Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз OpenSSH 8.5"	+/–
Сообщение от opennews (??), 03-Мрт-21, 09:34
После пяти месяцев разработки представлен релиз OpenSSH 8.5, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54690
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 03-Мрт-21, 09:34	–21 +/–
Что-то сегодня всё больше dropbear вижу, про сабж никто и не думает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #4, #16, #34

2. Сообщение от Аноним (1), 03-Мрт-21, 09:36	–2 +/–
А ну ещё teleport может быть, раньше то один dropbear был повсеместно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (4), 03-Мрт-21, 09:41	–3 +/–
>> UpdateHostKeys А вот есть что-то такое же, но для обновления на сервере ключей клиента в чуть более штатном и автоматическом режиме, чем костылями? Проблеме как бы дофига лет, а до сих пор вместо решения извращения всякие
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #14, #26, #44

4. Сообщение от Аноним (4), 03-Мрт-21, 09:42	+8 +/–
А в чём прикол? Какая-то шарага заморочилась протолкнуть его штатно на хостинге? Никогда не видел его в живую на нормальных хостингах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6

5. Сообщение от Аноним (5), 03-Мрт-21, 09:47	+1 +/–
Решение есть. В следующий раз когда будет сообщение с кучей букв и словами warning key mismatch просто нажать Yes, Remember key
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #20

6. Сообщение от Аноним (1), 03-Мрт-21, 09:58	–5 +/–
Я не знаю, не я выбирал. Может быть, совместимость с легаси триггерит девопсов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от Аноним (8), 03-Мрт-21, 10:10	+1 +/–
Если я верно помню, в протоколах, где хеш используется для подписи самого сертификата (но не других данных), коллизионная стойкость хеша не имеет значения (потому что требует соучастия стороны, генерирующей ключ, а в таких случаях сторона, генеиирующая ключ может просто выдать приватный ключ вместо генерации коллизии), они полагаются на second preimage resistance, а это разные вещи.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

9. Сообщение от Аноним (8), 03-Мрт-21, 10:10	+1 +/–
Вернее не ключ, а сертификат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

10. Сообщение от Аноним (8), 03-Мрт-21, 10:13	+/–
>Среди рекомендуемых для миграции алгоритмов упомянуты rsa-sha2-256/512 на базе RFC8332 RSA SHA-2 (поддерживается с OpenSSH 7.2 и используется по умолчанию), ssh-ed25519 (поддерживается с OpenSSH 6.5) и ecdsa-sha2-nistp256/384/521 на базе RFC5656 ECDSA (поддерживается с OpenSSH 5.7). А в dropbear они из коробки поддерживаются (ed25519 точно нет, в роутерах что флехи, что памяти мало, поэтому режут всё, что только могут, даже по живому)? А если нет, то и сюда нет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #33

12. Сообщение от Аноним (8), 03-Мрт-21, 10:17	–1 +/–
>В ssh для ключей FIDO обеспечен повторный запрос PIN в случае сбоя операции с цифровой подписью из-за некорректного PIN и отсутствия запроса PIN у пользователя (например, когда не удалось получить корректные биометрические данные и устройство откатилось на ручной ввод PIN-а). Вы ещё аттестацию прикрутите.
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (15), 03-Мрт-21, 10:25	–4 +/–
> стоимость подбора коллизии оценивается примерно в 50 тысяч долларов долбанные белки-истерички. Дайте мне 40, я вам отдам все свои ключи и так, без ненужной возни (и хер вы потом меня найдете).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #22

14. Сообщение от Просто (?), 03-Мрт-21, 10:44	+/–
Ansible, Puppet?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #21

15. Сообщение от Аноним (15), 03-Мрт-21, 10:45	+3 +/–
> А в dropbear они из коробки поддерживаются ed25519 _из_коробки_ - точно поддерживается. А если в твоем роутере нарочно его удалили -  increases binary size - around 7,5kB on x86-64 - то выброси это недоразумение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #31

16. Сообщение от YetAnotherOnanym (ok), 03-Мрт-21, 11:19	+/–
Сравнил пинцет для бровей с мультитулом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #17

17. Сообщение от Аноним (1), 03-Мрт-21, 11:24	+/–
А какие применения вы видите? Более близкое сравнение будет ЭВМ 50х годов и сегодняшние телефоны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #23

18. Сообщение от Ананимус (?), 03-Мрт-21, 11:25	+/–
Это всего 2.6 миллиона рублей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #19

19. Сообщение от пох. (?), 03-Мрт-21, 12:02	+2 +/–
Я готов и рублями, тащите уже ж!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

20. Сообщение от Аноним (4), 03-Мрт-21, 12:34	+1 +/–
и при чём тут ключи клиентов? С не тем ключом ты тупо не авторизуешься, без всяких ворнингов. А с тем ты не обеспечишь автоматическую замену устаревшего ключа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

21. Сообщение от Аноним (4), 03-Мрт-21, 12:36	+2 +/–
Это не штатный инструмент OpenSSH, а нагромождение костылей, которые либо имеют не нулевой шанс угробить старый конфиг развалив авторизацию, либо пытаются заменить собой единую точку авторизации в корпоративном сегменте, хотя это то как раз и ошибочный путь. А когда есть пачка разных серверов, от разных кастомеров и нужно по ним ходить ручками, нужен именно штатный механизм обновления ключей, не предполагающий установку доп. ПО всем подряд
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #29

22. Сообщение от Сейд (ok), 03-Мрт-21, 12:41	+1 +/–
Продам новые ключи SSH за 1 биткойн, 5 штук.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #24

23. Сообщение от Аноним (23), 03-Мрт-21, 13:39	+2 +/–
ЭВМ 50-х годов остались в 50-х. А сабж прекрасно развивается и сейчас, чему свидетельством — данная новость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #25

24. Сообщение от пох. (?), 03-Мрт-21, 13:46	+/–
херассе ты жадный! Да ладно, чего там - продам и новые за те же $50000, чур - налом, купюрами не крупнее двадцатки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #30, #35

25. Сообщение от Аноним (1), 03-Мрт-21, 13:55	–1 +/–
> ЭВМ 50-х годов остались в 50-х. А сабж прекрасно развивается и сейчас, > чему свидетельством — данная новость. Ну почему, вон мейнфреймы тех лет как и кобол до сих пор используются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

26. Сообщение от Аноним (26), 03-Мрт-21, 14:20	+/–
ssh сертификаты умеет, меняйте хоть каждый день.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

27. Сообщение от Аноним (27), 03-Мрт-21, 14:23	+/–
После обновления клиента на 8.4 не получилось полключиться к роутеру по ключу. Хорошо, что оставили возможность подключения с настройкой PubkeyAcceptedKeyTypes ssh-rsa.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

28. Сообщение от Аноним (1), 03-Мрт-21, 14:26	–1 +/–
> После обновления клиента на 8.4 не получилось полключиться к роутеру по ключу. > Хорошо, что оставили возможность подключения с настройкой PubkeyAcceptedKeyTypes ssh-rsa. Серьёзно? Чёрт, а я переживал, что это с моим роутером. Ололошечки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

29. Сообщение от Просто (?), 03-Мрт-21, 16:56	+/–
Весь мир использует эти и аналогичные средства автоматизации. А тебе штатные механизмы конкретного софта подавай.. Ну так реализуй, сделай коммит :D С дивана вещать-то легко. > не предполагающий установку доп. ПО всем подряд С каких пор Ansible требует установки ПО на сервера?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #41

30. Сообщение от Сейд (ok), 03-Мрт-21, 21:04	+/–
Обсудим организацию картеля в XMPP?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

31. Сообщение от Аноним (37), 03-Мрт-21, 22:10	–2 +/–
https://openwrt.org/docs/guide-user/security/dropbear.public... >Rebuild Dropbear with Ed25519 key type support. >cat << EOF >> openwrt/.config >CONFIG_DROPBEAR_ED25519=y >EOF Why the f*** should I run the untrusted toolchain on my machine?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #32

32. Сообщение от . (?), 04-Мрт-21, 13:05	–1 +/–
Спроси у своего trusted shitwrt или как там его, зачем они сэкономили аж 7.5k В _дефолтном_ конфиге в исходниках dropbear включено по умолчанию, надо было не полениться специально это испортить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #36

33. Сообщение от edo (ok), 04-Мрт-21, 17:59	+/–
> А в dropbear они из коробки поддерживаются (ed25519 точно нет, в роутерах что флехи, что памяти мало, поэтому режут всё, что только могут, даже по живому) В пределах оно не поддерживается просто потому, что поддержка ed25519 не так давно в dropbear появилась, не все успели обновиться
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

34. Сообщение от Owlet (?), 04-Мрт-21, 19:47	+/–
Никогда не видел этого dropbear в реальной жизни, только sshd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #37

35. Сообщение от Аноним (-), 04-Мрт-21, 23:47	+1 +/–
Это все нивалидная фигня. Я буду валидировать ключи за 60% стоимости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

36. Сообщение от Аноним (37), 04-Мрт-21, 23:47	+/–
Потому что там реально памяти в обрез. Что на 4 MB флехи, что на 8 и 32 оперативы. Всё падает на хрен при минимальном добавлении необходимых сервисов даже на 8/32, на 4 на флеху вообще только бы базовый образ влез, ни о каком веб-интерфейсе и Luci и речи не идёт, чувствую, что покупать и перепаивать придётся что флеху, что оперативу, благо что доступ к SMD-станции и сухому азоту есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

37. Сообщение от Аноним (37), 04-Мрт-21, 23:48	–1 +/–
На роутерах стоит dropbear, ибо всего в обрез.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

38. Сообщение от Бернулли (?), 04-Мрт-21, 23:52	+/–
Здравствуйте! Подскажите, sntrup761x25519-sha512@openssh.com а это как? Х25519 это Диффи-Хельман с кривой 25519, sntrup761 это NTRUEncrypt - шифрование с публичным ключем. Получается ntru шифрует открытый ключ кривой 25519?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

39. Сообщение от Бернулли (?), 05-Мрт-21, 01:44	+/–
Дошло: * c,r_enc = Hide(r,pk,cache); cache is Hash4(pk) */ r 256 бит вполне хватает что бы публичный ключ передать от кривой Или не прав?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #40

40. Сообщение от Бернулли (?), 05-Мрт-21, 02:29	+/–
https://github.com/openssh/openssh-portable/blob/master/kexs...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от PereresusNeVlezaetBuggy (ok), 05-Мрт-21, 16:33	+/–
Python он требует. Так что изредка сталкиваюсь с тем, что надо сначала его накатить прежде чем включать сервер в ansible/hosts.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #42

42. Сообщение от Анончик (?), 06-Мрт-21, 15:11	+/–
Не нужно это тут рассказывать. Они начнут кричать что только некоторые модули треуют питона на сервере и ты можешь переписать их на баш. А потом продолжат уверять что у них agentless
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #43

43. Сообщение от gred (ok), 06-Мрт-21, 21:55	+/–
есть еще cdist, но да, слегка маргинален, возможно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от FSA (??), 11-Мрт-21, 10:08	+/–
Генерируешь новый ключ на своей машине. Дальше с помощью ssh-copy-id копируете на нужные хосты, где есть старые ключи. Старые ключи удаляете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема