Представлен (http://lists.mindrot.org/pipermail/openssh-unix-dev/2016-May...) план полного удаления реализации устаревшего протокола SSHv1 из кодовой базы OpenSSH. Начиная с выпуска OpenSSH 7.0, уже около года поддержка SSHv1 отключена по умолчанию и требует сборки со специальным флагом. Большинство дистрибутивов уже последовали этому изменению и поставляют OpenSSH с выключенным SSHv1. В соответствии с планом, в июньском выпуске OpenSSH 7.3 поддержка SSHv1 останется без изменений. В августе будет сформирован выпуск OpenSSH 7.4, в котором будет удалён код, связанный с использованием SSHv1 на стороне сервера. Возможность использования клиентской части SSHv1 планируется прекратить в июне 2017 года.
Напомним, что протокол SSHv1 был признан устаревшим около 10 лет назад. Кроме недостаточного уровня защиты, сохранение SSHv1 накладывает определённые ограничения на кодовую базу. Например, работа OpenSSH без привязки к библиотеке OpenSSL возможна только при использовании протокола SSHv2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSHv1. Отключение SSHv1 на этапе сборки позволило предоставить возможность поставки в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL.URL: http://lists.mindrot.org/pipermail/openssh-unix-dev/2016-May...
Новость: https://www.opennet.ru/opennews/art.shtml?num=44380
Как узнать какой алгоритм используется в текущей ssh сессии?
С большой вероятностью будет использоваться второй, так как в некоторых случаях первый даже отключен. Полный ответ можно загуглить по "How can I find current ssh protocol version of current connection?", ссылка на superuser.
> С большой вероятностью будет использоваться второй, так как в некоторых случаях первый
> даже отключен. Полный ответ можно загуглить по "How can I find
> current ssh protocol version of current connection?", ссылка на superuser.Вопрос был о версии протокола, а не об алгоритме.
Как узнать — с какой стороны? На сервере можно посмотреть логи, а на клиентской, возможно, через консоль управления SSH-клиентом (которая через ~C включается). Ну или запускать с ключом -v.
>> С большой вероятностью будет использоваться второй, так как в некоторых случаях первый
>> даже отключен. Полный ответ можно загуглить по "How can I find
>> current ssh protocol version of current connection?", ссылка на superuser.
> Вопрос был о версии протокола, а не об алгоритме.В смысле наоборот. :) Прошу прощения.
ssh -v не показывает разве?
> план полного удаления реализации устаревшего протоколаЛёгким движением руки OpenSSH превращается ... превращается ... в LibreSSH!!!
ага, а OpenBSD - в LibreBSD... хватит нести ахинею
Не плакай, никто опёнка не обижает.Я к тому, что Тео сделал точно то же самое (выбросил старые и ненадёжные протоколы, примитивы и пр.), только раньше.
Ну вот разница в том, что одни это делают в прыжке, а другие - дают год, чтобы все заинтересованные поготовились, с массой анонсов происходящего.
Годно, давно пора OpenSSH'у работать независимо от OpenSSL(который очень часто патчится)
в OpenBSD оно без openssl работает:# openssl version
LibreSSL 2.3.4
Интересно, как коннектиться будем к SSHv1 устройствам...
интересно сколько таких осталось на Земле?
если даже на запущенных хз сколько лет назад и улетевших за пределы Солнечной системы аппаратах прошивки обновляют
> интересно сколько таких осталось на Земле?
> если даже на запущенных хз сколько лет назад и улетевших за пределы
> Солнечной системы аппаратах прошивки обновляютДа миллионы.
я вот ни разу не встречал. sshv2 - сотни, а v1 - ни одного, даже обидно.
можно конкретные примеры? чисто для удовлетворения любопытства - как оно выглядит
да и кто запрещает сохранить сейчас исходники sshv1 клиента, чтобы в будущем было чем пользоваться?
> я вот ни разу не встречал. sshv2 - сотни, а v1 -
> ни одного, даже обидно.
> можно конкретные примеры? чисто для удовлетворения любопытства - как оно выглядит
> да и кто запрещает сохранить сейчас исходники sshv1 клиента, чтобы в будущем
> было чем пользоваться?Да все linux-системы и аппаратура, выпущенные до 200-го года примерно.
до 200-го года аппаратура работала на дровах, а если не на дровах - то это магия и на горящие дрова помещали автора :-)
Для обновления прошивки она должна существовать (:
Есть пара железок в локалке, которые не умеют телнет и просят ssh первой версии.
может вы назовёте модель? хочется взглянуть на это чудо работающее второй десяток лет и приносящее пользу и радость
Еще айпишник пусть скажет.
У меня UPS, поддерживают только SSHv1, в прочем это не большая проблема конечно, не так часто приходиться к ним подключаться через удалённую консоль, можно и Web Console для такого случая включить.
> У меня UPS, поддерживают только SSHv1, в прочем это не большая проблема
> конечно, не так часто приходиться к ним подключаться через удалённую консоль,
> можно и Web Console для такого случая включить.которая перестала работать с современными браузерами еще раньше.
Да, есть такое дело, но, IE, пока ещё доступен в Windows 10, а там возможно, новое оборудование всё же обновят, для поддержки SSHv2.
> Да, есть такое дело, но, IE, пока ещё доступен в Windows 10,
> а там возможно, новое оборудование всё же обновят, для поддержки SSHv2.как я уже говорил, я это решил, просто взяв старый ESR релиз FF, 17-й по-моему в портабельной сборке
именно для открытия кучи вебморд старого железа.
> может вы назовёте модель? хочется взглянуть на это чудо работающее второй десяток
> лет и приносящее пользу и радостьIP без проблем
90.254.200.10 - Это для нас фейковая сеть. Модель- а фиг его знает, производитель RAD SDH модем, если кто скажет как его спросить точную модель выложу вывод.
А еще у меня в сети 2508 трудятся консольными серверами - есть желающие завести там полнеценный SSH2 ? (опять же - они стоят в приватной сети, SSH Это привычка )
Печально. На cisco 2511 только sshv1, а она ведь отличная консолька на кучу железа в серверной. Вот уроды, теперь менять её придётся ибо не всегда будет старый openssh клиент под рукой.
> Печально. На cisco 2511 только sshv1, а она ведь отличная консолька на
> кучу железа в серверной. Вот уроды, теперь менять её придётся ибо
> не всегда будет старый openssh клиент под рукой.Вот и спроси у сиски не хочет ли сиска обновить прошивку. Пусть сиска и поддерживает вечно всякую проприетарщину.
А зачем ей, вот вы продали продукт, через 10 лет к вам приходят и говорят, мужик, не работает в продаваемых версиях win* ( даже из исходиников не компилится ), будь добр обнови чтоб заработало :)
О российской криптографии в OpenSSH
> О российской криптографии вМне просто интересно, перечислите, пожалуйста, случаи, когда "российская криптография" нужна? Ну, пока без экстремизма, когда значение Пи в военное время принимается равным 4.
Какие из этих случаев _хоть_ как-то затрагивают аудиторию этого сайта? А без публикуемых в апстриме патчей -- просто сухим языком SMS и линк-спама?...
>> О российской криптографии в
> Мне просто интересно, перечислите, пожалуйста, случаи, когда "российская криптография"
> нужна? Ну, пока без экстремизма, когда значение Пи в военное время
> принимается равным 4.
> Какие из этих случаев _хоть_ как-то затрагивают аудиторию этого сайта? А без
> публикуемых в апстриме патчей -- просто сухим языком SMS и линк-спама?...В логах сервера наблюдал попытку коннекта с GOSTRxxx заинтересовало даже.