The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз OpenSSH 6.2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз OpenSSH 6.2"  +/
Сообщение от opennews (??) on 22-Мрт-13, 11:42 
Доступен (http://lists.mindrot.org/pipermail/openssh-unix-announce/201...) релиз OpenSSH 6.2 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.

Из наиболее заметных улучшений можно отметить:


-  Добавлена возможность использования сразу нескольких обязательных методов аутентификации в протоколе SSH 2.  Список методов задаётся через новую директиву конфигурации AuthenticationMethods, в которой через запятую перечисляются имена одного или нескольких методов аутентификации. Необходимым условием завершения аутентификации является успешное завершение каждого из перечисленных методов. Например, можно указать о необходимости прохождения аутентификации по открытому ключу или GSSAPI, перед началом аутентификации по паролю;


-  В реализацию протокола SSH 2 добавлена поддержка аутентифицированного шифрования (http://en.wikipedia.org/wiki/Authenticated_encryption) с использованием блочного шифра AES-GCM, позволяющего гарантировать целостность передаваемого шифрованного потока. Новые шифры  доступны как aes128-gcm и aes256-gcm и используют одинаковый формат пакетов при работе в режиме AES-GCM, определённом в RFC 5647 (http://tools.ietf.org/html/rfc5647), в сочетании с упрощёнными и изменёнными правила выбора в процессе обмена ключами;

-  В реализацию протокола SSH 2 добавлена и задействована по умолчанию поддержка EtM-режимов  (encrypt-then-mac) подстановки MAC (http://ru.wikipedia.org/wiki/%D0%98%D0%B...) (Message Authentication Code). Отличие новых режимов состоит в том, что вычисление MAC производится на основании размера пакета и уже зашифрованного пакета, а не на основании незашифрованных данных. Подобный подход рассматривается как более безопасный;

-  Добавлена поддержка алгоритма вычисления MAC-кодов  UMAC-128 (http://www.openssh.org/txt/draft-miller-secsh-umac-01.txt) для использования в режиме encrypt-then-mac;

-  В sshd и ssh-keygen добавлена поддержка KRL (Key Revocation Lists), компактного бинарного формата для представления списков отозванных ключей и сертификатов, требующего всего одного дополнительного бита на каждый сертификат, отозванный по серийному номеру. Для генерации KRL может применяться утилита ssh-keygen. Загрузка в sshd осуществляется через указания пути к файлу через директиву RevokedKeys;


-  Директива настройки sshd AllowTcpForwarding теперь поддерживает параметры "local" и  "remote" в дополнение к ранее применяемым значениям "yes" и "no". Использование новых параметров позволяет отдельно разрешить локальное или внешнее перенаправление соединений;

-  Добавлена новая директива AuthorizedKeysCommand для настройки в sshd загрузки содержимого authorized_keys в форме принятия вывода произвольной команды, в не только в форме открытия готового файла. Идентификатор пользовтеля, под которым выполняется команда для динамической генерации authorized_keys задаётся через директиву AuthorizedKeysCommandUser;

-  В sftp-server добавлена поддержка опции "-d" с указанием начальной директории, что позволяет выбрать путь, отличный от домашней директории пользователя;

-  В ssh-keygen добавлена поддержка создания слепков ключей (fingerprinting), размещённых в хранилищах PKCS#11. Для создания слепка нужно использовать команду "ssh-keygen -lD pkcs11_provider";

-  При использовании протокола SSH2 в ssh, который используется по умолчанию, отныне заголовок с  версией протокола SSH  отправляется клиентом сразу, не дожидаясь ответа с версией протокола от сервера, что позволяет сократить время на установку соединения;
-  В команду ssh добавлена поддержка escape-последовательностей  "~v" и "~V" для увеличения или уменьшения детализации лога. Escape-команда "-?" теперь выводит подсказку в зависимости от контекста и показывает справку только по командам, допустимым в текущей ситуации;

-  В переносимой версии sshd поддержка режима изоляции (https://www.opennet.ru/opennews/art.shtml?num=33654) с использованием  seccomp-filter теперь доступна для Linux-систем, собранных для архитектуры ARM.

URL: http://lists.mindrot.org/pipermail/openssh-unix-announce/201...
Новость: https://www.opennet.ru/opennews/art.shtml?num=36463

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз OpenSSH 6.2"  +/
Сообщение от Аноним (??) on 22-Мрт-13, 11:42 
> Добавлена новая директива AuthorizedKeysCommand

LPK-патч теперь не нужен? ура?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз OpenSSH 6.2"  +/
Сообщение от Александер on 22-Мрт-13, 12:58 
Интересно. А расскажите о сценариях использования этой фичи.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Релиз OpenSSH 6.2"  +1 +/
Сообщение от Аноним (??) on 22-Мрт-13, 13:15 
Публичные ключи в LDAP-е, например.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Релиз OpenSSH 6.2"  +1 +/
Сообщение от Онаним on 22-Мрт-13, 15:01 
Всё-таки великая вещь SSH. Microsoft набо было не изобретать велосипеды с PowerShell, а впилить bash и SSH в систему, все бы им спасибо сказали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Релиз OpenSSH 6.2"  +5 +/
Сообщение от Andrey Mitrofanov on 22-Мрт-13, 15:29 
>bash и SSH в систему, все бы им спасибо сказали.

А они предпочитают, чтоб все нагибались и приседали. Парадокс?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

40. "Релиз OpenSSH 6.2"  +/
Сообщение от Crazy Alex (??) on 22-Мрт-13, 20:32 
Вот если б кто сумел прозрачно вкрутить в shell и основные утилиты объектный интферфейс - я б ему не поленился "ку" сказать. В смысле - шелл с ssh это хорошо, но объекты - тоже хорошо. Пора их объединять. Но как это сделать, не поломав совместимость - не знаю пока. Тупо ключи добавлять - явно не комильфо.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

44. "Релиз OpenSSH 6.2"  +2 +/
Сообщение от Аноним (??) on 23-Мрт-13, 01:37 
Для дураков один раз объясню - если мало bash и хочется странного - юзай python, ruby, perl как шелл ... "это Юникс детка!"(С)

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

54. "Релиз OpenSSH 6.2"  –1 +/
Сообщение от Crazy Alex (ok) on 25-Мрт-13, 00:49 
Так суть в том, чтобы представление было стандартным, как сейчас тупой пайп. Просто сделать его менее тупым - грубо говоря, чтобы можно было сказать ps -aux |sort %vss |echo "%pid - %progname - %vss"
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

58. "Релиз OpenSSH 6.2"  +/
Сообщение от alexxisr on 06-Май-13, 10:48 
для этого когда то придумали awk
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

31. "Релиз OpenSSH 6.2"  +2 +/
Сообщение от Аноним (??) on 22-Мрт-13, 18:39 
Microsoft? А что это?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

37. "Релиз OpenSSH 6.2"  –1 +/
Сообщение от Аноним (??) on 22-Мрт-13, 20:00 
// fixed
Microsoft - некрофильная фирам
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

16. "Релиз OpenSSH 6.2"  –4 +/
Сообщение от _KUL (ok) on 22-Мрт-13, 15:45 
Для бесконечного флудотрёпа :
PowerShell достаточно мощная среда для администрирования серверов (сам пол жизни под Debian сижу). Волей судьбы пришлось работать с виндовыми тачками, пришлось познакомиться с повершелл. Такой интегрированности в систему я ещё не видел. Всё можно делать, хоть AD управлять, хоть COM объектами, хоть на удалённой тачке процесс убить. Линукс тоже красив, но в линуксе каждый делает свой маленький проект grep ps find и т.д., а в винде PS цельная среда.

p.s. по теме - бегом обновлять ssh!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Релиз OpenSSH 6.2"  +8 +/
Сообщение от Аноним (??) on 22-Мрт-13, 16:19 
В Bourne Shell тоже можно хоть что делать: ядро пересобрать; конфиг апача перелопатить, используя sed, grep, awk; перезапустить любой демон, хоть AD управля... ой, хоть LDAP управлять; прибить процесс на удаленной тачке и т.д. и т.п. Такой интегрированности в систему я еще не видел.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Релиз OpenSSH 6.2"  +2 +/
Сообщение от pavlinux (ok) on 22-Мрт-13, 16:29 
> Линукс тоже красив, но в линуксе каждый делает свой
> маленький проект grep ps find и т.д., а в винде PS цельная среда.

