The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

04.10.2017 11:33  Релиз OpenSSH 7.6

После шести месяцев разработки представлен релиз OpenSSH 7.6, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Выпуск примечателен удалением из кодовой базы всех компонентов, связанных в реализацией протокола SSH1.

Протокол SSHv1 был признан устаревшим около 10 лет назад и серверная часть SSH1 была удалена достаточно давно, но возможность сборки клиента для SSH1 оставалась, что позволяло использовать актуальные выпуски OpenSSH для соединения с устаревшими системами и некоторым оборудованием (например, устаревшие модели Cisco и HUAWEI). Отныне код избавлен и от клиентских компонентов SSH1. Кроме недостаточного уровня защиты, обеспечение сборки с SSHv1 накладывало ограничения на кодовую базу. Например, работа OpenSSH без привязки к библиотеке OpenSSL возможна только при использовании протокола SSHv2 и отключение SSHv1 позволяет организовать поставку в дистрибутивах конфигураций OpenSSH, собранных без привязки к OpenSSL и самодостаточных в плане методов шифрования.

Полное прекращение поддержки SSH1 также позволило удалить реализации шифров arcfour, blowfish и CAST, а также RIPE-MD160 HMAC, которые были по умолчанию отключены в настройках. Кроме того, отныне запрещено использование RSA-ключей размером менее 1024 бит и отключена по умолчанию поддержка шифров CBC на стороне SSH-клиента (в сервере CBC был отключен несколько лет назад).

Другие изменения:

  • Устранена проблема безопасности: sftp-server позволял создавать файлы нулевой длины, несмотря на включение в настройках режима только для чтения;
  • В клиент ssh добавлена директива RemoteCommand, через которую можно на уровне файла конфигурации задать команду для выполнения на удалённой стороне сразу после входа, по аналогии с указанием команды в командной строке;
  • В sshd добавлена опция ExposeAuthInfo, позволяющая организовать запись в файл лога с расширенными сведениями об используемых методах аутентификации;
  • В клиент ssh добавлена поддержка динамического реверсивного проброса (reverse dynamic forwarding), при включении которого локальный ssh начинает работать как прокси SOCKS4/5, перенаправляющий через локальную систему соединения, запрошенные SOCKS-клиентом на удалённой стороне. Режим включается при помощи опции "-R" (RemoteForward) и реализован целиком на стороне клиента (может работать со старыми версиями sshd).
  • В sshd разрешено указание директивы LogLevel в блоках Match файла конфигурации sshd_config;
  • В ssh-keygen разрешено добавление произвольной строки или флага в создаваемый сертификат;
  • В ssh-keygen обеспечена возможность использования ключа, хранимого в ssh-agent, в качестве CA при заверении сертификатов;
  • В ssh и sshd разрешено указание флага IPQoS=none для выставления в ToS/DSCP значения, предлагаемого по умолчанию операционной системой;
  • В ssh-add добавлен флаг "-q" для запуска ssh-add без вывода информации на экран;
  • В ssh добавлены два новых режима работы директивы StrictHostKeyChecking:
    • "accept-new" для автоматического принятия до сих пор не встречавшихся ключей, но блокирования сеансов для изменившихся или некорректных хостовых ключей (более безопасный вариант режима StrictHostKeyChecking=no);
    • "off" - синоним ранее доступной настройки "StrictHostKeyChecking=no", при которой автоматически принимались до сих пор не встречавшихся ключи и разрешались соединения с известными некорректными хостовыми ключами;
  • В ssh добавлена директива SyslogFacility, аналогичная ранее доступной директиве в sshd;
  • При запуске sshd в Solaris обеспечен сброс дополнительных привилегий в sandbox-режиме: PRIV_DAX_ACCESS и PRIV_SYS_IB_INFO;
  • В sshd реализована передача в PAM списка выполненных методов аутентификации через переменную окружения SSH_AUTH_INFO_0;
  • Добавлены сборочные флаги "--with-cflags-after" и "--with-ldflags-after" для установки CFLAGS/LDFLAGS после завершения выполнения скрипта configure (полезно для принудительного подключения отладочных средств проверки кода и fuzzing-тестирования;
  • Добавлена поверка на основе clang libFuzzer для кода разбора открытых ключей и верификации сигнатур.


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Из OpenSSH удалена поддержка протокола SSH1
  3. OpenNews: Релиз OpenSSH 7.5
  4. OpenNews: Релиз OpenSSH 7.4
  5. OpenNews: Обход защиты OpenSSH, препятствующей определению наличия пользователя
  6. OpenNews: Обновление OpenSSH 7.2p2 с устранением уязвимости в режиме X11Forwarding
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Ivan1986, 12:08, 04/10/2017 [ответить] [смотреть все]
  • +3 +/
    вот accept-new это реально полезно
     
     
  • 2.10, Аноним, 14:57, 04/10/2017 [^] [ответить] [смотреть все] [показать ветку]
  • –1 +/
    Воистину так!
     
  • 2.11, Товарищ майор, 14:58, 04/10/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    Мы тоже одобряем.
     
  • 1.2, souryogurt, 12:15, 04/10/2017 [ответить] [смотреть все]
  • –5 +/
    Вангую волну червей использующих эту фишку ... весь текст скрыт [показать]
     
     
  • 2.5, AlexYeCu_not_logged, 12:30, 04/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Да с чего бы Во-первых, подобный функционал давно используется Во-вторых, коль... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, souryogurt, 12:47, 04/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну, наверное, я что-то не так понимаю Я представил себе обычного непривилегиров... весь текст скрыт [показать]
     
     
  • 4.15, angra, 17:34, 04/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Возможно конечно, извращаться можно по разному, а можно не ждать у моря погоды, ... весь текст скрыт [показать]
     
     
  • 5.17, EHLO, 18:16, 04/10/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Если юзер по паролю логинится или ключ зашифрован и агент не запущен, тогда в эт... весь текст скрыт [показать]
     
     
  • 6.32, noname.htm, 10:06, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Червь меняет вызов ssh через алиас на свой враппер, который просто перехватит па... весь текст скрыт [показать]
     
  • 4.18, anonimus, 19:27, 04/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Звучит правдоподобно Но судя по описанию, в таком случае интерактивной сессии н... весь текст скрыт [показать]
     
  • 2.8, нах, 13:43, 04/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    авторы червей - грамотные ребята, и давно ее заимплементили самостоятельно Но д... весь текст скрыт [показать] [показать ветку]
     
     ....нить скрыта, показать (7)

  • 1.3, Аномномномнимус, 12:19, 04/10/2017 [ответить] [смотреть все]  
  • +/
    Есть механизм обновления в ~/.ssh/authorized_keys старого публичного ключа на новый? Например я сгенерил себе новый ключ, загрузил оба ключа в агента для авторизации на "старых" и "новых" хостах и хочу чтобы по мере обхода на "старых" хостах (со старым ключом) в момент входа старый ключ заменялся на новый.
     
     
  • 2.4, нах, 12:29, 04/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    агент _ничего_ не знает о твоем публичном ключе А хосты ничего не знают о том, ... весь текст скрыт [показать] [показать ветку]
     
  • 2.6, Аноним, 12:34, 04/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    authorized_keys на сервере описывает ключи, по которым сервер узнаёт вас клиент... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Crazy Alex, 16:34, 04/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну собственно вопрос товарища был - есть ли такое готовое, чтобы самому не писа... весь текст скрыт [показать]
     
     
  • 4.14, забыл_пароль_от_тигар, 17:23, 04/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    подобный менеджмент состоит из импорта в ssh-agent обоих ключей старый нов... весь текст скрыт [показать]
     
     
  • 5.21, Аномномномнимус, 20:47, 04/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Да, sed, awk, ansible, ещё вагон костылей и скрипты поверх всего этого зоопарка ... весь текст скрыт [показать]
     
     
  • 6.33, забыл_пароль_от_тигар, 10:08, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    твои патчи функционала, который нужен из коробки, наравне с ssh-copy-id отве... весь текст скрыт [показать]
     
  • 2.9, Борщдрайвен бигдата, 14:26, 04/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ssh-copy-id с авторизацией по старому ключу, нет?
     
     
  • 3.19, Аномномномнимус, 20:01, 04/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    ssh-copy-id придётся каждый раз руками набирать, когда хостов много и они постоя... весь текст скрыт [показать]
     
     
  • 4.22, пох, 21:32, 04/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    шелл, оказывается, тоже ниасилен, как и sed Ну понятно, виндyзятник до такой ст... весь текст скрыт [показать]
     
     
  • 5.23, Аномномномнимус, 21:47, 04/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Виндузятникам на эту фичу как правило плевать, потому что у них авторизация разр... весь текст скрыт [показать]
     
  • 4.50, Борщдрайвен бигдата, 17:33, 06/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > хостов много
    > они постоянно меняются
    > много лет

    Если за много лет в таком сценарии не освоен хоть поверхностно какой-нибудь ansible, то всё очень плохо.

     
  • 1.13, pfg21, 16:44, 04/10/2017 [ответить] [смотреть все]  
  • +/
    жаль аркфору, быстрый был.
    А что сейчас самое быстрое ??
     
     
  • 2.16, Stax, 17:54, 04/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    aes128-gcm openssh com у меня выдает 500 МБ сек при копировании с localhost на ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, pfg21, 20:41, 04/10/2017 [^] [ответить] [смотреть все]  
  • +/
    у меня есть файлопомойка на стареньком проце, тех времен когда о шифрации сильно... весь текст скрыт [показать]
     
     
  • 4.25, пох, 22:33, 04/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    э нет, это _твое_ время, а не машинное, которое _ты_ ждешь, пока оно докопирует ... весь текст скрыт [показать]
     
  • 3.24, пох, 22:22, 04/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    у меня атом 2011го года - мне его в помойку нести, потому что ssh-вырежем-все-по... весь текст скрыт [показать]
     
     
  • 4.26, Stax, 22:35, 04/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Не хотите - не несите А что, для остального веб браузинг и тп хватает, а вот ... весь текст скрыт [показать]
     
     
  • 5.27, пох, 01:41, 05/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    с некоторыми разумными ограничениями - пока хватает аппаратного ускорения видео... весь текст скрыт [показать]
     
     
  • 6.28, Crazy Alex, 01:55, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Конкретно в данном случае - можно запустить копирование и убежать, на что там см... весь текст скрыт [показать]
     
     
  • 7.37, пох, 14:46, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    прибежал, а оно, опа, отвалилось в процессе Или места не хватило А может непло... весь текст скрыт [показать]
     
     
  • 8.41, Crazy Alex, 15:36, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Да я ж не спорю, бывает. Но чтобы это было значимо в плане потерь времени - сомнительно. А свалить с зоопарка на одно решение - обычно выгодно с точки зрения бизнеса.

    Что до ноута - что-то у вас совсем печально с железом, могу только посочувствовать. Начиная с того, что вообще что-то на атомах или i3.

    И где можно напороться в продакшне на что-то, что вышло пару месяцев назад? Я больше вижу обратное - стоны "блин, да обновитесь уже на версию, которой всего полтора года, а не четыре". Не на арче же у вас там системы.

    В общем, я верю, что такая беда в каких-то случаях может возникнуть, но чтобы массово - ни шанса.

     
     
  • 9.44, пох, 17:56, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > Что до ноута - что-то у вас совсем печально с железом, могу

    да я как-то особых страданий не испытываю, мне на нем не жабу отлаживать (хотя, да, metro2033 не идет же ж, блин!) - а что, где-то инженерам что-то круче леновы пятилетней давности выдают по первому требованию?

    > И где можно напороться в продакшне на что-то, что вышло пару месяцев
    > назад? Я больше вижу обратное - стоны "блин, да обновитесь уже

    ну вот обновился на текущую openbsd (только на днях и не совсем законным образом удалось тут похоронить зверушку - то есть оно реально используется в некоторых специфичных вещах)
    - какой он там будет? Отож.

    > В общем, я верю, что такая беда в каких-то случаях может возникнуть,
    > но чтобы массово - ни шанса.

    ну, может не завтра еще , но через несколько месяцев нарваться будет вполне реально, а через пару лет станет общим местом. И очень навряд ли у меня к этому времени не останется процессоров без AES-NI.

     
  • 6.31, EHLO, 09:42, 05/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Так и запишем 1 netcat не осилен 2 виртуалки на какой-то дряни запускаются, ... весь текст скрыт [показать]
     
     
  • 7.34, Crazy Alex, 11:19, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    ну, для нетката надо, как минимум, иметь лишний открытый порт в файрволле. А куда "красивый динамичный" засунуть - я детализировать не буду.
     
     
  • 8.36, EHLO, 13:22, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > ну, для нетката надо, как минимум, иметь лишний открытый порт в файрволле.

    пускай он сам отмазки придумывает, не подсказывай
    > А куда "красивый динамичный" засунуть - я детализировать не буду.

    куда и зачем и что в этом плохого?

     
  • 8.40, пох, 14:59, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > ну, для нетката надо, как минимум, иметь лишний открытый порт в файрволле.

    для ssh тоже, но мне не жалко - просто не воспринимаю я netcat как способ передачи файлов.
    И, наверное, ничего не хочу знать о том, как работают люди, у которых при наличии ssh доступа к хосту, в голове всплывает netcat для "скопировать файлик". (ну вот наверное да - выбирать шифрование под задачу они точно не умеют)

    > А куда "красивый динамичный" засунуть - я детализировать не буду.

    я там в красках описал, как оно на самом деле устроено, тебе еще больше захочется его туда засунуть ;-)

     
     
  • 9.42, Crazy Alex, 15:39, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    ssh и так везде есть, там порт один хрен как-то открывается.
     
     
  • 10.43, пох, 17:50, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > ssh и так везде есть

    ты явно не тамагочил vmware. Есть-то он есть, но при попытке его включить загорается красивый жельтий фак.

    > там порт один хрен как-то открывается.

    ровно в том же месте, где можно и любой другой порт открыть. И никакой тебе автоматики - запуск sshd никак не влечет открытия ему портов, идешь и вручную разрешаешь.

     
  • 7.38, пох, 14:55, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    неткат на, хм, esxi, точно-точно есть - Стоит ли гонять гигабайтный образ без... весь текст скрыт [показать]
     
     
  • 8.45, EHLO, 21:10, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > неткат на, хм, esxi, точно-точно есть? ;-)
    > Стоит ли гонять гигабайтный образ без хотя бы минимального контроля целостности, вопрос
    > отдельный (хм, и md5 там, оказывается, тоже нет?)

    Говоришь они в VmWare настолько ненавидят своих пользователей, что приложили усилия для сборки busybox без netcat и md5sum? Сомневаюсь. Попробуй nc, ncat.
    С другой стороны почему бы и нет. Общеизвестно, что для юзеров проприетари страдание -- нормальное и привычное состояние души. Поэтому про удобный интерфейс, аплоад, бэкап и другие естественные потребности не будем упоминать лишний раз.

     
     
  • 9.47, пох, 15:36, 06/10/2017 [^] [ответить] [смотреть все]  
  • +/
    а, точно, это ж линукс, там md5sum должен быть.

    > Поэтому про удобный интерфейс, аплоад, бэкап и другие естественные потребности не будем
    > упоминать лишний раз.

    как только героические девелоперы непроприетари распутают свои шнурки и осилят написать что-то аналогичное - мы немедленно на него перейдем. А пока у нас есть работающая проприетарь и неработающий с числом процессоров >1 сетевой драйвер в поделке имени оракла (не говоря уже о том, что какой там, в жо, удобный интерфейс, ЭТО в страшном сне должно сниться, с названием бинаря в mixed case), управляемой через интуитивно-приятный php-интерфейс, потому что все остальные в ней интерфейсы вообще к удаленному управлению непригодны.

    Так что дома мне проще, по старинке, подсунуть в esxi свой sshd с 'none' - пока еще кое-как удается его собирать, чем ковыряться с неткатом.

     
  • 5.30, John, 09:12, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Удалённые X-ы, LTSP, ...
    Чтобы работало нормально приходится за каждый такт бороться - жаль arcfour.
    Возможно, алгоритм слабоват в текущих реалиях, но в контролируемом окружении (L2 ACL + огорожено всё что нужно) - это вполне годная вещь была. Удалённые графические приложения с ним летали.
     
     
  • 6.39, пох, 14:55, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > Удалённые X-ы, LTSP, ...
    > Чтобы работало нормально приходится за каждый такт бороться - жаль arcfour.

    серьезно? Мне казалось, там главное rtt

     
  • 2.29, Crazy Alex, 01:57, 05/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > жаль аркфору, быстрый был.
    > А что сейчас самое быстрое ??

    если не аппаратный aes - то chacha20

     
     
  • 3.35, pfg21, 11:23, 05/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Спасибо, запомню на будущее.
     
  • 2.46, Ананас, 09:24, 06/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Самое печальное, что оно еще и в одно ядро упирается. А так есть вроде патчики с нуль-шифром.
     
     
  • 3.48, пох, 15:42, 06/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > Самое печальное, что оно еще и в одно ядро упирается. А так
    > есть вроде патчики с нуль-шифром.

    ага, знаем мы эти патчики - времен sshd версии 4.0, до "героичных выпиливателей".
    Но я бы все же советовал blowfish - он достаточно быстр, чтобы упираться в сетевуху и диски, а не процессор, на хоть немного приличном железе, и есть везде, кроме тех мест, куда успеют добраться последние новые-модные поделки. А контроль целостности (в отличие от ненужношифрования) иметь полезно.


     
  • 1.49, АнонимХ, 16:36, 06/10/2017 [ответить] [смотреть все]  
  • +/
    А что за SFTP и как им пользоваться? Клиент какой должен быть? Firefox сможет качать с SFTP?
     
     
  • 2.51, Andrey Mitrofanov, 18:37, 06/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > А что за SFTP и как им пользоваться? Клиент какой должен быть?
    > Firefox сможет качать с SFTP?

    https://duckduckgo.com/?q=man+sftp Но, если ты спрашиваешь, то тебе не надо.

     
     
  • 3.53, Аноним, 08:13, 07/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ясно, очередной ненужный комбайн Dropbear пора штатно ставить вместо этого syst... весь текст скрыт [показать]
     
  • 1.52, пох, 20:05, 06/10/2017 [ответить] [смотреть все]  
  • +/
    Кстати, а все правильно прочитали вот это:
    "Режим включается [брюки превращаются] и реализован целиком на стороне клиента (может работать со старыми версиями sshd)."  ?

    В переводе это значит вот что: думая, что дал юзеру (всевозможными способами ограниченный) ssh на свой хост, ты автоматически дал ему socks прокси на своем хосте. (вероятно, отключается там же где и остальные прокси, но и над этим ребятки тоже работают)

    Пламенный превед лохам, заменяющим ftp на sftp, не обложившись по периметру ни колючкой, ни минными полями, ни рвами с крокодилами на худой конец.
    (hetznerам привет, кстати)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor