Récemment la sortie de la nouvelle version d'OpenSSH 9.0 a été annoncée, une implémentation client et serveur ouverte pour travailler avec les protocoles SSH 2.0 et SFTP.
Pour ceux qui ne connaissent pas OpenSSH (Open Secure Shell) doivent savoir que c'est un ensemble d'applications qui permettent des communications cryptées sur un réseau, en utilisant le protocole SSH. Il a été créé comme une alternative gratuite et ouverte au programme Secure Shell, qui est un logiciel propriétaire.
La suite OpenSSH comprend les utilitaires et démons de ligne de commande suivants:
- scp: qui remplace rcp.
- sftp - Un remplacement de ftp pour la copie de fichiers entre ordinateurs.
- ssh - Un remplacement pour rlogin, rsh et telnet pour permettre l'accès shell à une machine distante.
- ssh-add et ssh-agent: un ensemble d'utilitaires pour faciliter l'authentification en gardant les clés prêtes et en évitant d'avoir à saisir des mots de passe à chaque fois qu'elles sont utilisées.
- ssh-keygen - Un outil pour inspecter et générer des clés de courbe RSA, DSA et elliptique qui sont utilisées pour l'authentification de l'utilisateur et de l'hôte.
- ssh-keyscan: qui scanne une liste d'hôtes et collecte leurs clés publiques.
- sshd: le démon du serveur SSH.
Principales nouveautés d'OpenSSH 9.0
Dans la nouvelle version, l'utilitaire scp déplacé par défaut pour utiliser SFTP au lieu de l'ancien protocole SCP/RCP.
SFTP utilise des méthodes de gestion des noms plus prévisibles et il n'utilise pas le traitement shell des modèles glob sur les noms de fichiers de l'autre côté de l'hôte, ce qui crée des problèmes de sécurité. En particulier, lors de l'utilisation de SCP et RCP, le serveur décide quels fichiers et répertoires envoyer au client, et le client vérifie uniquement l'exactitude des noms d'objet renvoyés, ce qui, en l'absence de vérifications appropriées par le client, permet au serveur de transmettre d'autres noms de fichiers différents de ceux demandés.
Protocole SFTP n'a pas ces problèmes, mais il ne prend pas en charge l'extension de route spéciale. comme "~/". Pour résoudre cette différence, à partir d'OpenSSH 8.7, l'implémentation du serveur SFTP prend en charge l'extension de protocole "expand-path@openssh.com" pour développer les chemins ~/ et ~user/.
Lors de l'utilisation de SFTP, les utilisateurs peuvent également rencontrer des incompatibilités causée par la nécessité de doubler les caractères d'extension de chemin d'échappement dans les demandes SCP et RCP pour éviter qu'elles ne soient interprétées du côté distant.
Dans SFTP, cet échappement n'est pas nécessaire et les guillemets supplémentaires peuvent provoquer une erreur de transfert de données. Dans le même temps, les développeurs OpenSSH ont refusé d'ajouter une extension pour répéter le comportement de scp dans ce cas, car le double échappement est considéré comme une faille qui n'a pas de sens à répéter.
D'autres changements qui se démarquent dans cette nouvelle version d'OpenSSH 9.0 sont que ssh et sshd ont un algorithme d'échange de clé hybride "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime) activé par défaut, résistant à la force brute sur les ordinateurs quantiques et combiné avec ECDH/x25519 pour bloquer les éventuels problèmes dans NTRU Prime qui pourraient survenir à l'avenir. Dans la liste KexAlgorithms, qui détermine l'ordre dans lequel les méthodes d'échange de clés sont choisies, l'algorithme mentionné se classe désormais premier et a priorité sur les algorithmes ECDH et DH.
D'autre part, il est également souligné que les ordinateurs quantiques n'ont pas encore atteint le niveau de décryptage de clé traditionnel, mais l'utilisation de la protection hybride il protégera les utilisateurs contre les attaques liées au stockage des sessions SSH interceptées dans l'espoir qu'elles pourront être déchiffrées à l'avenir, lorsque les ordinateurs quantiques nécessaires seront disponibles.
L'extension "copy-data" a été ajouté au serveur sftp, qui permet de copier les données côté serveur, sans les transférer vers le client, si les fichiers source et destination sont sur le même serveur.
De plus, la commande "cp" a été ajoutée à l'utilitaire sftp pour forcer le client à copier des fichiers côté serveur.
Enfin si vous souhaitez en savoir plus à propos de cette nouvelle version, vous pouvez vérifier les détails en allant sur le lien suivant.
Comment installer OpenSSH 9 sur Linux?
Pour ceux qui souhaitent pouvoir installer cette nouvelle version d'OpenSSH sur leurs systèmes, pour l'instant ils peuvent le faire télécharger le code source de ceci et effectuer la compilation sur leurs ordinateurs.
En effet, la nouvelle version n'a pas encore été incluse dans les référentiels des principales distributions Linux. Pour obtenir le code source, vous pouvez le faire à partir du lien ci-dessous.
Terminé le téléchargement, maintenant, nous allons décompresser le package avec la commande suivante:
tar -xvf openssh-9.0.tar.gz
Nous entrons dans le répertoire créé:
cd openssh-9.0
Y nous pouvons compiler avec les commandes suivantes:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install
Merci pour l'article qui est très intéressant et utile, mais le tutoriel d'installation n'est pas correct :
Lorsque le fichier openssh-9.0.tar.gz est décompressé, avec la commande fournie, il ne génère pas de dossier openssh-9.0, mais le décompresse dans le chemin suivant :
./ssh
Quoi qu'il en soit et accédez au dossier décompressé, lors du lancement de la commande :
./configure --prefix=/opt --sysconfdir=/etc/ssh
la réponse est la suivante :
le fichier ou le répertoire n'existe pas : ./configure
Merci beaucoup.