Journal Openssh, dernières actus

Posté par  . Licence CC By‑SA.
Étiquettes :
25
26
juil.
2017

Salut journal,

OpenSSH (OpenBSD Secure Shell ou ssh pour les intimes) est un ensemble d'outils informatiques libres permettant des communications sécurisées sur un réseau informatique en utilisant le protocole SSH.

Et cet outil a une actu récente brûlante,
Comme je ne l'ai pas vu ces derniers jours dans linuxfr, je le pose là :
https://access.redhat.com/blogs/766093/posts/3051131

Attention c'est du sshpr0n - littéralement - au menu :

  • Simplification de la configuration des proxy avec le nouveau paramètre ProxyJump
  • Forward des Unix socket (oui oui!)
  • Simplification de la configuration de ssh-agent (fini les scripts pourris)

Plus d'autres trucs trop nerdy (crypto, fingerprint, privileges) pour m'extasier…

Voilà voilà,

  • # Dernières actus... chez Red Hat

    Posté par  (site Web personnel) . Évalué à 6.

    Salute,

    Juste pour préciser que la version 7.4 de OpenSSH (dont parle ton lien) est sortie le 19.12.2016, la 7.5 est sortie le 20.03.2017.

    https://www.openssh.com/releasenotes.html

    Tcho !

  • # Question pour les pros de SSH

    Posté par  . Évalué à 2.

    Petite question: pour éviter qu'on tente de se connecter à mon server (via SSH), j'ai modifier le port par defaut. Mais un scan peut encore le trouver, et si l assaillant tente de s'y connecter, il aura un prompt lui indiquant qu'il s'agit de mon port SSH.
    Outre le port knocking et l'ajout de clé, je me demandais s'il était possible de mettre en place une passphrase additionnel pour autorisé le serveur à répondre:
    ssh -p 1999 user@monserveur.com --passphrase:ouvretoi

    Le serveur vois que j'initie une connexion avec la passphrase adéquate, et me renvois la demande de mot de passe habituelle.

    ssh -p 1999 user@monserveur.com
    Là, pas de passphrase, le serveur ne répond rien.

    Est ce que cela existe ?

    • [^] # Re: Question pour les pros de SSH

      Posté par  (site Web personnel) . Évalué à 3.

      C'est pas une authentification par clé publique/privée que tu cherches ?

      • [^] # Re: Question pour les pros de SSH

        Posté par  (site Web personnel) . Évalué à 3.

        Non, il veut schématiquement qu'il y ait un champ configurable dans le "premier paquet" envoyé lors de l'initiation de la connexion, et que s'il n'est pas présent, le serveur fasse le mort pour qu'on ne puisse meme pas savoir qu'un SSHd tourne. Ça me parait pas idiot mais ça ressemble à du port knocking, pas sûr que ce soit de la responsabilité d'SSH lui-même de gérer ça.

    • [^] # Re: Question pour les pros de SSH

      Posté par  (site Web personnel) . Évalué à 4.

      Si tu ne fais pas confiance en SSH pour sécuriser ton accès, il faut que tu passes par le réseau pour isoler d'une façon ou d'une autre le protocole.

      Sinon tu t'embêtes pour rien. Surtout qu'il existe des softs pour limiter le bruteforcing.

    • [^] # Re: Question pour les pros de SSH

      Posté par  . Évalué à 2. Dernière modification le 27/07/17 à 17:23.

      Tu peux aussi spécifier à ton serveur SSH de n'écouter que sur 127.0.0.1 (se qui va le faire disparaître de nmap (sauf en localhost)) et configurer un accès via Tor Hidden Service.
      Je n'ai pour le moment jamais détecté de tentative d'intrusion via cette méthode.

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

    • [^] # Re: Question pour les pros de SSH

      Posté par  (site Web personnel) . Évalué à 3.

      Ssh + une lib de portknocking ?

    • [^] # oui avec 2 factor auth

      Posté par  (site Web personnel) . Évalué à -1.

      j utilise cela pour les connexions venant de l exterieur et aussi avec une règle match dans le sshd_config

      et ensuite avec le google authentication ca fait le taf.
      l'app dans le telephone et on a l'authent avec le totp.

    • [^] # Re: Question pour les pros de SSH

      Posté par  . Évalué à 10.

      Pour répondre à ta question, oui il existe une solution, et elle est meilleure que le port-knocking: c'est le Single Packet Authorization ou SPA.

      De plus, cette solution est indépendante de SSH et tu peux donc l'utiliser pour n'importe quel service sur n'importe quel port.

      Tout d'abord, le port-knocking possède (de mémoire) au moins deux faiblesses:
      - Il utilises plusieurs paquets, ce qui peut être utilisé pour l'identifier et éventuellement le stopper (en empêchant le deuxième ou troisième paquet d'arriver à destination)
      - Il n'utilise pas de partie aléatoire, ce qui permet de rejouer une séquence interceptée

      NB: certes, ce n'est pas à la portée de tout le monde.

      Ensuite, concernant le SPA, je te conseille ce très bon article:
      https://www.linuxjournal.com/article/9565

      Enfin, comme implémentation du SPA, il y a fwknop, et voici les 2 liens que j'ai conservés:
      - http://www.cipherdyne.org/fwknop/
      - http://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html

      Tout cela est très intéressant à lire et je parie que ça ne profitera pas qu'à toi.

  • # Puisque qu'on parle de ssh ...

    Posté par  (site Web personnel) . Évalué à 4.

    Bonjour à tous,

    puisque que l'on parle de SSH j'en profites pour vous demander votre avis :

    comment faites vous pour avoir 2 entrées SSH sur le même serveur

    exemple :
    port 2222 pour les accès depuis l'extérieur/WAN avec clé privée/publique
    port 22 pour les accès depuis le LAN en mode password simple

    sans réfléchir je me dit tu copies /etc/sshd en /etc/sshd_2222 et tu lances 2 services

    mais il y a peut être plus intelligent

    Donc si vous avez des idées ou si vous l'avez déjà fait … s'il vous plaît partagez

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.