Parmi les nouveautés, on trouve :
- L'ajout d'une option ControlPersist qui permet de lancer un ssh multiplex master lors de la première connexion qui reste actif aussi longtemps que désiré. Cela permet d'éviter une nouvelle ouverture de session à chaque connexion, ce qui peut faire sensiblement gagner du temps lors de l'utilisation de tunnels par exemple ;
- Un nouveau format de certificat de clef a été introduit, notamment, afin d'améliorer la sécurité. L'ancien format introduit avec la version 5.4 sera encore pris en charge pendant au moins un an après la sortie de la version 5.6, avant de devenir obsolète et d'être retiré ;
- La gestion par ssh-keygen de la signature des certificats en utilisant une clef stockée dans un jeton PKCS#11.
Aller plus loin
- OpenSSH (18 clics)
- OpenBSD (7 clics)
- Notes de sortie (4 clics)
# Nouveau format de certificat de clef
Posté par barmic . Évalué à 2.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Nouveau format de certificat de clef
Posté par Krunch (site web personnel) . Évalué à 8.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# OpenSSL
Posté par Earered . Évalué à 6.
http://alpha.linuxfr.org/users/lapinflemard/journaux/openssl(...)
Avec notamment l'inclusion dans le trunk des patch pour la RFC3161 (timestamp authority, vous envoyé un hash de vos données à un serveur de "confiance" il vous renvoi une version signé avec la date, utilisé par exemple pour prouver le dépôt d'offre à la bonne date sur les marchés publics, et il me semble les courriers avec accusé de réception envoyé via le site de la poste)
[^] # Re: OpenSSL
Posté par KiKouN . Évalué à 4.
[^] # Re: OpenSSL
Posté par J Avd . Évalué à 5.
"Gentoo" is an ancient african word, meaning "Read the F*ckin' Manual". "Gentoo" also means "I am what I am because you all are freaky n3rdz"
[^] # Re: OpenSSL
Posté par natsirt . Évalué à 1.
# Faites gaffe quand même...
Posté par Maclag . Évalué à 10.
Signé: Association des lecteurs en diagonale bourrés de DLFP
-----------------> [ ]
[^] # Re: Faites gaffe quand même...
Posté par Julien Gilbert . Évalué à 10.
Vous voulez pas la jouer soft ? Je suis pas contraignant... vous voulez la jouer hard ? On va la jouer hard
# Question
Posté par Anonyme . Évalué à 4.
[^] # Re: Question
Posté par Ph Husson (site web personnel) . Évalué à 3.
Pour moi ça veut juste dire qu'il multiplexe toutes les connections ssh sur une seule connection TCP (mais j'ai l'impression que cette fonctionnalité existait déjà avant )
[^] # Re: Question
Posté par Romeo . Évalué à 3.
[^] # Re: Question
Posté par Romeo . Évalué à 6.
[^] # Re: Question
Posté par Grunt . Évalué à 3.
Oui, ça existe déjà, étant donné qu'on peut même rajouter des redirections de port à la volée sans interrompre la connexion. Et ça passe forcément par la connection TCP existante.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Question
Posté par claudex . Évalué à 4.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Question
Posté par Kerro . Évalué à 2.
C'est une option pour le côté client (même ça, ce n'est pas expliqué dans la doc, il faut deviner). Ca permet à plusieurs sessions de partager un même socket.
Je ne sais pas à quoi ça sert (aucun exemple non plus dans la doc), mais il semble que ce soit bien pratique pour déporter X11.
C'est une option qui existe depuis pas mal de temps (au moins 4 ou 5 ans), je ne sais pas pourquoi on en parle maintenant. Peut-être qu'avant c'était compilé optionnellement.
[^] # Re: Question
Posté par Ph Husson (site web personnel) . Évalué à 8.
L'utilisation ?
Par chez moi, les connexions TCP sont dropées si elles sont inactives plus de 5 minutes, si j'ouvre plusieurs ssh en même temps vers la même destination, il m'arrive que "j'oublie" certaines connexions, alors que d'autres restent actives.
En passant par une socket, tout le monde resterait en vie :)
[^] # Re: Question
Posté par Kerro . Évalué à 5.
Ouvrir plein de connexions n'empêche pas d'aller aux toilettes plus de 5 minutes, ni de répondre au téléphone :-)
L'option "ClientAliveInterval 60" sur le serveur résout totalement ce problème. Avec en plus l'avantage de fermer les connexions qui ont été coupées par un routeur (sinon on a un joli processus ssh qui traîne sur le serveur). C'est totalement indépendant du client donc ça fonctionne avec Putty par exemple, ou un ssh quelconque sans avoir besoin de modifier sa configuration.
[^] # Re: Question
Posté par Kerro . Évalué à 2.
Je pige, la grosse différence est : qui reste actif aussi longtemps que désiré y compris après déconnexion de tous les clients locaux.
Mais je ne sais toujours pas à quoi ça sert :-)
[^] # Re: Question
Posté par claudex . Évalué à 4.
De ce que j'ai compris, ça évite la renégociation liée à l'ouverture d'une session SSH. Ce qui est pratique dans certaines utilisation de tunnels SSH qui utilise une nouvelle session à chaque connexion.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# ControlPersist…
Posté par Hobgoblins Master (Mastodon) . Évalué à 10.
Les avantages du multiplexage sont entre autre un accès instantané aux connexions esclaves (c'est vraiment agréable pour l'autocompletion scp ou rsync) une seule session tcp (c'est le conntrack du firewall qui va être content…). Tout ceci est aussi très pratique sur les connexions utilisée comme proxy SSH – avec l'option -W évidemment…
Les inconvénients sont : la connexion maître doit rester ouverte tant qu'il y a des esclaves sur la socket (un simple ^D ne ferme que le shell mais laisse la connexion ouverte en général sans retour ou prompt local par contre, il ne faut pas fermer le terminal…), les commandes « escape » sont renvoyées sur la connexion maître (gênant quand il y a un vi ouvert, un tail qui défile ou autre sur ce terminal)
L'option ControlPersist permet de s'affranchir du premier inconvénient en créant la connexion maître en arrière plan sans terminal associé ni processus père (peut-être déjà possible avec quelque chose du genre « ssh -fT » mais je n'ai pas essayé). Le second peut-être compensé par l'option « -O forward », les redirections créées sont affectées à la connexion maître et survivent à la fermeture de toutes les sessions. Attention si on met cette option est à yes, la connexion restera ouverte indéfiniment jusqu'à ce quelle soit tuée ou qu'on lui envoie la commande d'arrêt « ssh -O exit », il vaut certainement mieux lui affecter un délai (1d chez moi) au bout duquel elle se ferme si aucun terminal n'est utilisé…
Côté serveur, il n'y a pas vraiment de différence avec cette option, je m'attendais à un fork supplémentaire, mais ce n'est pas le cas, donc pas vraiment d'impact négatif (à part des connexions qui peuvent rester ouvertes sans qu'on s'en aperçoive).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.