Dropbear SSH, une alternative légère à OpenSSH

David Y. Naranjo

Minutes 4

dropbear

Dropbear un serveur et client SSH compact

Si vous à la recherche d'un serveur et d'un client SSH légers, puisque OpenSSH n'est pas une solution pour vos besoins. Permettez-moi de vous présenter Dropbear SSH qui est une implémentation légère du protocole SSH (Secure Shell) conçu principalement pour les environnements aux ressources limitées, tels que les systèmes embarqués, les appareils mobiles ou les systèmes aux ressources limitées.

A différence avec les autres implémentations des solutions SSH plus complètes telles que OpenSSH, Dropbear est optimisé pour occuper moins d'espace disque et utiliser moins de RAM, car il n'offre pas de prise en charge de SSH v1, ce qui permet d'économiser de l'espace et des ressources, ainsi que d'éviter les vulnérabilités de sécurité associées à SSH v1.

Aussi, Dropbear aussi implémente SCP et prend en charge SFTP via un fichier binaire qui peut être fourni par OpenSSH ou d'autres programmes similaires. En revanche, FISH est compatible dans tous les cas et est supporté par Konqueror.

Entre leCaractéristiques de Dropbear SSH sont inclus:

  • Petite taille : la taille binaire de Dropbear est nettement plus petite que celle des autres implémentations SSH.
  • Faible consommation de ressources : Dropbear est conçu comme une alternative à OpenSSH, il utilise donc moins de mémoire et de processeur, ce qui le rend adapté aux appareils aux ressources limitées.
  • Fonctionnalité SSH de base : Bien qu'il soit léger, Dropbear offre des fonctionnalités SSH de base telles que l'authentification sécurisée, le cryptage des données et le tunneling de connexion.
  • Compatibilité : Dropbear est compatible avec les protocoles et standards tels que SSH 2.0 et peut être facilement intégré dans différents environnements.
  • Configuration simplifiée : la configuration de Dropbear est plus simple que celle des autres implémentations SSH, ce qui la rend plus facile à utiliser sur les systèmes nécessitant une configuration rapide et simple.

Actuellement, Dropbear est dans sa version 2024.84, qui a été lancé il y a quelques jours et parmi les caractéristiques les plus importantes de ce lancement se distinguent les suivantes :

Quoi de neuf dans Dropbear 2024.84 ?

L'une des améliorations notables de cette nouvelle version de Dropbear 2024.84 est la changement dans la gestion de /etc/shadow puisque Dropbear utilise désormais /etc/shadow seulement lorsqu'un utilisateur a "x" comme crypt dans /etc/passwd, suivant ainsi les pratiques documentées dans passwd(5) pour maintenir la cohérence avec les autres programmes du système.

Une autre nouvelle fonctionnalité présentée par Dropbear 2024.84 est la prise en charge améliorée des options compatibles OpenSSH, y compris StrictHostKeyChecking qui permet une vérification plus rigoureuse des clés d'hôte SSH, BatchMode qui facilite l'utilisation de Dropbear dans les scripts et les automatisations en désactivant les interactions interactives, et plusieurs options compatibles OpenSSH telles que l'authentification par mot de passe ont été ajoutées, offrant plus de flexibilité dans le serveur et configuration des clients.

En outre, il est souligné que le possibilité d'utiliser les fichiers de configuration pour dbclient, permettre aux utilisateurs personnaliser et ajuster le comportement dans le fichier ~/.ssh/dropbear_config, avec plusieurs options similaires à celles disponibles dans ssh_config, telles que l'hôte, le nom d'hôte, le port, l'utilisateur et le fichier d'identité. Cette fonctionnalité est désactivée par défaut lors de la compilation pour le moment.

Concernant les améliorations du serveur, il convient de noter qu'elles ont été ajoutées prise en charge du transfert de socket Unix, une fonctionnalité qui améliore la connectivité et la gestion des connexions dans des environnements complexes, des correctifs de crash ont été implémentés lors de la fermeture des sessions TCP transférées, améliorant ainsi la stabilité du serveur.

De l' d'autres changements qui se démarquent:

  • Correction de la réponse manquante aux requêtes TCP distantes lorsqu'elles sont désactivées, garantissant une communication fluide.
  • Améliorations de la lecture des bannières pour éviter les pannes fatales, garantissant une connexion sécurisée et fiable.
  • Optimisations dans le bâtiment avec DROPBEAR_RSA désactivé, améliorant l'efficacité dans différentes configurations.
  • Fichiers sources réorganisés dans le sous-répertoire src/ et ajout de plus de tests pour les options désactivées.
  • Ajout de la prise en charge de l'échange de clés strict (KEX strict).
  • Correction de plusieurs « problèmes 2038 » (Y2038).

Si vous intéressé à en savoir plus, vous pouvez vérifier les détails dans le lien suivant.