Вас бесит, что это различные файлы, а не функции в одной библиотеке libPowerShell.dll?
И всё загруженные функции висят в памяти, даже если 99% из них нафиг не нужны?! :)

Юзай busybox, если так бесит...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

38. "Релиз OpenSSH 6.2"  +/
Сообщение от Crazy Alex (??) on 22-Мрт-13, 20:25 
Ну, вообще объектный подход - штука соблазнительная, особенно вспоминая, насколько сложно корректно выдернуть нужную инфу из ls или ps...
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

46. "Релиз OpenSSH 6.2"  +2 +/
Сообщение от yuris (??) on 23-Мрт-13, 03:45 
> Ну, вообще объектный подход - штука соблазнительная, особенно вспоминая, насколько сложно
> корректно выдернуть нужную инфу из ls или ps...

ага, grep & awk это ну ооочень сложно, да

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

53. "Релиз OpenSSH 6.2"  +/
Сообщение от Crazy Alex (ok) on 25-Мрт-13, 00:43 
Если хочешь, чтобы работало для всех случаев, включая странные символы и т.п. Это действительно очень сложно.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

43. "Релиз OpenSSH 6.2"  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 23-Мрт-13, 01:20 
>> Линукс тоже красив, но в линуксе каждый делает свой
>> маленький проект grep ps find и т.д., а в винде PS цельная среда.
> Вас бесит, что это различные файлы, а не функции в одной библиотеке
> libPowerShell.dll?
> И всё загруженные функции висят в памяти, даже если 99% из них
> нафиг не нужны?! :)
> Юзай busybox, если так бесит...

В PSH это тоже разные командлеты. Которые пишутся на любом дотнетовском языке, а не на одном только bourne/C-style/etc. Так что здесь - мимо.

У PSH основной недостаток - длинные конструкции, это да.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

56. "Релиз OpenSSH 6.2"  +1 +/
Сообщение от pavlinux (ok) on 26-Мрт-13, 03:43 
> В PSH это тоже разные командлеты. Которые пишутся на любом дотнетовском языке,

Да-а-а-а-а, чтоб заархивировать пару каталогов и заслать на сервер, дотнетчики будут писать программу неделю.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

57. "Релиз OpenSSH 6.2"  –1 +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 28-Мрт-13, 00:41 
>> В PSH это тоже разные командлеты. Которые пишутся на любом дотнетовском языке,
> Да-а-а-а-а, чтоб заархивировать пару каталогов и заслать на сервер, дотнетчики будут писать
> программу неделю.

Павлин, special for you: я винду не запускал на своём ноуте уже которую неделю (бывает, что и месяцами). Специально ради тебя этого делать не собираюсь, а если ты решил, что форум - это место для оперативных ответов, то у меня для тебя плохие новости.

По сути вопроса:

> Найди на своем повершеле последнее время доступа ко всем исполняемым файлам, больше
> одного мега, в каталоге C:/WINDOWS, имеющие права выполнятся от админа
> и зашли репорт себе на мыло.
>
> find /usr -noleaf -type f -size +1M -perm 4755 -exec stat --printf="%n %x\n" {} \; |
> mailx -s "SUID Report" root@localhost;

1. Насчёт почты - да, с этим в винде изначально никак. Правда, такие отчёты лучше отправлять в event logger, а оттуда они уже будут централизованно обрабатываться.

2. То, что в винде нет SUID/SGID, надеюсь, тоже рассказывать не надо? Так что вместо этого, допустим, отберём все exe-шники файлы в %ProgramFiles%, у которых владелец не входит в группу Domain Administrators.

Тогда получается что-то вроде (не проверял на запускаемость, ибо синтаксис помню плохо!):

PS C:\> $users = Get-ADGroupMember "Domain Admins"
PS C:\> $files = ls -r -include "*.exe" $env["ProgramFiles"] | ? { ! ($users.contains $_.Owner) && $_.Size >= 1MB } | select Path
PS C:\> write-eventLog -LogName Security -Message $files.join("\n") -Source MySuperScript -id 1234

BTW, нафига -noleaf на /usr? Он у тебя на FAT'е лежит, что ле?

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

28. "Релиз OpenSSH 6.2"  +4 +/
Сообщение от axe (??) on 22-Мрт-13, 18:28 
Разница в том, что в оффтопике это "интегрированность в систему", а в случае линукса, консоль это и есть сама система. Например из повершелла нельзя управлять сторонним софтом, взять тот же 3-party брандмауэер (добавить/удалить правило) или любой другой сервис.
Они попросту не подразумевают возможности  управления ими из консоли или подразумевают, но в очень ограниченном объеме. Мало кто заморачивается с написанием соответствующих ком-объектов, которые еще и полную функциональность приложения предоставлять.
Поэтому повершел интегрировать интегрировали, системой, тем, что написано некрософтом (да и то, только некоторым подмножеством настроек) он управлять может, а всем остальным - черта с два. "на удаленной тачке убить процесс" - ну это как раз то, для чего он может использоваться, имхо.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

35. "Релиз OpenSSH 6.2"  +/
Сообщение от Аноним (??) on 22-Мрт-13, 19:27 
>[оверквотинг удален]
> нельзя управлять сторонним софтом, взять тот же 3-party брандмауэер (добавить/удалить
> правило) или любой другой сервис.
> Они попросту не подразумевают возможности  управления ими из консоли или подразумевают,
> но в очень ограниченном объеме. Мало кто заморачивается с написанием соответствующих
> ком-объектов, которые еще и полную функциональность приложения предоставлять.
> Поэтому повершел интегрировать интегрировали, системой, тем, что написано некрософтом
> (да и то, только некоторым подмножеством настроек) он управлять может, а
> всем остальным - черта с два. "на удаленной тачке убить процесс"
> - ну это как раз то, для чего он может использоваться,
> имхо.

Не вижу проблемы зайти на удаленную тачку по SSH и выполнить pkill...

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

50. "Релиз OpenSSH 6.2"  +1 +/
Сообщение от Батяня Комбат on 23-Мрт-13, 06:48 
>>[оверквотинг удален]
> Не вижу проблемы зайти на удаленную тачку по SSH и выполнить pkill...

Да всё правильно - это только для любителей изврата (M$ P$h) непосильная задача :)

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

39. "Релиз OpenSSH 6.2"  +/
Сообщение от Crazy Alex (??) on 22-Мрт-13, 20:28 
Вообще-то это скорее о кривости софта. НУ какая проблема отдать как ком-объект всё, что умеет делать гуй? По уму только выигрыш будет - не захочешь, а сделаешь толковое разделение гуя и логики. Другое дело, что в те времена, когда я с ним дело имел COM - это был ад кромешный. Но идея хороша.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

42. "Релиз OpenSSH 6.2"  +/
Сообщение от ITCrow on 23-Мрт-13, 01:19 
Для продолжения бесконечного флудотрёпа:
Пол жизни сидел на Винде, пока волей судьбы не переквалифицировался в Nix-админы, головной боли убавилось (даже если учитывать PoSH), где баш, где руби или питон и .... о Боже так это ж я серверами стал управлять, а не они диктуют своии "Метро" правила )))  

ЗЫ: Прошу прощения за офтоп. Пошел собирать пакет OpenSSH 6.2 под свои сервера.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "Релиз OpenSSH 6.2"  –1 +/
Сообщение от cmp (??) on 22-Мрт-13, 16:08 
Что-то не то, на 7 из 9 ftp-зеркал новой версии под линух нет.

Добавление строк:
  AuthorizedKeysCommand
  AuthorizedKeysCommandUser
в конфиг - дает ошибку сегментации памяти.

ну ка его нахрен обновлять сервера...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Релиз OpenSSH 6.2"  +1 +/
Сообщение от Аноним (??) on 22-Мрт-13, 18:40 
> Что-то не то, на 7 из 9 ftp-зеркал новой версии под линух
> нет.
> Добавление строк:
>   AuthorizedKeysCommand
>   AuthorizedKeysCommandUser
> в конфиг - дает ошибку сегментации памяти.
> ну ка его нахрен обновлять сервера...

Из репов поставь, умник.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору
Часть нити удалена модератором

41. "Релиз OpenSSH 6.2"  +3 +/
Сообщение от deadless (ok) on 22-Мрт-13, 20:37 
ах эта особая каста умельцев ./configre && make && make install
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

47. "Релиз OpenSSH 6.2"  –3 +/
Сообщение от cmp (??) on 23-Мрт-13, 06:16 
Если в цетосовсовских репах это через год появится может и поставлю, умник.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

52. "Релиз OpenSSH 6.2"  –2 +/
Сообщение от Аноним (??) on 24-Мрт-13, 23:34 
Ребятки, а как насчёт Windows 7 x64? Взлетит или нет? Очень хотелось бы.
Или придется CopSSH?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Релиз OpenSSH 6.2"  +/
Сообщение от Аноним (??) on 25-Мрт-13, 07:20 
Не знаю
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру