The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпущен OpenSSH 6.3

13.09.2013 23:37

После шести месяцев разработки объявлен выпуск OpenSSH 6.3, открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.

Из заметных улучшений можно отметить:

  • В sftp добавлена поддержка возобновления прерванных загрузок, используя команду "reget" или "get" c опцией "-a";
  • В sshd добавлена поддержка ssh-agent, что позволило обеспечить поддержку работы с зашифрованными хост-ключами и хост-ключами, размещёнными на смарт-картах;
  • В ssh и sshd добавлена возможность указания времени как фактора перегенерации сессионного ключа, в дополнение к размеру переданных данных. Лимит времени для перегенерации задаётся в качестве второго аргумента в опции RekeyLimit;
  • В sshd унифицировано помещение в лог информации в процессе аутентификации пользователя. Представленные ключ/сертификат, имя внешнего пользователя, имя локального пользователя, хост, порт и используемый протокол теперь упоминаются в одной строке лог-сообщений об ошибочной или успешной аутентификации. Кроме того, в лог помещаются содержимое сертификатов и отпечаток ключей, подписанных удостоверяющим центром. Компоновка всей необходимой информации в одной строке существенно упрощает разбор и анализ лога;
  • В клиент ssh добавлена возможность запрашивать список поддерживаемых программой шифров, алгоритмов MAC, типов ключей и методов обмена ключами;
  • В клиент ssh добавлена поддержка директивы "ProxyCommand=-" для ситуаций, когда стандартные потоки ввода и вывода уже связаны с прокси;
  • В клиент ssh добавлена возможность игнорирования файла с данными аутентификации личности путем указания "IdentityFile=none";
  • В ssh и sshd добавлена опция "-E" для указания файла для записи отладочного лога;
  • В клиент ssh добавлена опция "IgnoreUnknown" для избранного подавления ошибок, возникающих из-за наличия неизвестных директив конфигурации;
  • В sshd добавлена поддержка подметодов, добавляемых к обязательным методам аутентификации, перечисленным в директиве AuthenticationMethods;
  • Многочисленные улучшения в наборе тестов для выявления регрессивных изменений;
  • В переносимой версии OpenSSH обеспечено включение сборочной опции "-Wsizeof-pointer-memaccess" для поддерживающих её компиляторов. При наличии необходимой поддержки в libcrypto производится включение только методов обмена ключей на основе SHA256 и ECC (криптография по эллиптическим кривым);
  • Внесена большая порция исправлений, направленных на улучшение переносимости для платформы Android;
  • Большое внимание уделено исправлению ошибок.

Дополнительно можно отметить публикацию результатов проверки 22 порта, полученных в результате сканирования около 3.5 миллиардов хостов в сети Интернет (просканирована почти вся Сеть). Результаты популярности использования тех или иных версий SSH (данные на основе 60% выборки):

1 730 887 SSH-2.0-OpenSSH_4.3
1 562 709 SSH-2.0-OpenSSH_5.3
1 067 097 SSH-2.0-dropbear_0.46
824 377 SSH-2.0-dropbear_0.51
483 318 SSH-2.0-dropbear_0.52
348 878 SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1
327 841 SSH-1.99-Cisco-1.25
320 539 SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze3
318 279 SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1.1
307 028 SSH-2.0-ROSSSH
271 614 SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2
233 842 SSH-2.0-OpenSSH_5.1p1 Debian-5
225 095 SSH-2.0-OpenSSH_5.1
224 991 SSH-2.0-OpenSSH_5.1p1 FreeBSD-20080901
213 201 SSH-2.0-OpenSSH_4.7
209 023 SSH-2.0-OpenSSH_6.0p1 Debian-4
195 977 SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu7
140 809 SSH-2.0-dropbear_0.50
135 821 SSH-2.0-OpenSSH
132 351 SSH-2.0-Cisco-1.25


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Релиз OpenSSH 6.2
  3. OpenNews: Релиз OpenSSH 6.1
  4. OpenNews: Релиз OpenSSH 6.0
  5. OpenNews: Релиз OpenSSH 5.9
  6. OpenNews: Пример анализа потенциально серьезной уязвимости в OpenSSH
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssh, ssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (36) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:56, 13/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > возобновления прерванных загрузок, используя команду "reget" иди "get" c опцией "-a";

    У wget -c, у lftp -c, у aria2c -c а у sftp -a, что бы не расслаблялись! :)

     
     
  • 2.5, Fomalhaut (?), 00:14, 14/09/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > -c <cipher_spec>

       Ваш КО.

     
     
  • 3.9, Аноним (-), 00:47, 14/09/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Эта "-c <cipher_spec>" - опция самого sftp, а опция возобновления передаётся команде get.

    Ваш К.О.

     

  • 1.2, xdbxd (?), 23:56, 13/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >При наличии необходимой поддержки в libcrypto произволится включение только методов обмена ключей на основе SHA256 и ECC

    Ещё одно подтверждение "до свидания" RSA/DSA

     
     
  • 2.3, Аноним (-), 00:09, 14/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    в каком дистре libcrypto собранно с ECC?
     
     
  • 3.10, Ivan_83 (?), 01:16, 14/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На фре ECC работает.
     
  • 3.12, pavlinux (ok), 01:26, 14/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все кроме фидоры.
     
  • 3.38, Michael Shigorin (ok), 14:03, 17/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > в каком дистре libcrypto собранно с ECC?

    В альте, например.

     
  • 2.7, Crazy Alex (ok), 00:27, 14/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Какая разница? Не собрано сейчас - будет собрано чуть позже.
     
  • 2.11, Йух (??), 01:25, 14/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >>При наличии необходимой поддержки в libcrypto произволится включение только методов обмена ключей на основе SHA256 и ECC
    > Ещё одно подтверждение "до свидания" RSA/DSA

    в свете последних откровений о деятельности NSA с ЕСС вроде тоже не все в порядке

     
     
  • 3.13, Ivan_83 (?), 03:36, 14/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Это каких откровений?
    Про кривые с параметрами где битов меньше или равно 160 - и так понятно, никто их юзать не заставляет. Остаётся ещё подозрительная, на мой взгляд, secp224k1.
    Можно из нашего госта взять параметры эллиптических кривых или нагенерировать самому.
     
     
  • 4.23, Аноним (-), 02:33, 15/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Про кривые с параметрами где битов меньше или равно 160

    Они помнится раньше и DES с 56-битным ключом сватали. Хотя криптографы уже тогда предупреждали. Впрочем, для веба и это показалось жирным - урезали до 40 битов, иначе товарищ майор брутфорсить задалбывается. А так в 65536 раз быстрее, чо :)

     

  • 1.4, Аноним (-), 00:12, 14/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, никто случайно не проводил исследований, насколько пересекается код портируемой (для FreeBSD и Linux) и непортируемой (для OpenBSD) версий?
    От компетентных людей слышал, что это чуть ли не разные проекты.
     
     
  • 2.8, Аноним (-), 00:41, 14/09/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Больше не слушайте таких "компетентных" людей. Различия есть, но они не настолько большие, что бы их назвать "чуть ли не разными проектами". И вообще эти различия даже вовсе и не различия, а некоторые особенности в способах обработки ядром разных ОС аутентификации сессий.
     

  • 1.6, Crazy Alex (ok), 00:25, 14/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Докачка - это просто идеально :-) Наверное, единственное, чего sftp не хватало
     
     
  • 2.35, linvinus (?), 11:28, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё не хватает команды на просмотр свободного места (особенно полезно перед копированием).
     
  • 2.39, Michael Shigorin (ok), 14:05, 17/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Докачка - это просто идеально :-) Наверное, единственное, чего sftp не хватало

    Вообще rsync уже давно -e ssh по умолчанию. :)

     
     
  • 3.40, arisu (ok), 16:43, 17/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Докачка - это просто идеально :-) Наверное, единственное, чего sftp не хватало
    > Вообще rsync уже давно -e ssh по умолчанию. :)

    т-с-с-с! не пали контору!

     
  • 3.41, Khariton (ok), 16:50, 17/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Докачка - это просто идеально :-) Наверное, единственное, чего sftp не хватало
    > Вообще rsync уже давно -e ssh по умолчанию. :)

    Вау! А с какой версии, а то я все время -е ссш пишу...)))

     
     
  • 4.42, Michael Shigorin (ok), 20:07, 17/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вообще rsync уже давно -e ssh по умолчанию. :)
    > Вау! А с какой версии, а то я все время -е ссш пишу...)))

    С 2.6.0, если верить OLDNEWS...

     

  • 1.17, Аноним (-), 17:01, 14/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Собираются ли избавлятся от этого палева "Debian-5ubuntu1" ?
    dropbear чем хорош? Настолько популярен, а я о нем и не слышал. Инфы как-то маловато.
     
     
  • 2.18, Аноним (-), 20:30, 14/09/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Собираются ли избавлятся от этого палева "Debian-5ubuntu1" ?

    Избавляться

    > dropbear чем хорош? Настолько популярен, а я о нем и не слышал.

    Ты и о правописании ничего не слышал? А ведь вещь популярная.

    > Инфы как-то маловато.

    "Инфа" тут http://tsya.ru

     
  • 2.22, Толстеннный троллль (?), 23:57, 14/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Легковесный shh демон, посмотри настройки http://linux.die.net/man/8/dropbear  может чего-то будет не хватать по сравнению с openssh
     
  • 2.24, Аноним (-), 02:34, 15/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > dropbear чем хорош? Настолько популярен, а я о нем и не слышал.

    Все просто: он мелкий и легкий. Поэтому каждый первый сетевой девайс типа wi-fi роутера - это вот оно. Так что да, ответил миллион хомяковых роутеров :)

    p.s. кто-то zmap'ом развлекается, стопудово. Дикари таки получили в свои руки нехилую термоядерную дубинку. Она таки работает :)

     
     
  • 3.25, Ytch (ok), 04:41, 15/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так что да, ответил миллион хомяковых роутеров :)

    Никогда не понимал зачем в домашнем роутере (именно в самом роутере, а не, например, в NAS за ним) вывешивать наружу на внешний интерфейс ssh. Разве что лень зайти в настройки, и убрать "флажок" (если вдруг производитель по умолчанию его там включил). А если уж так приспичило, то зачем оставлять умолчальный порт 22 (это уже не только про роутеры).

     
     
  • 4.30, Crazy Alex (ok), 00:21, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем вывешивать - как раз понятно. Чтобы если какая-то фигня непонятная - можно было дистанционно зайти и вправить мозги - будь это знакомый "компьютерщик" или разбирающийся член семьи или наемный спец для маленькой фирмочки.
     
  • 2.33, Tamahome (ok), 08:18, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    dropbear используется во всякого рода роутерах и медиаплеерах... отсюда и столько торчащих наружу..
     

  • 1.21, Аноним (-), 23:57, 14/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Кстати статистика опроса 22 порта весьма красноречива:
    * Больше всего серверов под CentOS/RHEL.
    * Очень много Linux-рутеров и точек доступа.
    * Серверов под Ubuntu больше, чем Debian.
    * FreeBSD ещё весьма активно используется на серверах.
     
     
  • 2.26, Ytch (ok), 04:46, 15/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати статистика опроса 22 порта весьма красноречива:...

    Самое основное, что показывает эта статистика, так это то, что подавляющее большинство хостов в сети либо не имеет ssh, либо не вывешивает его "наружу", либо использует порт, отличный от 22.

     
     
  • 3.27, Khariton (ok), 10:27, 15/09/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > приспичило, то зачем оставлять умолчальный порт 22 (это уже не только
    > про роутеры).

    смена порта 22 на 2222 не спаcает, так как боты, сканирующие службу бегают по всем портам и шлют туда запрос согласно протоколу ssh, какой ответит - тот и служба.
    Вы никогда телнетом не общались с почтовым сервером, например, или с апачем?
    если вам надо защита, то только ограничение авторизации, например по ключу и fail2ban...
    а смена порта - это защита от пионеров в локальной сети...

     
     
  • 4.28, Ytch (ok), 13:15, 15/09/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а смена порта - это защита от пионеров в локальной сети...

    А речь и не шла о том, что смена порта дает какую-то защиту.

    Если речь о статистике из новости, то там именно "публикацию результатов проверки 22 порта".

    Если речь про смену порта вообще, то я просто почитывал логи одной машинки выставленной в сеть. С тех пор как перевесил ssh с 22-го порта - там вообще нет никаких попыток скана за долгое время (на 22-м регулярно кто-то стучался). Уточню на всякий случай, я не считаю, что смены порта достаточно для защиты, я не считаю, что смена порта избавит от более серьезных сканирований и т. п., но я не вижу ничего плохого в том, чтобы, не прилагая никаких усилий (кроме разве смены одной строки в конфиге sshd и одной строки в конфиге firewall), отсечь кучу дурных регулярных сканирований (не нагружая дополнительно саму машину).

     
     
  • 5.36, PnD (??), 14:31, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
      Например, так (синтаксис ferm, за точность не поручусь):
    chain INPUT {
    proto icmp icmp-type ping mod length length 1234 mod recent name "SSH" set NOP;
    proto tcp dport ssh {
      mod recent name "SSH" !rcheck seconds 30 hitcount 1 ACCEPT;
    }
    }

    применять по назначению врача, ага. Тупо сканирование ясно что проще отсекается.

     
  • 2.31, Crazy Alex (ok), 00:30, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    мды, FreeBSD всего в овсемь раз меньше чем линуксов - удивлен. Я скорее ждал бы соотношение 1:50 где-то. Правда, не знаю как остальной софт, а версия OpenSSH там рекодно древняя показывается.
     
     
  • 3.32, Khariton (ok), 00:33, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > мды, FreeBSD всего в овсемь раз меньше чем линуксов - удивлен. Я
    > скорее ждал бы соотношение 1:50 где-то. Правда, не знаю как остальной
    > софт, а версия OpenSSH там рекодно древняя показывается.

    Фринасы всякие и т.д., наверное, подняли статистику...

     
     
  • 4.34, anonymous (??), 10:29, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Фринасы всякие и т.д., наверное, подняли статистику...

    Вот подлецы!

     
     
  • 5.37, Crazy Alex (ok), 17:38, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не печалься, это ОЧЕНЬ консервативно посчитал - только по тому, где опационная система  в сигнатуре есть. Другими словами - в линуксах вообще не посчитан редхат с центосью. А если счесть, что в двух верхних строках в основном они - то 1:20 где-то выходит. Это уже ближе к интуитивной оценке.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру