Alors que je voulais vous parler du nouveau super algo ECDSA introduit dans la 5.7, des bonnes raisons d'avoir une clé par algo, de faire attention avec la nouvelle option -k qui écrase le fichier moduli que vous avez mis une semaine à générer…(patch prévu pour la 6.1 inch all'Marx)
Je voulais également vous parler de la stabilité d'openSSH depuis presque 12 ans, de sa place dans le classement des outils de sécurité (http://sectools.org/) de sa robustesse (vis à vis de cette coch$$*ù d'openSSL et de son parsing ASN1…suivez mon regard vers les derniers CVE) de la récente possibilité d'utiliser des certificats en lieu et place des clés, des nombreuses possibilités de Match, du remote forwarding ou même comment créer un petit VPN perso.
D'autre part, Michael Lucas (l'auteur d'Absolute openBSD et absolute freeBSD) a eu la gentillesse de m'envoyer son nouveau bouquin SSH Mastery. Un excellent petit bouquin de 120 pages pas totalement exhaustif (il ne traite pas les certificats par ex) mais bourré de bonnes astuces et plein d'excellents conseils. Je voulais également vous en faire une petite présentation et vous en recommander la lecture.
Mais voilà, je n'ai même pas eu le temps de remercier Michael, ni de faire quoique ce soit sur cette dépêche.
Alors jetez-moi l'anathème je le mérite bien.
Sinon en bon vieux rebelle que je suis je le ferai peut-être à l'envers…
[^] # moduli
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 4.
Votre remarque concernant l'écrasement des fichiers moduli me fait imaginer que vous pourriez potentiellement jeter de votre lumière dans la lanterne de ceux qui s'interrogent sur l'utilité de générer de tels fichiers. Me tromperais-je ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: moduli
Posté par Raoul Volfoni (site web personnel) . Évalué à 5.
Salut,
en préambule saches que je ne suis pas du tout spécialiste en crypto. Je peux juste te dire que le fichier moduli contient en fait les grands nombres premiers qui seront utilisés dans la phase de négociation des clés par l'algo Diffie-Hellman tel que décrit dans cette rfc: http://tools.ietf.org/html/rfc4419
De mon point de vue ça ne peut pas nuire de le refaire avec de plus grands nombres (j'ai une centaine de primes à 8192) quand on est pas certain de ce qui se passe sur son lan (je ne citerai pas mon hébergeur mais c'est fou ce que je vois passer sur mon interface…)
Concernant les clés, il ne faut pas confondre la crypto symétrique (DES,AES) et asymétrique (RSA,DSA,ECDSA) aussi appelée à clé publique, qui est utilisée par SSH entre autres.
Mais dans les 2 cas il s'agit d'un domaine d'application des mathématiques que je n'ai jamais maîtrisé alors je préfère m'en tenir aux recommandations des pros. En d'autre termes j'ai des phrases de passe très longues avec des caractères variés et surtout je génère 3 clés (une par algo) comme ça si un algo est cassé un jour futur, ben je le désactive et il me reste les autres. Bon ça c'est depuis que j'ai lu le bouquin de Michael Lucas hein… ;)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.