Le logiciel OpenSSH permet d’avoir un shell sécurisé sur un serveur distant ou du transfert de fichiers de ou vers un serveur. Divers algorithmes de cryptographie sont utilisés pour le chiffrement, la génération ou l’échange de clefs. Et ces algorithmes peuvent s’affaiblir, être remplacés par de meilleurs algorithmes, connaître des portes dérobées, nécessiter des clefs plus grandes, etc. Ils sont implémentés (au sens ajouter ou enlever) par les développeurs d’OpenSSH (et de bibliothèques de cryptographie sous‐jacentes), ils sont empaquetés par une distribution (qui peut changer certains réglages à la production du paquet ou bien faire certains choix sur la configuration par défaut), et ils sont mis à jour par les équipes sécurité (d’OpenSSH et de la distribution).
Did you know that when you’re using OpenSSH from the command line you have a variety of escape sequences available to you? SSH somewhere, then type “~” and “?” (tilde, then question mark) to see all the options.
OpenSSH is the ubiquitous method of remote access for secure remote-machine login and file transfers. Many people -- systems administrators, test automation engineers, web developers and others have to use and interact with it daily. Scripting SSH access and file transfers with Python can be frustrating -- but the Paramiko module solves that in a powerful way.
Du tips SSH tUjUrs bon à prendre
Un cas d'école récent est apparu le 30 avril. Un anonyme olckrrii3@openmailbox.org a envoyé un message sur Pastebin prétendant qu'il avait trouvé une faille dans OpenSSH permettant la lecture de la mémoire du serveur (comme Heartbleed permettait de lire la mémoire d'un serveur TLS). Il appuie ses dires par des transcriptions d'une exploitation de la faille, avec affichage de la mémoire du serveur. Le message est toujours sur Pastebin, mais, s'il disparait, j'en ai une copie ici (ce qui ne signifie pas que je soutienne cette démarche). L'auteur du message réclame 20 bitcoins pour révéler la faille (soit dans les 6 300 € au cours actuel, ce qui est plutôt bon marché pour une faille aussi grave dans un logiciel aussi répandu).
There's a new private key format for OpenSSH, thanks to markus and djm. It's enabled automatically for keys using ed25519 signatures, or also for other algorithms by specifying -o to ssh-keygen. The new format allows for new functionality, the most notable of which may be the addition of support for better key derivation functions (KDF). (Also known as a PBKDF, as in password based.)