The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз OpenSSH 6.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз OpenSSH 6.0"  +/
Сообщение от opennews on 22-Апр-12, 13:24 
Представлен (http://lists.mindrot.org/pipermail/openssh-unix-announce/201...) релиз OpenSSH 6.0 (http://openssh.org/), открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP. Несмотря на значительный номер версии, изменений представлено относительно немного, по сравнению с прошлыми выпусками. Релиз позиционируется как корректирующий, а номер версии стоит рассматривать как плавное продолжение нумерации в десятичном исчислении, при которой после 5.9 выпускается не версия 5.10, а 6.0. Заметное  улучшение внесено только в Portable-версию, в которой добавлена поддержка специфичного для Linux нового режима изоляции "seccomp sandbox".


Основные изменения:

-  Новый режим изоляции привилегий для Linux -  "seccomp sandbox", автоматически включаемый при сборке на системах, поддерживающих данную технологию. Так как подсистема seccomp пока не включена в состав основного ядра, её поддержка в дистрибутивах сильно ограничена. Тем не менее, дело скоро должно сдвинуться с мёртвой точки, так как поддержка seccomp будет обеспечена по умолчанию в 64-разрядной сборке Ubuntu 12.04. Стимулировать интеграцию seccomp также должен факт обеспечения поддержки данной технологии в важнейших сетевых приложениях, таких как vsftpd и OpenSSH. Кроме того, компания Google намерена активировать seccomp для усиления защиты в проекте Chromium.


Принцип работы seccomp сводится (http://outflux.net/teach-seccomp/) к ограничению доступа к системным вызовам. При этом, важной особенностью является то, что логика выставляемых ограничений задаётся на уровне защищаемого приложения, а не через задание внешних ограничений, как в случае AppArmor или SELinux. В код программы добавляется структура с перечнем допустимых системных вызовов (например, ALLOW_SYSCALL) и реакции в случае несовпадения (например, KILL_PROCESS). Доступ к системным вызовам определяется в виде правил, оформленных в BPF-представлении (Berkley Packet Filter), которое получило распространение в системах фильтрации сетевых пакетов.


Система seccomp позволяет реализовывать достаточно сложные правила доступа, учитывающие передаваемые и возвращаемые аргументы. Программа сама определяет какие системные вызовы ей необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, что позволяет ограничить возможности атакующего в случае эксплуатации уязвимости в защищённом при помощи seccomp приложении. Возможность задания фильтров аргументов позволяет также защититься от большинства атак, эксплуатирующих уязвимости в системных вызовах. Например, выявленные за последние годы критические уязвимости в glibc и ядре Linux, такие как AF_CAN (http://sota.gen.nz/af_can/), sock_sendpage (http://blog.cr0.org/2009/08/linux-null-pointer-dereference-d...) и sys_tee (http://www.juniper.net/security/auto/vulnerabilities/vuln228...),  успешно блокируются при надлежащем использовании seccomp.

-  В ssh-keygen добавлены дополнительные точки контроля для экранирования модулей;
-  В ssh-add добавлена опция "-k" для загрузки только ключей, пропуская загрузку сертификатов;
-  В sshd добавлена поддержка указания масок в опции PermitOpen. Например, теперь можно указывать такие правила, как "PermitOpen localhost:*";
-  В ssh реализована возможность отмены локального или удалённого переброса портов, осуществлённого через мультиплексированный сокет, обслуживающих также другие соединения. Для отмены проброса следует использовать "ssh -O cancel -L xx:xx:xx -R yy:yy:yy user_at_host";
-  Поддержка отмены локального/динамического проброса из командной строки, активируемой через "~C";
-  Добавлена опциональная поддержка LDNS,  библиотеки для выполнения DNS-запросов (resolver), поддерживающей DNSSEC и распространяемой под лицензией BSD;
-  Устранены проблемы со сборкой во FreeBSD, при использовании варианта libutil с функцией openpty(), но без  login();
-  Налажена сборка на основании включённого в состав spec-файла для создания RPM-пакетов;
-  Переработана проверка версии OpenSSL, что позволяет запускать исполняемые файлы OpenSSH с более новыми ветками OpenSSL, чем использовались для сборки (ранее проверялась только версия патча, т.е. если OpenSSH собран с 1.0.0h, то он работал с 1.0.0i, а теперь ещё будет работать и с 1.0.1a);
-  Устранено несколько утечек памяти и файловых дескрипторов.

URL: http://lists.mindrot.org/pipermail/openssh-unix-announce/201...
Новость: https://www.opennet.ru/opennews/art.shtml?num=33654

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

4. "Релиз OpenSSH 6.0"  –1 +/
Сообщение от bircoph (ok) on 22-Апр-12, 14:34 
С чего это seccomp нет в ванильном ядре?
CONFIG_SECCOMP=y
даже в 2.6.38 (ванилька)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Релиз OpenSSH 6.0"  +/
Сообщение от Аноним (??) on 22-Апр-12, 15:28 
Автор новости путает seccomp и seccomp filter.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Релиз OpenSSH 6.0"  +1 +/
Сообщение от Xasd (ok) on 22-Апр-12, 16:27 
> Автор новости путает seccomp и seccomp filter.

или просто сократил, так как очевидно: "Мы говорим ленин, подразумеваем -- Партия. ..."

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Релиз OpenSSH 6.0"  –1 +/
Сообщение от Аноним (??) on 22-Апр-12, 16:49 
Ты ещё предложи GNU/Linux до Linux сократить.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Релиз OpenSSH 6.0"  –1 +/
Сообщение от Аноним (??) on 22-Апр-12, 18:18 
> Ты ещё предложи GNU/Linux до Linux сократить.

Это уже слишком сложно.
Сначала надо разобраться: Linux и Linus - это муж и жена или два совершенно разных человека?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Релиз OpenSSH 6.0"  +2 +/
Сообщение от Аноним (??) on 22-Апр-12, 18:49 
> два совершенно разных человека?

А Слава КПСС - вообще не человек!

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Релиз OpenSSH 6.0"  +3 +/
Сообщение от Анон on 22-Апр-12, 21:16 
Человек. Зовут Слава, фамилия КПСС. Коренной москвич.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Релиз OpenSSH 6.0"  +/
Сообщение от Аноним (??) on 22-Апр-12, 21:17 
В OpenSSH seccomp filter, а не просто seccomp.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Релиз OpenSSH 6.0"  +/
Сообщение от pavlinux (ok) on 22-Апр-12, 23:04 
> добавлена поддержка специфичного

Правильно, защищенные соединения тоже надо защищать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Релиз OpenSSH 6.0"  –1 +/
Сообщение от Аноним (??) on 23-Апр-12, 11:23 
For Slackware 13.37 - ftp://ifconfig.com.ua/pub/Software/Linux/Slackware/Network/R.../
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Релиз OpenSSH 6.0"  +/
Сообщение от Kibab email(ok) on 23-Апр-12, 12:47 
Отличная новость про seccomp sandboxing. Значит, на FreeBSD будет легче запилить Capsicum на то же место.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Релиз OpenSSH 6.0"  +/
Сообщение от x0r (??) on 23-Апр-12, 13:16 
новый способ убить удаленный процесс)) а так да - полезная штука
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Релиз OpenSSH 6.0"  +/
Сообщение от XoRe (ok) on 24-Апр-12, 01:27 
>> добавлена поддержка специфичного
> Правильно, защищенные соединения тоже надо защищать.

Защищающий защищатор для защищения)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Релиз OpenSSH 6.0"  –1 +/
Сообщение от Kibab email(ok) on 24-Апр-12, 01:55 
Аккурат к 142-й годовщине рождения Вождя Мирового Пролетариата. Ура, товарищи!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру