Le premier mai est un grand jour, non pas seulement parce qu’il porte les revendications sociales du travail, mais surtout parce qu’il marque la sortie d’une nouvelle version officielle d’OpenBSD. Cette fois c’est la version 5.3 alias « Blade Swimmer » qui pointe le bout de son nez. C’est donc le film « Blade Runner » qui a été choisi pour illustrer cette release.

Pour rappel, OpenBSD est un système d’exploitation libre (probablement le plus libre d'entre tous d’ailleurs) reconnu comme étant particulièrement fiable et sécurisé. L’attention fanatique des développeurs se porte en effet sur la sécurité, l’exactitude, la convivialité et la liberté. Il fonctionne sur de nombreuses plateformes, les processeurs 32 et 64bits les plus répandus (i386 et amd64), les PowerPC (macppc), les processeurs Sparc (sparc et sparc64), et de moins connus comme le Sharp Zaurus, le Yeeloong Lemote ou encore le VAX. Il concentre presque tous ses efforts dans les fonctions de sécurité. Il a démontré, depuis de nombreuses années, qu’un code correct a un taux d'échec beaucoup plus faible, garantissant ainsi une plus grande sécurité. Les développeurs d’OpenBSD s'efforcent en effet de mettre correctement en œuvre leurs solutions. Ils en font une règle stricte pour concevoir de manière fiable et sécurisée, suivant les meilleures pratiques de programmation actuelles. OpenBSD s'efforce donc, avec seulement deux vulnérabilités exploitables à distance depuis sa création, d'être le système d'exploitation le plus sécurisé.

OpenSSH (OpenBSD Secure Shell), ensemble d'outils libres de communications chiffrée en utilisant le protocole SSH, est publié en version 6.0 depuis le 22 avril.

Créé comme alternative Open Source à la suite logicielle proposée par la société SSH Communications Security, OpenSSH est développé par l'équipe d'OpenBSD, dirigée par son fondateur, Theo de Raadt, et diffusé sous licence BSD.

Les nouveautés :

• ssh-keygen(1) : ajout de points de contrôle optionnels pour l'examen des modules
• ssh-add(1) : nouvelle option -k pour charger des clés simples (évitant les certificats)
• sshd(8) : Ajout de la prise en compte des caractères génériques pour PermitOpen, permettant des choses comme "PermitOpen localhost:*.bz" #1857
• ssh(1): support de l'annulation de redirection de port en local et à distance par le multiplex socket. Utilisez ssh -O cancel -L xx:xx:xx -R yy:yy:yy user@host" pour demander l'annulation des redirections spécifiées
• prise en charge de l'annulation du suivi local/dynamique depuis la ligne de commande

Il y a bien sûr diverses corrections de bogues embarquées. Et d'un point de vue portabilité, on peut noter aussi une nouvelle implémentation d'isolation des privilèges pour Linux et un support de la bibliothèque LDNS de résolution DNS.

OpenSSH est une implémentation complète du protocole SSH (Secure SHell) en version 1.3, 1.5 et 2.0, publiée sous licence BSD modifiée.

Voici un échantillon des changements de la nouvelle version 5.9 :

• sandboxing : une nouvelle option « UsePrivilegeSeparation=sandbox » apparaît dans le sshd_config, afin de limiter les appels système accessibles aux processus enfants (séparation des privilèges, technique très utilisée par les développeurs OpenBSD). Cela permet de réduire la surface d’attaque sur le système hôte. Actuellement, trois back‐ends sont fournis : systrace (OpenBSD uniquement), seatbelt (OS X/Darwin) et rlimit en solution de repli pour les plates‐formes Unix. Le projet OpenSSH encourage les contributeurs à fournir de nouvelles implémentations : Capsicum (intégré dans FreeBSD 9), espaces de noms cgroups, SELinux, etc. ;
• arrêt propre des connexions multiplexées : il est possible de demander au serveur de ne plus accepter de nouvelles sessions sur une connexion multiplexée, tout en conservant les connexions en cours ;
• beaucoup de nouveautés assez complexes ;
• corrections de bogues.

Nouveau mois, nouvelles revues, nouvelle revue de presse ! Au programme, Linux Magazine avec OpenSSH et de l’IPv6, Linux Pratique qui s’intéresse toujours plus à Android, et MISC qui tourne principalement autour de la sécurité sous Windows ce mois‐ci.
La plupart des magazines du mois précédent sont toujours en vente.

Bonnes lectures

N. D. M. : Merci à claudex pour sa contribution à la revue de presse

OpenSSH 5.6 est sorti ce 23 août 2010 et personne n'en avait encore parlé. Le logiciel, fortement lié au projet OpenBSD permet d'offrir un accès à distance à un autre système de manière sécurisée. L'utilisation la plus connue est l'utilisation d'un shell sur l'autre système via la commande ssh, mais il est aussi possible de transférer des fichiers via scp, un équivalent à cp, et sftp.

Parmi les nouveautés, on trouve :

• L'ajout d'une option ControlPersist qui permet de lancer un ssh multiplex master lors de la première connexion qui reste actif aussi longtemps que désiré. Cela permet d'éviter une nouvelle ouverture de session à chaque connexion, ce qui peut faire sensiblement gagner du temps lors de l'utilisation de tunnels par exemple ;


• Un nouveau format de certificat de clef a été introduit, notamment, afin d'améliorer la sécurité. L'ancien format introduit avec la version 5.4 sera encore pris en charge pendant au moins un an après la sortie de la version 5.6, avant de devenir obsolète et d'être retiré ;


• La gestion par ssh-keygen de la signature des certificats en utilisant une clef stockée dans un jeton PKCS#11.

La version 3.0 d'OpenSSH, l'implémentation libre de SSH, vient de sortir. Outre les habituelles corrections de bugs, cette version est la première à utiliser le protocole version 2 par défaut.

Le gros changement au niveau utilisation concerne les fichiers /etc/ssh_known_hosts2, ~/.ssh/known_hosts2 et /.ssh/authorized_keys2 qui sont maintenant obsolètes, il faut les renommer en known_hosts et authorized_keys, qui contenaient autrefois les clés associées au protocole version 1.