298 private links
Quelques rappels sur le fonctionnement des redirections de ports avec SSH à l’aide d’images.
En français, avec quelques explications et l’introduction de la « redirection de port locale et « dynamique » au niveau applicatif » (-D [bind_address:]port
, voir ssh(1)
), ou plus simplement un « proxy SOCKS » : https://blog.hugopoi.net/2021/01/01/ssh-port-forwarding-par-lexemple/
J’en profite pour rajouter quelques infos, je vous conseille de jeter un œil sur l’option GatewayPorts
dans sshd_config(5)
, car par défaut (version 8.4 actuellement) cette option est sur no
, et donc force les redirections en locale uniquement (ce qui est plutôt une bonne chose).
Ainsi, pour laisser le choix aux clients ssh, il suffit de renseigner la valeur clientspecified
dans votre configuration (mais attention aux conséquences).
Puisque j’oublie souvent, voilà une méthode simple pour générer un champ SSHFP :
ssh-keygen -r <fqdn> -f <file>
en remplaçant "<fqdn>" par votre nom de domaine avec le nom de votre machine, comme "foo.example.com", et "<file>" par le chemin vers le fichier.
Pour recréer à partir d’OpenSSL https://unix.stackexchange.com/questions/121880/how-do-i-generate-sshfp-records#133957
Concernant la mise à jour récente d'OpenSSH, l'outil ssh-keygen (ainsi que les autres outils) ne vérifient plus l'empreinte de la clef (ou celle du serveur distant) au même format ; en fait, il ne s'agit pas d'un nouveau format à proprement parler, mais du changement d'algorithme par défaut, passant de MD5 à SHA256.
Ainsi, pour afficher le hash d'une clef actuelle, et la comparer à un ancien format, il faut utiliser l'option "-E fingerprint_hash", et utiliser la valeur "md5" comme ancienne valeur (voir ssh-keygen(1)).