The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз OpenSSH 6.2

22.03.2013 09:43

Доступен релиз OpenSSH 6.2, открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.

Из наиболее заметных улучшений можно отметить:

  • Добавлена возможность использования сразу нескольких обязательных методов аутентификации в протоколе SSH 2. Список методов задаётся через новую директиву конфигурации AuthenticationMethods, в которой через запятую перечисляются имена одного или нескольких методов аутентификации. Необходимым условием завершения аутентификации является успешное завершение каждого из перечисленных методов. Например, можно указать о необходимости прохождения аутентификации по открытому ключу или GSSAPI, перед началом аутентификации по паролю;
  • В реализацию протокола SSH 2 добавлена поддержка аутентифицированного шифрования с использованием блочного шифра AES-GCM, позволяющего гарантировать целостность передаваемого шифрованного потока. Новые шифры доступны как aes128-gcm и aes256-gcm и используют одинаковый формат пакетов при работе в режиме AES-GCM, определённом в RFC 5647, в сочетании с упрощёнными и изменёнными правила выбора в процессе обмена ключами;
  • В реализацию протокола SSH 2 добавлена и задействована по умолчанию поддержка EtM-режимов (encrypt-then-mac) подстановки MAC (Message Authentication Code). Отличие новых режимов состоит в том, что вычисление MAC производится на основании размера пакета и уже зашифрованного пакета, а не на основании незашифрованных данных. Подобный подход рассматривается как более безопасный;
  • Добавлена поддержка алгоритма вычисления MAC-кодов UMAC-128 для использования в режиме encrypt-then-mac;
  • В sshd и ssh-keygen добавлена поддержка KRL (Key Revocation Lists), компактного бинарного формата для представления списков отозванных ключей и сертификатов, требующего всего одного дополнительного бита на каждый сертификат, отозванный по серийному номеру. Для генерации KRL может применяться утилита ssh-keygen. Загрузка в sshd осуществляется через указания пути к файлу через директиву RevokedKeys;
  • Директива настройки sshd AllowTcpForwarding теперь поддерживает параметры "local" и "remote" в дополнение к ранее применяемым значениям "yes" и "no". Использование новых параметров позволяет отдельно разрешить локальное или внешнее перенаправление соединений;
  • Добавлена новая директива AuthorizedKeysCommand для настройки в sshd загрузки содержимого authorized_keys в форме принятия вывода произвольной команды, а не только в форме открытия готового файла. Идентификатор пользователя, под которым выполняется команда для динамической генерации authorized_keys задаётся через директиву AuthorizedKeysCommandUser;
  • В sftp-server добавлена поддержка опции "-d" с указанием начальной директории, что позволяет выбрать путь, отличный от домашней директории пользователя;
  • В ssh-keygen добавлена поддержка создания слепков ключей (fingerprinting), размещённых в хранилищах PKCS#11. Для создания слепка нужно использовать команду "ssh-keygen -lD pkcs11_provider";
  • При использовании протокола SSH2 в ssh, который используется по умолчанию, отныне заголовок с версией протокола SSH отправляется клиентом сразу, не дожидаясь ответа с версией протокола от сервера, что позволяет сократить время на установку соединения;
  • В команду ssh добавлена поддержка escape-последовательностей "~v" и "~V" для увеличения или уменьшения детализации лога. Escape-команда "-?" теперь выводит подсказку в зависимости от контекста и показывает справку только по командам, допустимым в текущей ситуации;
  • В переносимой версии sshd поддержка режима изоляции с использованием seccomp-filter теперь доступна для Linux-систем, собранных для архитектуры ARM.


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Релиз OpenSSH 6.1
  3. OpenNews: Релиз OpenSSH 6.0
  4. OpenNews: В Red Hat Enterprise Linux устранена локальная уязвимость в OpenSSH. Критическая уязвимость в ownCloud
  5. OpenNews: Релиз OpenSSH 5.9
  6. OpenNews: Пример анализа потенциально серьезной уязвимости в OpenSSH
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/36463-openssh
Ключевые слова: openssh, ssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:42, 22/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Добавлена новая директива AuthorizedKeysCommand

    LPK-патч теперь не нужен? ура?

     
     
  • 2.2, Александер (?), 12:58, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно. А расскажите о сценариях использования этой фичи.
     
     
  • 3.3, Аноним (-), 13:15, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Публичные ключи в LDAP-е, например.
     

  • 1.13, Онаним (?), 15:01, 22/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Всё-таки великая вещь SSH. Microsoft набо было не изобретать велосипеды с PowerShell, а впилить bash и SSH в систему, все бы им спасибо сказали.
     
     
  • 2.14, Andrey Mitrofanov (?), 15:29, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >bash и SSH в систему, все бы им спасибо сказали.

    А они предпочитают, чтоб все нагибались и приседали. Парадокс?

     
     
  • 3.40, Crazy Alex (??), 20:32, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Вот если б кто сумел прозрачно вкрутить в shell и основные утилиты объектный интферфейс - я б ему не поленился "ку" сказать. В смысле - шелл с ssh это хорошо, но объекты - тоже хорошо. Пора их объединять. Но как это сделать, не поломав совместимость - не знаю пока. Тупо ключи добавлять - явно не комильфо.
     
     
  • 4.44, Аноним (-), 01:37, 23/03/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для дураков один раз объясню - если мало bash и хочется странного - юзай python, ruby, perl как шелл ... "это Юникс детка!"(С)

     
     
  • 5.54, Crazy Alex (ok), 00:49, 25/03/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так суть в том, чтобы представление было стандартным, как сейчас тупой пайп. Просто сделать его менее тупым - грубо говоря, чтобы можно было сказать ps -aux |sort %vss |echo "%pid - %progname - %vss"
     
     
  • 6.58, alexxisr (?), 10:48, 06/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    для этого когда то придумали awk
     
  • 2.31, Аноним (-), 18:39, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Microsoft? А что это?
     
     
  • 3.37, Аноним (-), 20:00, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    // fixed
    Microsoft - некрофильная фирам
     

  • 1.16, _KUL (ok), 15:45, 22/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Для бесконечного флудотрёпа :
    PowerShell достаточно мощная среда для администрирования серверов (сам пол жизни под Debian сижу). Волей судьбы пришлось работать с виндовыми тачками, пришлось познакомиться с повершелл. Такой интегрированности в систему я ещё не видел. Всё можно делать, хоть AD управлять, хоть COM объектами, хоть на удалённой тачке процесс убить. Линукс тоже красив, но в линуксе каждый делает свой маленький проект grep ps find и т.д., а в винде PS цельная среда.

    p.s. по теме - бегом обновлять ssh!

     
     
  • 2.18, Аноним (-), 16:19, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +8 +/
    В Bourne Shell тоже можно хоть что делать: ядро пересобрать; конфиг апача перелопатить, используя sed, grep, awk; перезапустить любой демон, хоть AD управля... ой, хоть LDAP управлять; прибить процесс на удаленной тачке и т.д. и т.п. Такой интегрированности в систему я еще не видел.
     
  • 2.19, pavlinux (ok), 16:29, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Линукс тоже красив, но в линуксе каждый делает свой
    > маленький проект grep ps find и т.д., а в винде PS цельная среда.

    Вас бесит, что это различные файлы, а не функции в одной библиотеке libPowerShell.dll?
    И всё загруженные функции висят в памяти, даже если 99% из них нафиг не нужны?! :)

    Юзай busybox, если так бесит...

     
     
  • 3.38, Crazy Alex (??), 20:25, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, вообще объектный подход - штука соблазнительная, особенно вспоминая, насколько сложно корректно выдернуть нужную инфу из ls или ps...
     
     
  • 4.46, yuris (??), 03:45, 23/03/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ну, вообще объектный подход - штука соблазнительная, особенно вспоминая, насколько сложно
    > корректно выдернуть нужную инфу из ls или ps...

    ага, grep & awk это ну ооочень сложно, да

     
     
  • 5.53, Crazy Alex (ok), 00:43, 25/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Если хочешь, чтобы работало для всех случаев, включая странные символы и т.п. Это действительно очень сложно.
     
  • 3.43, PereresusNeVlezaetBuggy (ok), 01:20, 23/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Линукс тоже красив, но в линуксе каждый делает свой
    >> маленький проект grep ps find и т.д., а в винде PS цельная среда.
    > Вас бесит, что это различные файлы, а не функции в одной библиотеке
    > libPowerShell.dll?
    > И всё загруженные функции висят в памяти, даже если 99% из них
    > нафиг не нужны?! :)
    > Юзай busybox, если так бесит...

    В PSH это тоже разные командлеты. Которые пишутся на любом дотнетовском языке, а не на одном только bourne/C-style/etc. Так что здесь - мимо.

    У PSH основной недостаток - длинные конструкции, это да.

     
     
  • 4.56, pavlinux (ok), 03:43, 26/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В PSH это тоже разные командлеты. Которые пишутся на любом дотнетовском языке,

    Да-а-а-а-а, чтоб заархивировать пару каталогов и заслать на сервер, дотнетчики будут писать программу неделю.

     
     
  • 5.57, PereresusNeVlezaetBuggy (ok), 00:41, 28/03/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> В PSH это тоже разные командлеты. Которые пишутся на любом дотнетовском языке,
    > Да-а-а-а-а, чтоб заархивировать пару каталогов и заслать на сервер, дотнетчики будут писать
    > программу неделю.

    Павлин, special for you: я винду не запускал на своём ноуте уже которую неделю (бывает, что и месяцами). Специально ради тебя этого делать не собираюсь, а если ты решил, что форум - это место для оперативных ответов, то у меня для тебя плохие новости.

    По сути вопроса:

    > Найди на своем повершеле последнее время доступа ко всем исполняемым файлам, больше
    > одного мега, в каталоге C:/WINDOWS, имеющие права выполнятся от админа
    > и зашли репорт себе на мыло.
    >
    > find /usr -noleaf -type f -size +1M -perm 4755 -exec stat --printf="%n %x\n" {} \; |
    > mailx -s "SUID Report" root@localhost;

    1. Насчёт почты - да, с этим в винде изначально никак. Правда, такие отчёты лучше отправлять в event logger, а оттуда они уже будут централизованно обрабатываться.

    2. То, что в винде нет SUID/SGID, надеюсь, тоже рассказывать не надо? Так что вместо этого, допустим, отберём все exe-шники файлы в %ProgramFiles%, у которых владелец не входит в группу Domain Administrators.

    Тогда получается что-то вроде (не проверял на запускаемость, ибо синтаксис помню плохо!):

    PS C:\> $users = Get-ADGroupMember "Domain Admins"
    PS C:\> $files = ls -r -include "*.exe" $env["ProgramFiles"] | ? { ! ($users.contains $_.Owner) && $_.Size >= 1MB } | select Path
    PS C:\> write-eventLog -LogName Security -Message $files.join("\n") -Source MySuperScript -id 1234

    BTW, нафига -noleaf на /usr? Он у тебя на FAT'е лежит, что ле?

     
  • 2.28, axe (??), 18:28, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Разница в том, что в оффтопике это "интегрированность в систему", а в случае линукса, консоль это и есть сама система. Например из повершелла нельзя управлять сторонним софтом, взять тот же 3-party брандмауэер (добавить/удалить правило) или любой другой сервис.
    Они попросту не подразумевают возможности  управления ими из консоли или подразумевают, но в очень ограниченном объеме. Мало кто заморачивается с написанием соответствующих ком-объектов, которые еще и полную функциональность приложения предоставлять.
    Поэтому повершел интегрировать интегрировали, системой, тем, что написано некрософтом (да и то, только некоторым подмножеством настроек) он управлять может, а всем остальным - черта с два. "на удаленной тачке убить процесс" - ну это как раз то, для чего он может использоваться, имхо.
     
     
  • 3.35, Аноним (-), 19:27, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > нельзя управлять сторонним софтом, взять тот же 3-party брандмауэер (добавить/удалить
    > правило) или любой другой сервис.
    > Они попросту не подразумевают возможности  управления ими из консоли или подразумевают,
    > но в очень ограниченном объеме. Мало кто заморачивается с написанием соответствующих
    > ком-объектов, которые еще и полную функциональность приложения предоставлять.
    > Поэтому повершел интегрировать интегрировали, системой, тем, что написано некрософтом
    > (да и то, только некоторым подмножеством настроек) он управлять может, а
    > всем остальным - черта с два. "на удаленной тачке убить процесс"
    > - ну это как раз то, для чего он может использоваться,
    > имхо.

    Не вижу проблемы зайти на удаленную тачку по SSH и выполнить pkill...

     
     
  • 4.50, Батяня Комбат (?), 06:48, 23/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>[оверквотинг удален]
    > Не вижу проблемы зайти на удаленную тачку по SSH и выполнить pkill...

    Да всё правильно - это только для любителей изврата (M$ P$h) непосильная задача :)

     
  • 3.39, Crazy Alex (??), 20:28, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то это скорее о кривости софта. НУ какая проблема отдать как ком-объект всё, что умеет делать гуй? По уму только выигрыш будет - не захочешь, а сделаешь толковое разделение гуя и логики. Другое дело, что в те времена, когда я с ним дело имел COM - это был ад кромешный. Но идея хороша.
     
  • 2.42, ITCrow (?), 01:19, 23/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Для продолжения бесконечного флудотрёпа:
    Пол жизни сидел на Винде, пока волей судьбы не переквалифицировался в Nix-админы, головной боли убавилось (даже если учитывать PoSH), где баш, где руби или питон и .... о Боже так это ж я серверами стал управлять, а не они диктуют своии "Метро" правила )))  

    ЗЫ: Прошу прощения за офтоп. Пошел собирать пакет OpenSSH 6.2 под свои сервера.

     

  • 1.17, cmp (??), 16:08, 22/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Что-то не то, на 7 из 9 ftp-зеркал новой версии под линух нет.

    Добавление строк:
      AuthorizedKeysCommand
      AuthorizedKeysCommandUser
    в конфиг - дает ошибку сегментации памяти.

    ну ка его нахрен обновлять сервера...

     
     
  • 2.32, Аноним (-), 18:40, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что-то не то, на 7 из 9 ftp-зеркал новой версии под линух
    > нет.
    > Добавление строк:
    >   AuthorizedKeysCommand
    >   AuthorizedKeysCommandUser
    > в конфиг - дает ошибку сегментации памяти.
    > ну ка его нахрен обновлять сервера...

    Из репов поставь, умник.

     
     
     
    Часть нити удалена модератором

  • 4.41, deadless (ok), 20:37, 22/03/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ах эта особая каста умельцев ./configre && make && make install
     
     
  • 5.47, cmp (??), 06:16, 23/03/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Если в цетосовсовских репах это через год появится может и поставлю, умник.
     

  • 1.52, Аноним (-), 23:34, 24/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ребятки, а как насчёт Windows 7 x64? Взлетит или нет? Очень хотелось бы.
    Или придется CopSSH?
     
     
  • 2.55, Аноним (-), 07:20, 25/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру