The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

03.04.2018 11:57  Релиз OpenSSH 7.7

После шести месяцев разработки представлен релиз OpenSSH 7.7, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

Основные новшества:

  • В ssh и sshd прекращена поддержка некоторых старых реализаций SSH, включая выпуски оригинального SSH от ssh.com до версий 2.* включительно и выпусков OpenSSH до 3.* включительно, выпущенных до 2001 года и включающих реализации протокола до формирования официального RFC;
  • Добавлена экспериментальная поддержка ключей PQC XMSS (Extended Hash- Based Signatures);
  • Добавлена директива RDomain для разрешения размещения аутентифицированного сеанса в заданном домене маршрутизации (Routing Domain), пока поддерживаемая только в OpenBSD и Linux. Также добавлены сопутствующие опции "rdomain" в директивах Match и ListenAddress для варьирования настроек в зависимости от домена маршрутизации и разрешения приёма соединений через разные домены маршрутизации;
  • Добавлена опция "expiry-time" для задания времени жизни ключей в файле authorized_keys;
  • Обеспечена возможность обращения к ресурсам ssh, scp и sftp через URI (например ssh://user@host или sftp://user@host/path);
  • Для ssh реализована директива BindInterface, позволяющая явно определить сетевой интерфейс для инициирования исходящих соединений (ранее допускалась только привязка по IP-адресу (BindAddress), а не имени интерфейса);
  • В ssh добавлен флаг подстановки %T для вывода устройства, заготовленного для перенаправления через tun/tap, при формировании команды в LocalCommand (например, можно использовать для запуска скрипта для предварительной подготовки сетевого интерфейса). В sshd подобное устройство выводится через переменную окружения SSH_TUNNEL;
  • В sftp разрешено выполнение команд "cd" и "lcd" без аргументов, в этом случае будет обеспечен переход в домашнюю (для "cd") и начальную ("lcd") директории;
  • Удалена поддержка операционной системы UNICOS;
  • Добавлена возможность сборки и связывания с флагами "retpoline" для защита от второго варианта уязвимости Spectre;
  • Обеспечено добавление в Makefile автоматически генерируемой информации о зависимостях.


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Атака на OpenSSH sftp, осуществляемая при некорректной настройке chroot
  3. OpenNews: Релиз OpenSSH 7.6
  4. OpenNews: Из OpenSSH удалена поддержка протокола SSH1
  5. OpenNews: Релиз OpenSSH 7.5
  6. OpenNews: DoS-уязвимость в OpenSSH
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssh, ssh, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Crazy Alex, 12:05, 03/04/2018 [ответить] [смотреть все]    [к модератору]
  • +15 +/
    Если б они ещё порт стандартным манером понимали... ну, то есть ssh user@host:port/dir - удобно же, нахрена его в отдельный ключ пихать?
     
     
  • 2.2, eisaev, 12:17, 03/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +23 +/
    Неистово плюсую! Особенно бодрит "-p" у ssh и при этом "-P" у scp.
     
     
  • 3.5, Аноним, 12:32, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]
  • +/
    Привыкли уже А разбор схемы это время, ресурсы и дополнительная сложность, так ... весь текст скрыт [показать]
     
     
  • 4.57, Аноним, 18:46, 04/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А тебя тоже сахритку покусал Жлобишься отдать 0 000000001 сек процессорного вре... весь текст скрыт [показать]
     
  • 3.8, tensor, 13:03, 03/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +8 +/
    Особенно бодрит rsync over ssh на нестандартном порту.
     
     
  • 4.15, Diozan, 14:08, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    А что с ним не так Никогда не держу SSH на стандартном порту Каких-либо трудно... весь текст скрыт [показать]
     
  • 4.17, lucentcode, 14:30, 03/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    А rsync -e 'ssh -P $port_number' разве у вас не работает?
     
     
  • 5.61, pauc, 22:18, 05/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Не работает. Ибо '-p', а не '-P'. А с ':' такой ошибки бы не совершили.
     
  • 4.21, Аноним, 15:08, 03/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    В ряде случаев удобней

    export RSYNC_RSH="ssh -p12345"
    rsync ..

     
  • 3.13, Доктор, 13:59, 03/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    Зато память развивает и деменцию отдаляет. Следи за собой, будь осторожен.
     
     
  • 4.53, Ан, 10:58, 04/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Для этой цели можно и список редакций офтопика с особенностями лицензирования уч... весь текст скрыт [показать]
     
  • 2.3, onanimous, 12:30, 03/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    > нахрена его в отдельный ключ пихать?

    Пропиши порты в ~/.ssh/config

     
     
  • 3.6, Crazy Alex, 12:36, 03/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Если часто куда-то ломишься - ясное дело, но не для однократных входов же
     
     
  • 4.10, Аноним, 13:35, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    onanimous настолько суров что правит etc ssh ssh_config до и после ssh-сессии п... весь текст скрыт [показать]
     
  • 2.4, Аноним, 12:32, 03/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Сами же понимаете, что возникает неоднозначность 171 хост порт 187 или 17... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, Crazy Alex, 12:37, 03/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Ну так в URI они это тоже не добавили
     
     
  • 4.24, Аноним, 15:15, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В URI это есть по определению ... весь текст скрыт [показать]
     
     
  • 5.44, Crazy Alex, 17:02, 03/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    а, ну тогда гуд.
     
  • 3.51, Аноним, 05:40, 04/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Каталог начинается с тильды или слеша Или ещё есть варианты с цифры ... весь текст скрыт [показать]
     
  • 2.9, alex, 13:32, 03/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    а зачем собстенно ссш на нестандартный порт пихать?
     
     
  • 3.11, Адекват, 13:42, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Чтобы боты логи не забивали спамом ... весь текст скрыт [показать]
     
     
  • 4.50, Аноним, 00:37, 04/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Ну да, на случайный порт они, конечно, никогда не зайдут Или для вас принципиал... весь текст скрыт [показать]
     
     
  • 5.54, АнонИМышь, 13:28, 04/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну да, на стандартном порту сотни попыток в день, на случайном порту ни разу за ... весь текст скрыт [показать]
     
     
  • 6.56, _, 18:09, 04/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    ДДддд Это потому что ты nach никому кроме ботов не нужен Слегка апнутый б... весь текст скрыт [показать]
     
  • 6.62, Аноним, 00:01, 06/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Верите, нет 8212 нормальные люди не мас молятся на логи SSH, а делают так,... весь текст скрыт [показать]
     
  • 3.16, Diozan, 14:10, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Посмотри tspdump-ом, что на стандартном твориться, если он в Интернет светит ... весь текст скрыт [показать]
     
     
  • 4.18, alex, 14:33, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    и они прям перестанут ломиться на нестандартном ограничить кол-во подключений в... весь текст скрыт [показать]
     
     
  • 5.22, Аноним, 15:12, 03/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Прям перестанут.
    Конфиг в студию, поржём.
     
     
  • 6.26, Аноним, 15:19, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    apt-get install fail2ban Конфиг по дефолту И да, мне не жалко сотни строчек в л... весь текст скрыт [показать]
     
     
  • 7.29, Аноним, 15:25, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    С хабра Если захотят поломать, то ломать будут с ботнета, против которого fail2... весь текст скрыт [показать]
     
     
  • 8.45, Аноним, 20:15, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Нет Почему тебя это волнует Я и не говорил, что поможет хотя на самом деле и ... весь текст скрыт [показать]
     
  • 7.49, Аноним, 22:25, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    apt-cache search knockd... весь текст скрыт [показать]
     
  • 7.60, Аноним, 17:15, 05/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    apt-get install sshguard
     
  • 4.20, alex, 15:04, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    и заодно - а как вы запоминаете на какой порт заходить если в конфиг не записыв... весь текст скрыт [показать]
     
     
  • 5.25, Аноним, 15:17, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Бессмысленно помнить ip-адреса или имена сотен серверов В любом случае будет ко... весь текст скрыт [показать]
     
     
  • 6.48, Diozan, 21:14, 03/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Карандаш и блокнот изобрели ещё в древнем Египте...
     
  • 4.36, Аноним, 15:43, 03/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    fail2ban
    С ограничением 20 переборов в неделю и временем бана месяц.
     
  • 3.43, Crazy Alex, 17:01, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    например - потому что форвардится ssh-доступ на несколько машин за nat Или пото... весь текст скрыт [показать]
     
     
  • 4.46, Аноним, 20:21, 03/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    code -J user host port Connect to the target host by firs... весь текст скрыт [показать]
     
  • 3.64, Ананас, 10:01, 10/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Чтобы не отсвечивать.
     
  • 2.58, ig0r, 01:03, 05/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Host ProxyCommand nc echo h 124 sed s echo h 124 se... весь текст скрыт [показать] [показать ветку]
     
  • 1.52, бедный буратино, 06:12, 04/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    только собирался переходить на UNICOS
     
  • 1.55, Аноним, 14:48, 04/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Expiry для authorized_keys звучит интересно.
     
     
  • 2.59, mj, 16:07, 05/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Интересно, да. А что будет если это поле перетереть)
     
  • 1.63, adolfus, 09:52, 07/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Слово "directory" переводится, как "каталог". Слова "директория" в русском нет -- это старый допапочный сленг мелкомягких.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor