The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз OpenSSH 6.3"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз OpenSSH 6.3"  +/
Сообщение от opennews (??) on 13-Сен-13, 23:56 
После шести месяцев разработки увидел свет (http://lists.mindrot.org/pipermail/openssh-unix-announce/201...) релиз OpenSSH 6.3 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.

Из заметных улучшений можно отметить:

-  В sftp добавлена поддержка возобновления прерванных загрузок, используя команду "reget" иди "get" c опцией "-a";

-  В sshd  добавлена поддержка ssh-agent, что позволило обеспечить поддержку работы с зашифрованными хост-ключами и хост-ключами, размещёнными на смарт-картах;
-  В ssh и sshd добавлена возможность указания времени как фактора перегенерации сессионного ключа, в дополнение к размеру переданных данных. Лимит времени для перегенерации задаётся в качестве второго аргумента в опции RekeyLimit;
-  В sshd унифицировано помещение в лог информации в процессе аутентификации пользователя. Представленные ключ/сертификат, имя внещнего пользователя, имя локального пользователя, хост, порт и используемый протокол теперь упоминаются в одной строке  лог-сообщений об ошибочной или успешной аутентификации. Кроме того, в лог помещаются содержимое сертификатов и отпечаток ключей, подписанных удостоверяющим центром. Компоновка всей необходимой информации в одной строке существенно упрощает разбор и анализ лога;
-  В клиент ssh добавлена возможность запрашивать список поддерживаемых программой шифров, алгоритмов MAC, типов ключей и методов обмена ключами;
-  В клиент ssh добавлена поддержка директивы "ProxyCommand=-"  для ситуаций, когда стандартные потоки  ввода и вывода уже связаны с прокси;
-   В клиент ssh добавлена возможность игнорирования файла с данными аутентификации личности путем указания  "IdentityFile=none";

-  В ssh и sshd добавлена опция "-E" для указания файла для записи отладочного лога;
-  В клиент ssh добавлена опция "IgnoreUnknown" для избранного подавления ошибок, возникающих из-за наличия неизвестных директив конфигурации;
-  В sshd добавлена поддержка подметодов, добавляемых к обязательным методам аутентификации, перечисленным в директиве AuthenticationMethods;
-  Многочисленные улучшения в наборе тестов для выявления регрессивных изменений;
-  В переносимой версии OpenSSH обеспечено включение сборочной опции "-Wsizeof-pointer-memaccess"  для поддерживающих её компиляторов. При наличии необходимой поддержки в libcrypto произволится включение только методов обмена ключей  на основе SHA256 и ECC (криптография по эллиптическим кривым);
-  Внесена большая порция исправлений, направленных на улучшение переносимости для платформы Android;
-  Большое внимание уделено исправлению ошибок.

URL: http://lists.mindrot.org/pipermail/openssh-unix-announce/201...
Новость: https://www.opennet.ru/opennews/art.shtml?num=37907

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз OpenSSH 6.3"  +1 +/
Сообщение от Аноним (??) on 13-Сен-13, 23:56 
> возобновления прерванных загрузок, используя команду "reget" иди "get" c опцией "-a";

У wget -c, у lftp -c, у aria2c -c а у sftp -a, что бы не расслаблялись! :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Релиз OpenSSH 6.3"  +2 +/
Сообщение от Fomalhaut on 14-Сен-13, 00:14 
> -c <cipher_spec>

   Ваш КО.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Релиз OpenSSH 6.3"  +4 +/
Сообщение от Аноним (??) on 14-Сен-13, 00:47 
Эта "-c <cipher_spec>" - опция самого sftp, а опция возобновления передаётся команде get.

Ваш К.О.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

2. "Релиз OpenSSH 6.3"  +1 +/
Сообщение от xdbxd on 13-Сен-13, 23:56 
>При наличии необходимой поддержки в libcrypto произволится включение только методов обмена ключей на основе SHA256 и ECC

Ещё одно подтверждение "до свидания" RSA/DSA

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз OpenSSH 6.3"  +/
Сообщение от Аноним (??) on 14-Сен-13, 00:09 
в каком дистре libcrypto собранно с ECC?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Релиз OpenSSH 6.3"  +1 +/
Сообщение от Ivan_83 email on 14-Сен-13, 01:16 
На фре ECC работает.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Релиз OpenSSH 6.3"  +1 +/
Сообщение от pavlinux (ok) on 14-Сен-13, 01:26 
Все кроме фидоры.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

38. "Релиз OpenSSH 6.3"  +/
Сообщение от Michael Shigorin email(ok) on 17-Сен-13, 14:03 
> в каком дистре libcrypto собранно с ECC?

В альте, например.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Релиз OpenSSH 6.3"  +/
Сообщение от Crazy Alex (ok) on 14-Сен-13, 00:27 
Какая разница? Не собрано сейчас - будет собрано чуть позже.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Релиз OpenSSH 6.3"  +/
Сообщение от Йух (??) on 14-Сен-13, 01:25 
>>При наличии необходимой поддержки в libcrypto произволится включение только методов обмена ключей на основе SHA256 и ECC
> Ещё одно подтверждение "до свидания" RSA/DSA

в свете последних откровений о деятельности NSA с ЕСС вроде тоже не все в порядке

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Релиз OpenSSH 6.3"  +/
Сообщение от Ivan_83 email on 14-Сен-13, 03:36 
Это каких откровений?
Про кривые с параметрами где битов меньше или равно 160 - и так понятно, никто их юзать не заставляет. Остаётся ещё подозрительная, на мой взгляд, secp224k1.
Можно из нашего госта взять параметры эллиптических кривых или нагенерировать самому.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

23. "Релиз OpenSSH 6.3"  +1 +/
Сообщение от Аноним (??) on 15-Сен-13, 02:33 
> Про кривые с параметрами где битов меньше или равно 160

Они помнится раньше и DES с 56-битным ключом сватали. Хотя криптографы уже тогда предупреждали. Впрочем, для веба и это показалось жирным - урезали до 40 битов, иначе товарищ майор брутфорсить задалбывается. А так в 65536 раз быстрее, чо :)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

4. "Релиз OpenSSH 6.3"  +/
Сообщение от Аноним (??) on 14-Сен-13, 00:12 
Кстати, никто случайно не проводил исследований, насколько пересекается код портируемой (для FreeBSD и Linux) и непортируемой (для OpenBSD) версий?
От компетентных людей слышал, что это чуть ли не разные проекты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Релиз OpenSSH 6.3"  +3 +/
Сообщение от Аноним (??) on 14-Сен-13, 00:41 
Больше не слушайте таких "компетентных" людей. Различия есть, но они не настолько большие, что бы их назвать "чуть ли не разными проектами". И вообще эти различия даже вовсе и не различия, а некоторые особенности в способах обработки ядром разных ОС аутентификации сессий.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Релиз OpenSSH 6.3"  +2 +/
Сообщение от Crazy Alex (ok) on 14-Сен-13, 00:25 
Докачка - это просто идеально :-) Наверное, единственное, чего sftp не хватало
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Релиз OpenSSH 6.3"  +/
Сообщение от linvinus on 16-Сен-13, 11:28 
Ещё не хватает команды на просмотр свободного места (особенно полезно перед копированием).
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

39. "Релиз OpenSSH 6.3"  +/
Сообщение от Michael Shigorin email(ok) on 17-Сен-13, 14:05 
> Докачка - это просто идеально :-) Наверное, единственное, чего sftp не хватало

Вообще rsync уже давно -e ssh по умолчанию. :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

40. "Релиз OpenSSH 6.3"  +/
Сообщение от arisu (ok) on 17-Сен-13, 16:43 
>> Докачка - это просто идеально :-) Наверное, единственное, чего sftp не хватало
> Вообще rsync уже давно -e ssh по умолчанию. :)

т-с-с-с! не пали контору!

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Релиз OpenSSH 6.3"  +/
Сообщение от Khariton (ok) on 17-Сен-13, 16:50 
>> Докачка - это просто идеально :-) Наверное, единственное, чего sftp не хватало
> Вообще rsync уже давно -e ssh по умолчанию. :)

Вау! А с какой версии, а то я все время -е ссш пишу...)))

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "Релиз OpenSSH 6.3"  +/
Сообщение от Michael Shigorin email(ok) on 17-Сен-13, 20:07 
>> Вообще rsync уже давно -e ssh по умолчанию. :)
> Вау! А с какой версии, а то я все время -е ссш пишу...)))

С 2.6.0, если верить OLDNEWS...

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

17. "Выпущен OpenSSH 6.3"  –1 +/
Сообщение от Аноним (??) on 14-Сен-13, 17:01 
Собираются ли избавлятся от этого палева "Debian-5ubuntu1" ?
dropbear чем хорош? Настолько популярен, а я о нем и не слышал. Инфы как-то маловато.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Выпущен OpenSSH 6.3"  +4 +/
Сообщение от Аноним (??) on 14-Сен-13, 20:30 
> Собираются ли избавлятся от этого палева "Debian-5ubuntu1" ?

Избавляться

> dropbear чем хорош? Настолько популярен, а я о нем и не слышал.

Ты и о правописании ничего не слышал? А ведь вещь популярная.

> Инфы как-то маловато.

"Инфа" тут http://tsya.ru

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Выпущен OpenSSH 6.3"  +/
Сообщение от Толстеннный троллль on 14-Сен-13, 23:57 
Легковесный shh демон, посмотри настройки http://linux.die.net/man/8/dropbear  может чего-то будет не хватать по сравнению с openssh
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Выпущен OpenSSH 6.3"  +/
Сообщение от Аноним (??) on 15-Сен-13, 02:34 
> dropbear чем хорош? Настолько популярен, а я о нем и не слышал.

Все просто: он мелкий и легкий. Поэтому каждый первый сетевой девайс типа wi-fi роутера - это вот оно. Так что да, ответил миллион хомяковых роутеров :)

p.s. кто-то zmap'ом развлекается, стопудово. Дикари таки получили в свои руки нехилую термоядерную дубинку. Она таки работает :)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Выпущен OpenSSH 6.3"  +1 +/
Сообщение от Ytch (ok) on 15-Сен-13, 04:41 
> Так что да, ответил миллион хомяковых роутеров :)

Никогда не понимал зачем в домашнем роутере (именно в самом роутере, а не, например, в NAS за ним) вывешивать наружу на внешний интерфейс ssh. Разве что лень зайти в настройки, и убрать "флажок" (если вдруг производитель по умолчанию его там включил). А если уж так приспичило, то зачем оставлять умолчальный порт 22 (это уже не только про роутеры).

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "Выпущен OpenSSH 6.3"  –1 +/
Сообщение от Crazy Alex (ok) on 16-Сен-13, 00:21 
Зачем вывешивать - как раз понятно. Чтобы если какая-то фигня непонятная - можно было дистанционно зайти и вправить мозги - будь это знакомый "компьютерщик" или разбирающийся член семьи или наемный спец для маленькой фирмочки.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Выпущен OpenSSH 6.3"  +/
Сообщение от Tamahome email(ok) on 16-Сен-13, 08:18 
dropbear используется во всякого рода роутерах и медиаплеерах... отсюда и столько торчащих наружу..
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Выпущен OpenSSH 6.3"  –1 +/
Сообщение от Аноним (??) on 14-Сен-13, 23:57 
Кстати статистика опроса 22 порта весьма красноречива:
* Больше всего серверов под CentOS/RHEL.
* Очень много Linux-рутеров и точек доступа.
* Серверов под Ubuntu больше, чем Debian.
* FreeBSD ещё весьма активно используется на серверах.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Выпущен OpenSSH 6.3"  +/
Сообщение от Ytch (ok) on 15-Сен-13, 04:46 
> Кстати статистика опроса 22 порта весьма красноречива:...

Самое основное, что показывает эта статистика, так это то, что подавляющее большинство хостов в сети либо не имеет ssh, либо не вывешивает его "наружу", либо использует порт, отличный от 22.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

27. "Выпущен OpenSSH 6.3"  –2 +/
Сообщение от Khariton (ok) on 15-Сен-13, 10:27 
> приспичило, то зачем оставлять умолчальный порт 22 (это уже не только
> про роутеры).

смена порта 22 на 2222 не спаcает, так как боты, сканирующие службу бегают по всем портам и шлют туда запрос согласно протоколу ssh, какой ответит - тот и служба.
Вы никогда телнетом не общались с почтовым сервером, например, или с апачем?
если вам надо защита, то только ограничение авторизации, например по ключу и fail2ban...
а смена порта - это защита от пионеров в локальной сети...

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Выпущен OpenSSH 6.3"  +2 +/
Сообщение от Ytch (ok) on 15-Сен-13, 13:15 
> а смена порта - это защита от пионеров в локальной сети...

А речь и не шла о том, что смена порта дает какую-то защиту.

Если речь о статистике из новости, то там именно "публикацию результатов проверки 22 порта".

Если речь про смену порта вообще, то я просто почитывал логи одной машинки выставленной в сеть. С тех пор как перевесил ssh с 22-го порта - там вообще нет никаких попыток скана за долгое время (на 22-м регулярно кто-то стучался). Уточню на всякий случай, я не считаю, что смены порта достаточно для защиты, я не считаю, что смена порта избавит от более серьезных сканирований и т. п., но я не вижу ничего плохого в том, чтобы, не прилагая никаких усилий (кроме разве смены одной строки в конфиге sshd и одной строки в конфиге firewall), отсечь кучу дурных регулярных сканирований (не нагружая дополнительно саму машину).

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

36. "Выпущен OpenSSH 6.3"  +/
Сообщение от PnD (??) on 16-Сен-13, 14:31 
  Например, так (синтаксис ferm, за точность не поручусь):
chain INPUT {
proto icmp icmp-type ping mod length length 1234 mod recent name "SSH" set NOP;
proto tcp dport ssh {
  mod recent name "SSH" !rcheck seconds 30 hitcount 1 ACCEPT;
}
}

применять по назначению врача, ага. Тупо сканирование ясно что проще отсекается.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

31. "Выпущен OpenSSH 6.3"  –1 +/
Сообщение от Crazy Alex (ok) on 16-Сен-13, 00:30 
мды, FreeBSD всего в овсемь раз меньше чем линуксов - удивлен. Я скорее ждал бы соотношение 1:50 где-то. Правда, не знаю как остальной софт, а версия OpenSSH там рекодно древняя показывается.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

32. "Выпущен OpenSSH 6.3"  –1 +/
Сообщение от Khariton (ok) on 16-Сен-13, 00:33 
> мды, FreeBSD всего в овсемь раз меньше чем линуксов - удивлен. Я
> скорее ждал бы соотношение 1:50 где-то. Правда, не знаю как остальной
> софт, а версия OpenSSH там рекодно древняя показывается.

Фринасы всякие и т.д., наверное, подняли статистику...

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Выпущен OpenSSH 6.3"  +3 +/
Сообщение от anonymous (??) on 16-Сен-13, 10:29 
>Фринасы всякие и т.д., наверное, подняли статистику...

Вот подлецы!

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

37. "Выпущен OpenSSH 6.3"  +2 +/
Сообщение от Crazy Alex (ok) on 16-Сен-13, 17:38 
Не печалься, это ОЧЕНЬ консервативно посчитал - только по тому, где опационная система  в сигнатуре есть. Другими словами - в линуксах вообще не посчитан редхат с центосью. А если счесть, что в двух верхних строках в основном они - то 1:20 где-то выходит. Это уже ближе к интуитивной оценке.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру