Journal Résolution pour 2018

Posté par  (site web personnel) . Licence CC By‑SA.
35
17
jan.
2018

Cette année, j'ai pris comme résolution de revoir mon « hygiène numérique ». La raison est globalement que j'ai l'impression de perdre le contrôle de ma vie numérique et que les outils sont de plus en plus tournés aux services d'entités commerciales et non pas pour me servir. Il y a bien entendu les récents bugs des processeurs, mais également plein d'autres choses : les publicités en ligne sont de plus en plus souvent des espions, quand elles ne vont pas (…)

Forum Linux.debian/ubuntu Double motd qui s'affiche

Posté par  . Licence CC By‑SA.
Étiquettes :
0
21
sept.
2017

Bonjour à tous,

J'ai mis en place une sorte de reverse proxy/vhost pour du ssh (redirection sur l'user et non l'url) avec deux serveur : un premier qui reçoit la connexion ssh sur le 22 et en fonction de l'user redirige sur un deuxième serveur.

J'ai fait ça avec un simple script bash dans /bin qui vient remplacer le shell dans le /etc/passwd et les clefs ssh rentrée à droite et a gauche pour que ça marche bien.
Voici le (…)

Journal Openssh, dernières actus

Posté par  . Licence CC By‑SA.
Étiquettes :
25
26
juil.
2017

Salut journal,

OpenSSH (OpenBSD Secure Shell ou ssh pour les intimes) est un ensemble d'outils informatiques libres permettant des communications sécurisées sur un réseau informatique en utilisant le protocole SSH.

Et cet outil a une actu récente brûlante,
Comme je ne l'ai pas vu ces derniers jours dans linuxfr, je le pose là :
https://access.redhat.com/blogs/766093/posts/3051131

Attention c'est du sshpr0n - littéralement - au menu :

  • Simplification de la configuration des proxy avec le nouveau paramètre ProxyJump
  • Forward des Unix socket (…)

OpenSSH : configuration des algorithmes de cryptographie

51
18
juin
2017
Administration système

Le logiciel OpenSSH permet d’avoir un shell sécurisé sur un serveur distant ou du transfert de fichiers de ou vers un serveur. Divers algorithmes de cryptographie sont utilisés pour le chiffrement, la génération ou l’échange de clefs. Et ces algorithmes peuvent s’affaiblir, être remplacés par de meilleurs algorithmes, connaître des portes dérobées, nécessiter des clefs plus grandes, etc. Ils sont implémentés (au sens ajouter ou enlever) par les développeurs d’OpenSSH (et de bibliothèques de cryptographie sous‐jacentes), ils sont empaquetés par une distribution (qui peut changer certains réglages à la production du paquet ou bien faire certains choix sur la configuration par défaut), et ils sont mis à jour par les équipes sécurité (d’OpenSSH et de la distribution).

Bannière openssh

Jetons un œil sur les paquets openssh-server de la distribution Debian (actuellement les versions sont 6.0p1-4+deb7u4 en Wheezy (l’ancienne ancienne version stable), 6.7p1-5+deb8u3 en Jessie (l’ancienne version stable) et 7.4p1-10 en Stretch (la version stable actuelle depuis le 17 juin 2017) : nous verrons quels sont les algorithmes pris en charge, quels sont ceux par défaut et quel niveau de sûreté leur accorder (suivant les tests des sites Rebex et CryptCheck, et les outils SSHScan et CryptCheck que nous allons utiliser).

Journal [Tuto/HowTo] SSHFS : mises en place et montage

Posté par  . Licence CC By‑SA.
19
1
nov.
2016

[Tuto/HowTo] SSHFS : mises en place et montage

Présentation rapide

SSHFS permet d'utiliser un serveur ssh afin de monter des dossiers distants disponibles dans le système de fichier grâce à fuse.
Il ne nécessite côté serveur que openssh-server et côté client fuse openssh-client sshfs et éventuellement tor.
N'hésitez pas à signaler toute erreur/faute.

Ce tuto est une mise en forme de ces deux-ci : [Tuto/HowTo] Configurer et monter SSHFS sécurisé via utilisateur dédié côté serveur et [Tuto/HowTo] [GNU/Linux] Montage (…)

Forum Programmation.web Lancement de SSH via script CGI

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
1
24
oct.
2016

Bonjour à tous,

Je cherche une solution pour démarrer SSH à la demande et ainsi sécuriser cet accès.
J'ai vu les solutions de Knocking mais cela ne me convient pas(j'ai souvent des restrictions de ports chez mes clients).

Avez-vous déjà mis en place une solution de SSH à la demande via une page CGI?

J'ai commencé à écrire quelque chose mais je souhaite éviter de réinventer la "roue"…

Merci,
Antoine

Forum Astuces.divers Connexion a distance "definitive"

Posté par  . Licence CC By‑SA.
Étiquettes :
1
11
août
2016

Bonsoir, j'utilise une machine Linux avec SSH (openssh installé d'origine il me semble) depuis un autre ordinateur ( la machine Kali est sur un réseau fiable tandis que mon ordinateur perso est sur un réseau ayant régulièrement des coupures).

Lorsque j'ouvre ma session SSH et que je lance un programme qui peut prendre plusieures heures et que j'ai une coupure internet sur mon PC perso, ma connexion ssh se coupe et si je me reconnecte après, j'obtiens une nouvelle session (…)

Journal OpenSSH, UseRoaming no

Posté par  . Licence CC By‑SA.
34
14
jan.
2016

Theo de Raadt vient de poster un message assez alarmant sur la liste de distribution openbsd-tech.

D'après les informations glanées ça et là, une faille dans une fonctionnalité non documentée du client OpenSSH permettrait une fuite de donnée importante de la mémoire du client. Par exemple la clé privée utilisée.

Le bug provient d'une fonctionnalité non documenté et active par défaut qui permet au client de relancer à nouveau une connexion SSH en cas de coupure. Pour fonctionner, cette (…)

Forum Linux.général Alternative a SSH?

Posté par  . Licence CC By‑SA.
Étiquettes :
3
27
sept.
2015

Bonjour bonjour!

Bon voilà, le titre peut paraître un peu singulier mais il se trouve que je suis dans une résidence étudiante, donc aucun accès au routeur, et ce routeur bloque entres autres les ports du SSH. Je connais pas trop mal SSH (je pense) mais ça n'a pas l'air d'être une possibilité dans mon cas.

J'ai un raspberry pi 2 sans écran, sous kali linux, qui tourne en permanence (principalement pour quelques bots perso en python et pour de (…)

Journal OpenSSH No Longer Has To Depend On OpenSSL

Posté par  . Licence CC By‑SA.
Étiquettes :
16
22
sept.
2015

Cher Nal,

durant mes pérégrinations sur la toile, je suis tombé sur un article mentionnant l'adoption du cipher Poly1305 dans OpenSSH, ce qui amène à la possibilité de défaire la dépendance entre SSL et SSH.

L'option de compilation "make OPENSSL=no" est désormais réalité.

http://it.slashdot.org/story/14/04/30/1822209/openssh-no-longer-has-to-depend-on-openssl

Bon OK je suis en retard d'un an, l'article est pas frais etc etc…

Bref, le but de ce journal n'est pas de faire étalage d'une nouveauté d'il y a un an mais plutôt de récolter (…)

Journal 20 ans pour SSH

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
17
5
juin
2015

On est vendredi, c'est permis :)
Incroyable, pour les 20 ans du SSH, M$ vient de prendre l'initiative de supporter ce protocole:
http://blogs.msdn.com/b/powershell/archive/2015/06/03/looking-forward-microsoft-support-for-secure-shell-ssh.aspx

Et un petit lien, pour plus d'information:
http://fr.wikipedia.org/wiki/Secure_Shell

Forum général.général Utilisation du ssh-agent pour des clés SSH signées

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
2
12
mar.
2015

Bonjour,

Avant propos :

Comme nombre d'entre vous le savent (pour ne pas dire tous), le serveur openSSH permet depuis la version 5.4 (oui, c'est vieux), de gérer une autorité de certification (rangez votre openSSL, il ne vous servira pas ici).

Problème :

Les serveurs ont leur CA installée et configurée. Cela fonctionne correctement, je rentre la passphrase de ma clefs signée et me voilà loggué.
Cependant avec mes clefs signées, mon ami ssh-agent ne "retient" pas mes passphrases lorsque (…)

67 chaussettes pour OpenSSH

Posté par  (site web personnel) . Édité par Davy Defaud, Benoît Sibaud et patrick_g. Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
57
16
oct.
2014
Sécurité

Le 6/10, OpenSSH est sortie en version 6.7. Faut‐il vraiment dire ici ce que fait OpenSSH ou est‐ce dans l’inconscient collectif des libristes ? En très bref, c’est un serveur et un client du protocole SSH, digne descendant de telnet, qui ajoute pas mal de truc comme la redirection de ports…

Quoi de neuf en octobre ?

  • Les algorithmes de chiffrement par défaut ont été changés et notamment CBC et Arcfour ont été désactivés (pas supprimés, il est toujours possible de les activer).

  • La prise en charge de la bibliothèque tcpwrapper a été supprimé. Cela pose, par exemple, des problèmes pour la future Debian Jessie car c’était une fonctionnalité encore souvent utilisée par de nombreux utilisateurs. Debian a décidé de maintenir via un correctif la fonctionnalité pour le moment (voir les commentaires sur LWN).

  • La factorisation du code source continue afin d’améliorer le cœur en vue de fournir une bibliothèque utilisable de manière indépendante. Cependant, le travail n’est pas encore parfait du coté de l’interface de programmation (API), donc la bibliothèque n’est pas encore mise en avant.

  • ssh et sshd intègrent la prise en charge de la transmission (forward) des sockets UNIX. Un port TCP distant peut être connecté à un socket UNIX local et réciproquement. De même, on peut connecter deux sockets UNIX ! Cette fonctionnalité n’était possible jusqu’à présent que pour X-Window via l’option -X, elle ouvre de grands horizons dans l’usage distant d’un poste de travail.

  • Ajout de la séquence d’échappement %C dans le client ssh pour les commandes LocalCommand et ControlPath. %C représente un condensat (hash) du tuple (hôte local, utilisateur distant, hôte distant, port). L’objectif est de pouvoir avoir un nom de fichier court et unique, car sur certains UNIX, on pouvait dépasser la limite du système pour les noms de fichiers correspondant aux sockets UNIX !

Il y a encore pas mal de petites choses concernant le chiffrement, les procédures de test et de robustesse… Le mieux pour les passionnés est de lire la note de version pour avoir une vision détaillée et complète.