The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

24.08.2018 23:50  Релиз OpenSSH 7.8

После пяти месяцев разработки представлен релиз OpenSSH 7.8, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

Основные новшества:

  • В ssh-keygen осуществлён переход на использование по умолчанию формата OpenSSH для хранения закрытых ключей, вместо заимствованного из OpenSSL формата PEM. Формат OpenSSH обеспечивает лучшую защиту от перебора паролей и поддерживает размещение комментариев в закрытых ключах. Для использования формата PEM теперь следует явно запускать ssh-keygen с опцией "-m PEM" при генерации или обновлении ключа;
  • В sshd удалена встроенная поддержка многофакторной аутентификации S/Key (для использования S/Key теперь следует использовать внешние реализации через PAM или BSD auth);
  • Код ssh почищен от компонентов для выполнения в режиме setuid. Попытка запуска ssh теперь приводит к выходу с выводом ошибки, если на исполняемый файл установлен флаг setuid или если uid не равен эффективному uid;
  • Изменена семантика опций PubkeyAcceptedKeyTypes и HostbasedAcceptedKeyTypes для sshd, в которых теперь нужно указывать и применяемый для аутентификации алгоритм формирования цифровой подписи (например, "rsa-sha2-256" или "rsa-sha2-512");
  • Изменён приоритет обработки переменных окружения для sshd: ~/.ssh/environment и опции environment="..." в файлах authorized_keys теперь не переопределяют переменные окружения SSH_*, явно заданные для sshd;
  • По умолчанию изменён IPQoS для ssh/sshd: для интерактивного трафика теперь применяется DSCP AF21, а для пакетных запросов CS1;
  • Представлены новые алгоритмы цифровых подписей "rsa-sha2-256-cert-v01@openssh.com" и "rsa-sha2-512-cert-v01@openssh.com", которые указывают на необходимость использования в ходе аутентификации только RSA/SHA2;
  • Добавлена возможность явного определения списка разрешённых переменных окружения для sshd, задаваемого через опцию PermitUserEnvironment, которая ранее позволяла только в общем виде разрешить или запретить пользовательские переменные окружения;
  • В sshd_config добавлена новая директива PermitListen, а также аналогичная опция "permitlisten=" в authorized_keys, которые позволяют определить IP-адрес и порт для приёма соединений при удалённом перенаправлении трафика (ssh -R);
  • Добавлена защита от атаки, позволяющей удалённому атакующему определить существует ли пользователь с данным именем в системе. Метод атаки базируется на разности поведения при обработке запроса на аутентификацию для существующего и неизвестного пользователя. Атакующий может отправить некорректный запрос аутентификации (например, отправить повреждённый пакет), в случае отсутствия пользователя в системе выполнение функции userauth_pubkey() завершалось сразу с отправкой ответа SSH2_MSG_USERAUTH_FAILURE. Если пользователь присутствует в системе, происходил сбой при вызове функции sshpkt_get_u8() и сервер просто молча закрывал соединение. Для противодействия подобным атакам также добавлена случайная задержка в размере 5-9мс, добавляемая при любом сбое аутентификации;
  • Для sshd реализована новая директива SetEnv, позволяющая определять переменные окружения в файле sshd_config. Данные переменные имеют более высокий приоритет чем значения по умолчанию и переменные окружения, заданные пользователем;
  • В ssh добавлена директива SetEnv, при указании которой переменные окружения для сеанса выставляются на основании значений, переданных сервером;
  • Для очистки переменных окружения, ранее помеченных для отправки на сервер, добавлена команда "SendEnv -PATTERN";
  • В ssh/sshd обеспечена передача UID в виде %-выражений во всех директивах, манипулирующих именем пользователя;
  • В ssh добавлена возможность указания "ProxyJump=none" для отключения функциональности ProxyJump;
  • В sshd обеспечена передача в PAM-модули детальных сведений об успешно завершённой аутентификации через переменную окружения SSH_AUTH_INFO_0;
  • Улучшено определение неподдерживаемых опций компилятора;
  • В sshd добавлена поддержка режима sandbox-изоляции в Linux для архитектуры s390;
  • При сборке без OpenSSL для затравки генератора псевдослучайных чисел задействован вызов getrandom().


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Уязвимость в OpenSSH, позволяющая определить наличие пользователей
  3. OpenNews: Критика шифрования ключей в OpenSSH
  4. OpenNews: Релиз OpenSSH 7.7
  5. OpenNews: Атака на OpenSSH sftp, осуществляемая при некорректной настройке chroot
  6. OpenNews: Релиз OpenSSH 7.6
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Vitaliy Blats (?), 01:22, 25/08/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +13 +/
    По ходу самая нужная, хорошая, функциональная и интересная программа из мира *nix. Долгих лет проекту, и пусть он переживет systemГ.
     
     
  • 2.3, Вовик (??), 01:34, 25/08/2018 [^] [ответить]    [к модератору]
  • +/
    Больше. Самый лучший и непревзойденный инструмент админа. Единственный инструмент с которым спокоен за безопасность.
     
     
  • 3.4, Отражение луны (ok), 02:03, 25/08/2018 [^] [ответить]    [к модератору]
  • –16 +/
    Админы в 2018м? Не видел таких.
     
     
  • 4.5, odd.mean (ok), 05:27, 25/08/2018 [^] [ответить]    [к модератору]
  • –3 +/
    А в каком видели?
     
  • 4.7, Илья (??), 06:52, 25/08/2018 [^] [ответить]    [к модератору]
  • +2 +/
    а кто в 2к18, девопсы?
     
     
  • 5.10, Led (ok), 10:35, 25/08/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    вовики
     
     
  • 6.23, Аноним (-), 14:48, 25/08/2018 [^] [ответить]    [к модератору]  
  • –6 +/
    Варкрафты? игроки ВОВ?
     
  • 5.18, Аноним (-), 14:37, 25/08/2018 [^] [ответить]    [к модератору]  
  • +13 +/
    В 200018? Пока не знаемс. Машину времени пока не изобрели...
     
  • 4.29, _ (??), 19:17, 25/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    >Админы в 2018м? Не видел таких.

    Да я в любом году сильно бы удивился, увидев админов или любых других IT-шегов на вашей говнокачке 8-о ...

     
  • 2.8, Старая школа (?), 10:15, 25/08/2018 [^] [ответить]    [к модератору]  
  • –17 +/
    Хипстеры никак не угомонятся с этими https и ssh, гонят насильно на них. Вы не понимаете что большинству хватит http и telnet?
     
     
  • 3.14, Vitaliy Blats (?), 10:59, 25/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Хипстеры никак не угомонятся с этими https и ssh, гонят насильно на них. Вы не понимаете что большинству хватит http и telnet?

    Быренько мне копирни файло с десктопа "А" на сервак "Б".

     
     
  • 4.15, Аноним (-), 11:29, 25/08/2018 [^] [ответить]    [к модератору]  
  • +/
    man onionshare
     
     
  • 5.16, GNU (?), 11:45, 25/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    man nc
     
  • 5.22, Аноним (22), 14:47, 25/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Не быть тебе админом, братуха, не быть...
     
  • 5.27, Vitaliy Blats (?), 17:41, 25/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > man onionshare

    [root@srv etc]# man onionshare
    No manual entry for onionshare

     
     
  • 6.54, Дятел всемогущий (?), 00:38, 31/08/2018 [^] [ответить]    [к модератору]  
  • +/
    еще и команды с форума под рутом выполняет. Точно не быть админом
     
  • 5.55, Баклажанный соус (?), 14:04, 31/08/2018 [^] [ответить]    [к модератору]  
  • +/
    scp конечно же, все остальное от лукавого
     
  • 1.2, Аноним (2), 01:24, 25/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    ssh не перестает радовать, не столько хорошими новостями, сколько отсутствием плохих. Аминь.
     
     
  • 2.6, Аноним (6), 06:51, 25/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    А ЛибреССХ?
     
     
  • 3.13, пох (?), 10:55, 25/08/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    > А ЛибреССХ?

    очередной кусок навоза, сделанный ради самопиара, без умения и знания.
    Такая же бесполезная и опасная хрень, как и libressl.


      

     
  • 3.20, Аноним (-), 14:44, 25/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А либре и не начинал радовать.
     
  • 2.9, Аноним (9), 10:21, 25/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    CVE-2018-15473
     
     
  • 3.30, Аноним (2), 19:56, 25/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Это не дыра
     
  • 1.11, oni9 (?), 10:38, 25/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    без поддержки openssl-1.1 не нужно.
     
     
  • 2.24, Нанобот (ok), 14:50, 25/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Мамкины иксперты без поддержки openssl-1.1 не нужны
     
  • 1.12, пох (?), 10:54, 25/08/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –8 +/
    п-сы, сэр - ну почему они не могут просто убрать свои кривые клешни от кода, к... весь текст скрыт [показать]
     
     
  • 2.21, нах (?), 14:45, 25/08/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Вечно ты всем недоволен. Пойми, мир не вертится вокруг тебя. Свет клином на тебе не сошелся.
     
     
  • 3.25, Аноним (25), 14:56, 25/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Вечно ты всем недоволен. Пойми, мир не вертится вокруг тебя. Свет клином
    > на тебе не сошелся.

    Тихо сам с собою … ?

     
  • 3.28, пох (?), 19:11, 25/08/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    мир семимильными шагами идет нaх й проектами рулят полоумные ди6илоиды, несп... весь текст скрыт [показать]
     
     
  • 4.31, ALex_hha (ok), 01:27, 26/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Уверен, что вы и сами ничего не поняли из своего первоначального текста. Куда уж нам, смертным
     
  • 4.32, Аноним (32), 22:44, 26/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Подписываюсь под каждым Вашим словом.
     
     
  • 5.34, Andrey Mitrofanov (?), 16:46, 27/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Подписываюсь под каждым Вашим словом.

    Да, незамутнённое "всё

     
  • 5.35, Andrey Mitrofanov (?), 16:51, 27/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Да, незамутнённое и стоическое всё г--но в достаточно связных, но длинных д... весь текст скрыт [показать]
     
  • 4.33, Аноним (33), 16:27, 27/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Уважаемый, пох Если Вас не затруднит, пожалуйста, объясните только коротко , д... весь текст скрыт [показать]
     
     
  • 5.36, Andrey Mitrofanov (?), 16:56, 27/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Уважаемый, пох!
    > Если Вас не затруднит, пожалуйста, объясните (только коротко), для чего он (setuid)
    > там был? А то ведь сейчас setuid это не стильно, не
    > модно, и не молодежно (причем одновременно стало не :(
    > А заодно и про переменные окружения.
    > Это не стёб.

    Да-а-а, лан, не стёб.  Курс програмления и курс безопасного програмления, пусть и частями, втиснуть в [один!] коммент?  Пусть попробует -- лулзов будет.  Маэстро, арена жждёт.

     
     
  • 6.37, Аноним (33), 18:05, 27/08/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Пары примеров использования Где без setuid трудно обойтись А так же, на какие ... весь текст скрыт [показать]
     
     
  • 7.40, Andrey Mitrofanov (?), 21:43, 27/08/2018 [^] [ответить]    [к модератору]  
  • +/
    >>> Уважаемый, пох!
    >> будет.  Маэстро, арена жждёт.

    "" -- Серё-о-ожа, выходи! ""

    > Пары примеров использования. Где без setuid трудно обойтись. А так же, на
    > какие переменные среды обратить внимание, что бы спасть спокойно.

    Чтоб спать -- _не_ обращай на них.

    > Хотя ладно, видимо придется самому просвещаться с гуглом в помощниках.

    Один пример, смутно припоминаю -- какой-то суидный бинарь "крутили" то ли на переполнении в printf-е, толь на "путях" во врайтабль директории... Вот прям тут в новостях, правд-правд!  Или то были два разных бинаря?  Или не тут...  "Ну, скажем Полуэкт!"  Не, не помню.  Пусть пох уями отбивается.

     
     
  • 8.50, . (?), 17:49, 29/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Чтоб спать -- _не_ обращай на них.

    не получится - в современных линуксе и ближайших его конкурентах наиболее опасно то, что переменные окружения парсит еще ld-linux или местный аналог.
    Причем он _уже_ исполняется с повышенными привиллегиями в этот момент. Твоему коду управление еще даже не передано, ибо некуда.

    собственно, последние cve glibc - оттуда как раз. оверинжинеренная херня, как обычно.

     
  • 6.46, пох (?), 20:01, 28/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Да-а-а, лан, не стёб.  Курс програмления и курс безопасного програмления, пусть

    да не, тут больше про системное администрирование. Хотя, конечно, тоже безнадежно. Немет, похоже, очень своевременно утонула.

     
  • 5.44, пох (?), 19:54, 28/08/2018 [^] [ответить]    [к модератору]  
  • +/
    для чего, для чего - для того же, для чего он был у rsh.
    В случае, когда мы доверяем админу удаленного хоста (например, потому что сам и есть тот админ) - это некоторая гарантия, что его запустил пользователь, которому на самом деле можно его запускать, и запустил именно ssh, а не открыл сокет как сумел (читай - это не ssh'шный червяк, который долбится на любой открытый инет-хост по 20 соединений в минуту). И _поэтому_ hosts.equiv auth на нем можно было делать, а не наоборот.

    > А то ведь сейчас setuid это не стильно, не модно, и не молодежно (причем одновременно стало не :(

    "позикс ненужная фигня, юникс устарел, линукс ваш новый стандарт!" (тут вроде и open, но люди-то те же).

    ну да, любители overenginering наделали много сложных и неочевидных граблей в ld, делающих запуск suid программ несколько более опасным, чем он был бы без этого, и решили что мир прекрасен, только suid надо запретить.

    собственно, проблема openssh именно в этом же - хрен с ним, с suid, посмотрите на остальные "достижения" этой версии  (кроме тех, где "мы удалили код, который наши слабые мозги не могут поддерживать"). И прикиньте, сколько лет этим проблемам (точно поболее десяти).

     
  • 2.38, ilya (??), 18:59, 27/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    suid там был для открытия портов < 1024 при аутентификации в режиме rhosts+RSA.
    поддержку ssh v1 выпилили где-то с год назад, до это оно лет 10 числилось устаревшим.
    Люди чистят свой код от ненужного хлама, и это хорошо.
     
     
  • 3.43, . (?), 17:48, 28/08/2018 [^] [ответить]    [к модератору]  
  • +/
    только почти весь _их_ код - ненужный хлам. И это плохо. Со времен околобсдшного форка хорошего сделано около нуля. Плохая копипаста из йлоненского проекта не в счет.

    Минимум дважды при этом улучшайки приносили опасные уязвимости, особенно хорошо им удалась история с "roaming". Но нет, этот мусор - свой, родной, до конца его выпиливать у них рука не поднимается.

    Да, история с тривиально подбираемыми паролями к ключам - это тоже прекрасный улучшизм, а чо, есть же любимая (насквозь гнилая) openssl, зачем копаться в древнем коде, поддерживающем ssh-формат ключа, давайте все хранить в pem. И нет, это тоже не их код.

     
     
  • 4.48, ilya (??), 12:17, 29/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/

    > Минимум дважды при этом улучшайки приносили опасные уязвимости, особенно хорошо им удалась
    > история с "roaming". Но нет, этот мусор - свой, родной, до
    > конца его выпиливать у них рука не поднимается.

    Звездишь, этот код _полностью_ удален в день раскрытия CVE.

     
     
  • 5.49, . (?), 17:44, 29/08/2018 [^] [ответить]    [к модератору]  
  • +/
    главное - верить!
    И ни в коем случае не уметь посмотреть в код.


     
     
  • 6.51, ilya (??), 19:09, 29/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > главное - верить!
    > И ни в коем случае не уметь посмотреть в код.

    Главное меньше врать. Ну или показать выхлоп tar -xzOf openssh-7.8p1.tar.gz|grep -i roaming

     
     
  • 7.52, Аноним (52), 18:17, 30/08/2018 [^] [ответить]     [к модератору]  
  • +/
    git clone git anongit mindrot org openssh git grep -ri roaming openssh Д... весь текст скрыт [показать]
     
     
  • 8.53, ilya (??), 19:49, 30/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > % git clone git://anongit.mindrot.org/openssh.git
    > % grep -ri roaming ./openssh
    > Двоичный файл ./openssh/.git/objects/pack/pack-b8f3902eb188d69276ea4dd002235716285ccd04.pack
    > совпадает
    > ./openssh/readconf.c:   { "useroaming", oDeprecated },

    Код, то который "удалять жалко"где???

     
  • 2.39, PereresusNeVlezaetBuggy (ok), 19:40, 27/08/2018 [^] [ответить]    [к модератору]  
  • +/
    То есть вам реально нужно, чтобы SSH-клиент открывал порт с номером до 1024, и sudo/doas вам не подходят?
     
     
  • 3.41, Andrey Mitrofanov (?), 21:48, 27/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > То есть вам реально нужно, чтобы SSH-клиент открывал порт с номером до
    > 1024, и sudo/doas вам не подходят?

    Вы там полегше со своим юниксвеем.  Договоритесь ведь неравёнч!  До SSL через tunnel, терминалы через telnet, ключи чз gpg, проброс портов netcat-ом...  Прям, как представлю - вдрогну.  Никакого уважения к труду сабжев.

     
     
  • 4.42, PereresusNeVlezaetBuggy (ok), 01:13, 28/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    >> То есть вам реально нужно, чтобы SSH-клиент открывал порт с номером до
    >> 1024, и sudo/doas вам не подходят?
    > Вы там полегше со своим юниксвеем.  Договоритесь ведь неравёнч!  До
    > SSL через tunnel, терминалы через telnet, ключи чз gpg, проброс портов
    > netcat-ом...  Прям, как представлю - вдрогну.  Никакого уважения к
    > труду сабжев.

    По-моему, на эту ночь кому-то пора заканчивать с алкоголем, чтобы утром не было мучительно стыдно.

     
  • 4.45, пох (?), 19:57, 28/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Вы там полегше со своим юниксвеем.

    угу, "линукс ваш новый стандарт!"

     
     
  • 5.47, Andrey Mitrofanov (?), 09:35, 29/08/2018 [^] [ответить]    [к модератору]  
  • +/
    >> Вы там полегше со своим юниксвеем.
    > угу, "линукс ваш новый стандарт!"

    Пока гербовый Hurd не готов, пишем на обычной.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor