Релиз OpenSSH 9.4

10.08.2023 19:31

После пяти месяцев разработки опубликован релиз OpenSSH 9.4, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

Основные изменения:

В утилите ssh разрешено перенаправление на другой хост Unix-сокетов, используя команду "ssh -W".
В файл конфигурации ssh_config добавлена директива "Tag" и операция сопоставления "Match tag", позволяющие использовать теги для определения условий выбора определённого блока конфигурации.
```
   Match Address 192.168.0.*
	 Tag trusted
   Match Group wheel
	 Tag trusted
   Match Tag trusted
  	 AllowTcpForwarding yes
```
В ssh добавлена операция сопоставления "Match localnetwork" для привязки к адресам локальных сетевых интерфейсов.
В ssh, sshd и ssh-keygen добавлена возможность подключения расширений в формате KRL. Сами расширения на данном этапе разработки ещё недоступны.
В sshd в директивах AuthorizedPrincipalsCommand и AuthorizedKeysCommand реализована поддержка %-подстановок: "%D" для подстановки адреса шлюза, через который маршрутизируется текущий сеанс, и "%C" для подстановки адресов и номеров портов локальной и удалённой стороны соединения.
В утилите ssh-keygen по умолчанию на 50% увеличено число раундов в функции bcrypt при генерации ключей симметричного шифрования файлов с ключами, защищёнными паролем.
Прекращена поддержка старых версий библиотеки libcrypto. Для сборки теперь требуется наличие как минимум версии LibreSSL 3.1.0 или OpenSSL 1.1.1.
В качестве дополнительного пути блокирования уязвимости, связанной с возможностью загрузки модулей PKCS#11 в ssh-agent, запрещено указание относительных и неполных путей к модулям (ранее функция dlopen производила поиск модуля по имени в каталоге с библиотеками).

исправить +20 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/59579-openssh

Ключевые слова: openssh

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (41)

1.2, Anonimowitch (ok), 19:40, 10/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	–37 +/–
Парадигма SSH давным-давно устарела.

2.3, scriptkiddis (?), 19:46, 10/08/2023 [^] [^^] [^^^] [ответить]	+18 +/–
Но про альтернативу ты не расскажешь.

2.5, pfg21 (ok), 19:47, 10/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
расскажи ~~новый смысл бытия~~ новую парадигму :)

3.12, Аноним (12), 20:03, 10/08/2023 [^] [^^] [^^^] [ответить]	–20 +/–
RDP

4.19, Аноним (19), 20:50, 10/08/2023 [^] [^^] [^^^] [ответить]	+6 +/–
Чтоб в консоль зайти?

5.22, Аноним (22), 21:16, 10/08/2023 [^] [^^] [^^^] [ответить]	–1 +/–
И факлики скопировать) Причём если в это время попытаться скопировать какой-нибудь текст в буфер обмена - начинай сначала)

4.20, Аноним (22), 21:14, 10/08/2023 [^] [^^] [^^^] [ответить]	+9 +/–
жрёт как не в себя, не переживает плохих каналов связи rdpclip до сих пор регулярно душится при копировании в буфер jump не умеет в принципе проброс портов во все стороны - тоже авторизации по ключам, считай, что нет ин масс за более чем 2 сессии нужно платить, плюс если тыкаться не в сервер из коробки вообще не рабочий при некоторых обновлениях на одной из сторон можно получить полностью недоступный сервак дыры прям регулярно в макосях сделать его дефолтным вместо VNC - отдельный квест в виндах... не будет у тебя скоро нормальных винд Отличный выбор, если ты ПК видел только в школе

5.23, penetrator (?), 21:22, 10/08/2023 [^] [^^] [^^^] [ответить]	+/–
аналог seek - отсутствует, sftp с докачкой и/или паралельной загрузкой тоже невозможно

5.31, Аноньимъ (ok), 02:04, 11/08/2023 [^] [^^] [^^^] [ответить]

+/–

ssh тоже не переживает плохих каналов связи.

А то как он клёво отваливается это вообще сказка, всё повисло и непонятно что делать.
На контрл+с может не реагировать. Жесть вообще.

Приложение на сервере может сдохнуть сразу, а может и нет.
Какого черта вообще консоль на сервере дохнет при отключении клиента?

6.36, Аноним. (?), 06:00, 11/08/2023 [^] [^^] [^^^] [ответить]	+4 +/–
mosh и tmux решает этот сценарий. А так да, без интернета соединение по интернету не работает.

7.41, Аноньимъ (ok), 12:06, 11/08/2023 [^] [^^] [^^^] [ответить]	+/–
> mosh и tmux решает этот сценарий. А так да, без интернета соединение > по интернету не работает. Мы не о соединении говорим, а о программе, которая проблемы с соединением, которые неизбежны всегда, тупо игнорирует и намертво виснет.

8.42, аНОНИМ (?), 16:08, 11/08/2023 [^] [^^] [^^^] [ответить]	+3 +/–
Выставьте ServerAliveInterval и ServerAliveCountMax и хватит уже по-ламерски пла... текст свёрнут, показать

9.44, Аноньимъ (ok), 18:29, 11/08/2023 [^] [^^] [^^^] [ответить]	+/–
Ну это то решит проблему, без шуток, будет подвисать всего на минуту или сколько... текст свёрнут, показать

6.45, Аноним (45), 21:30, 11/08/2023 [^] [^^] [^^^] [ответить]	+/–
> А то как он клёво отваливается это вообще сказка, всё повисло и непонятно что делать. > На контрл+с может не реагировать. Жесть вообще. Читайте маны: -e escape_char Sets the escape character for sessions with a pty (default: '~' ) . The escape character is only recognized at the beginning of a line. The escape character followed by a dot ('.') closes the connection; followed by control-Z suspends the connection; and followed by itself sends the escape character once. Setting the character to ''none'' disables any escapes and makes the session fully transparent.

6.48, pfg21 (ok), 11:37, 21/08/2023 [^] [^^] [^^^] [ответить]

+/–

> ssh тоже не переживает плохих каналов связи.
> А то как он клёво отваливается это вообще сказка, всё повисло и
> непонятно что делать.
> На контрл+с может не реагировать. Жесть вообще.

control-c отправляется удаленному покдлючению, а оно не работает, и естевтенно оно не работает.
на локалке control-c не обрабатывается бай дефаулт. выключи окно кнопочкой мыши.

> Приложение на сервере может сдохнуть сразу, а может и нет.
> Какого черта вообще консоль на сервере дохнет при отключении клиента?

а что с ней делать если подключение сломалось ??
открой для себя параметр
ClientAliveInterval 60
в /etc/ssh/sshd_config :)

7.49, Аноньимъ (ok), 12:38, 21/08/2023 [^] [^^] [^^^] [ответить]	+/–
>а что с ней делать если подключение сломалось ?? Подождать клиента восстанавливающего подключение?

8.50, pfg21 (ok), 17:05, 28/08/2023 [^] [^^] [^^^] [ответить]	+/–
и сколько ждать 10 секунд минуту полчаса ... текст свёрнут, показать

9.51, Аноньимъ (ok), 17:54, 28/08/2023 [^] [^^] [^^^] [ответить]	+/–
Без разницы если восстанавливать подключение ssh не может ... текст свёрнут, показать

10.52, pfg21 (ok), 16:18, 30/08/2023 [^] [^^] [^^^] [ответить]	+/–
а как он это поймет мож через пять минут связь восстановится а он уже пере... текст свёрнут, показать

11.53, Аноньимъ (ok), 16:26, 30/08/2023 [^] [^^] [^^^] [ответить]	+/–
Проблема решаема, есть разные подходы к её решению Конкретно ssh никак её не ре... текст свёрнут, показать

12.54, pfg21 (ok), 17:30, 30/08/2023 [^] [^^] [^^^] [ответить]	+/–
аффтар жги хочу знать все а ssh и не должна ее решать проблема рваной сет... текст свёрнут, показать

13.55, Аноньимъ (ok), 19:47, 30/08/2023 [^] [^^] [^^^] [ответить]	+/–
Выше в обсуждении например mosh предлагают Но вы врёте, ничего вы знать не хоти... текст свёрнут, показать

4.25, Аноним (25), 21:56, 10/08/2023 [^] [^^] [^^^] [ответить]	+/–
Туннелировать умеет?

2.9, Элита_Южного_Бутово (?), 19:58, 10/08/2023 [^] [^^] [^^^] [ответить]	+5 +/–
Нужна приложуха на электроне, чтоб там были красивые кнопы. А грязным терминалом только посетителей смузибара пугать.

3.13, Dzen Python (ok), 20:04, 10/08/2023 [^] [^^] [^^^] [ответить]	+/–
> Нужна Android JetPack Compose Material You App, в которой запускается App на электроне. 3/4 кнопочек нужно докупать через Google Play In-App Billing, но чтобы отключить рекламу, выскакивающую раз в три минуты - нужно купить подписку за 999,99$/Month <BEST CHOICE!>

4.32, Аноньимъ (ok), 02:06, 11/08/2023 [^] [^^] [^^^] [ответить]	+3 +/–
Вы забыли про ИИ обязательный который сам команды писать будет. НФТ, блокчейн для хранения ключей. Ещё облачный сервер обязательно. И логин через метаверс.

3.21, Ivan1986 (?), 21:14, 10/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
https://github.com/Eugeny/tabby В лучших традициях жанра, жаль только покупок в приложении не хватает

4.43, Аноним (-), 17:17, 11/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
> https://github.com/Eugeny/tabby > В лучших традициях жанра, жаль только покупок в приложении не хватает Еще не хватает встроенного майнера коинов. Автоматически заливаемого на управляемый хост, с отчислением процентов автору, чего скромничать то.

4.47, Аноним (47), 09:27, 21/08/2023 [^] [^^] [^^^] [ответить]	+/–
Cпасибо, сейчас заценим! <3

2.24, Аноним (24), 21:50, 10/08/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Живее всех живых, альтернативы фактически нет. Есть штуки вроде mosh, но это тоже ssh. Честно говоря одна из тех штук которая просто работает. Разве что настраивать и дебажить openssh достаточно проблематично.

3.40, pfg21 (ok), 09:41, 11/08/2023 [^] [^^] [^^^] [ответить]	+/–
> Есть штуки вроде mosh, но это тоже ssh. > Честно говоря одна из тех штук которая просто работает. Разве что настраивать и дебажить openssh достаточно проблематично. вот и выросло поколение воспитанное ютупом :) mosh относится к ssh только тем что использует ssh для запуска mosh сервера :) у mosh полностью свой протокол и своя система связи :) ну а дебаг наверное изза того что прост не разобрался в выхлопе ssh -vvv ??

2.37, User (??), 07:13, 11/08/2023 [^] [^^] [^^^] [ответить]	+/–
"MS-PSRP, я выбираю тебя!" - или что-то еще более другое?

1.15, Аноним (15), 20:26, 10/08/2023 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> расширений в формате KRL. Сами расширения на данном этапе разработки ещё недоступны.

мало вам было Remote root в Roaming...

2.18, Аноним (18), 20:32, 10/08/2023 [^] [^^] [^^^] [ответить]	+/–
Начальство просит исчо.

1.27, Ilya Indigo (ok), 01:22, 11/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> В утилите ssh разрешено перенаправление на другой хост Unix-сокетов, используя команду "ssh -W". Это можно теперь mysql/redis сокеты прокидывать? Нужна версия 9.4 и на клиенте и на сервере или только на клиенте?

2.29, Аноним (29), 01:25, 11/08/2023 [^] [^^] [^^^] [ответить]	+/–
Сокеты там давным давно можно прокидывать. Просто для этого нужно помимо AllowStreamLocalForwarding на сервере нужно разрешить ВНЕЗАПНО AllowTcpForwarding.

1.28, Аноним (29), 01:24, 11/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно, проверку AllowStreamLocalForwarding отвязали от AllowTcpForwarding, на которую оно завязано через функцию проверки доступа open_match в файле channels.c? Нет? Ну ладно, будем закрытия этого бага дальше ждать.

1.30, Аноньимъ (ok), 02:00, 11/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Больше сложной запутанной конфигурации для критического инструмента защищённого канала связи.

2.38, YetAnotherOnanym (ok), 08:17, 11/08/2023 [^] [^^] [^^^] [ответить]	+/–
Хорошая защита простой не бывает. Ни лобовая броня танка, ни грозозащита трансформаторной подстанции, ни программа для защищённой связи.

1.35, Аноним (35), 05:26, 11/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
топовый образчик опенсорс, без сомнения используемый всем серверным миром

1.46, Аноним (46), 06:00, 15/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Через QUIC до сих пор не работает, хотя Draft RFC есть уже несколько лет. А QUIC очень нужен, потому что пробрасывать UDP сокеты было бы очень полезно.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: