Portable OpenSSH

Portable OpenSSH - это программный проект с открытым исходным кодом, портативная версия пакета протоколов OpenSSH (Open Source Secure Shell) для сетевых подключений, которые сегодня используются в Интернете все большим числом людей , Он был разработан со смещения для шифрования всего сетевого трафика, включая пароли, для эффективного устранения потенциальных атак, которые вы не можете предсказать, таких как попытки захвата соединения или подслушивания.

Ключевые особенности включают сильное шифрование на основе алгоритмов Blowfish, AES, 3DES и Arcfour, переадресацию X11 путем шифрования трафика системы X Window, надежную аутентификацию на основе протоколов Kerberos Authentication, Public Key и One-Time Password, а также переадресация портов путем шифрования каналов для устаревших протоколов.

Кроме того, программное обеспечение поставляется с переадресацией агента на основе спецификации SSO (Single-Sign-On), передачи билетов AFS и Kerberos, поддержки клиента и сервера SFTP (Secure FTP) в протоколах SSH1 и SSH2, сжатие данных , и совместимость, что позволяет программе соответствовать стандартам протокола SSH 1.3, 1.5 и 2.0.

Включают?

После установки OpenSSH автоматически заменит служебные программы Telnet и rlogin программой SSH (Secure Shell), а также инструментом FTP с SFTP и RCP с помощью SCP. Кроме того, он включает в себя демон SSH (sshd) и различные полезные утилиты, такие как ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan и sftp-сервер.

Весь проект написан на языке программирования C, и он распространяется как универсальный архив источников для всех операционных систем GNU / Linux, позволяя установить его на 32-разрядных или 64-разрядных (рекомендуемых) компьютерах.

Обратите внимание, что для источников tarball вам необходимо настроить и скомпилировать проект до установки, поэтому мы настоятельно рекомендуем конечным пользователям попытаться установить его из стандартных программных репозиториев их операционной системы GNU / Linux.

Что нового в этой версии:

• ssh (1), sshd (8): Исправить компиляцию, автоматически отключив шифры, не поддерживаемые OpenSSL. BZ # 2466
• misc: Исправить ошибки компиляции в некоторых версиях компилятора AIX, связанные с определением макроса VA_COPY. BZ # 2589
• sshd (8): белый список содержит больше архитектур, чтобы включить изолированную среду seccomp-bpf. BZ # 2590
• ssh-agent (1), sftp-server (8): Отключить трассировку процесса на Solaris с помощью setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): В Solaris не вызывайте Solaris setproject () с помощью UsePAM = да, это ответственность PAM. BZ # 2425

Что нового в версии:

• ssh (1), sshd (8): Исправить компиляцию автоматически отключая шифры, не поддерживаемые OpenSSL. BZ # 2466
• misc: Исправить ошибки компиляции в некоторых версиях компилятора AIX, связанные с определением макроса VA_COPY. BZ # 2589
• sshd (8): белый список содержит больше архитектур, чтобы включить изолированную среду seccomp-bpf. BZ # 2590
• ssh-agent (1), sftp-server (8): Отключить трассировку процесса на Solaris с помощью setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): В Solaris не вызывайте Solaris setproject () с помощью UsePAM = да, это ответственность PAM. BZ # 2425

Что нового в версии 7.4p1:

• ssh (1), sshd (8): Исправить компиляцию, автоматически отключив шифры, не поддерживаемые OpenSSL. BZ # 2466
• misc: Исправить ошибки компиляции в некоторых версиях компилятора AIX, связанные с определением макроса VA_COPY. BZ # 2589
• sshd (8): белый список содержит больше архитектур, чтобы включить изолированную среду seccomp-bpf. BZ # 2590
• ssh-agent (1), sftp-server (8): Отключить трассировку процесса на Solaris с помощью setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): В Solaris не вызывайте Solaris setproject () с помощью UsePAM = да, это ответственность PAM. BZ # 2425

Что нового в версии 7.3p1:

• ssh (1), sshd (8): Исправить компиляцию, автоматически отключив шифры, не поддерживаемые OpenSSL. BZ # 2466
• misc: Исправить ошибки компиляции в некоторых версиях компилятора AIX, связанные с определением макроса VA_COPY. BZ # 2589
• sshd (8): белый список содержит больше архитектур, чтобы включить изолированную среду seccomp-bpf. BZ # 2590
• ssh-agent (1), sftp-server (8): Отключить трассировку процесса на Solaris с помощью setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): В Solaris не вызывайте Solaris setproject () с помощью UsePAM = да, это ответственность PAM. BZ # 2425

Что нового в версии 7.2p2:

• Исправления:
• ssh (1), sshd (8): добавьте обходные пути совместимости для FuTTY
• ssh (1), sshd (8): уточнить обходные пути совместимости для WinSCP
• Исправьте количество ошибок памяти (без двойного освобождения, без неинициализированной памяти и т. д.) в ssh (1) и ssh-keygen (1). Сообщается Матеушем Кочельски.

Что нового в версии 7.1p1:

<литий> Исправления:
• ssh (1), sshd (8): добавьте обходные пути совместимости для FuTTY
• ssh (1), sshd (8): уточнить обходные пути совместимости для WinSCP
• Исправьте количество ошибок памяти (без двойного освобождения, без неинициализированной памяти и т. д.) в ssh (1) и ssh-keygen (1). Сообщается Матеушем Кочельски.

Что нового в версии 6.9p1:

• sshd (8): Формат UsePAM при использовании sshd -T, часть bz # 2346
• Ищите '$ {host} -ar' до 'ar', упрощая кросс-компиляцию; BZ # 2352.
• Несколько переносных исправлений компиляции: bz # 2402, bz # 2337, bz # 2370
• модули (5): обновить модули DH-GEX

Что нового в версии 6.8p1:

• Поддержка --without-openssl во время настройки. Отключает и удаляет зависимость от OpenSSL. Многие функции, включая протокол SSH 1, не поддерживаются, и набор криптографических параметров сильно ограничен. Это будет работать только на системах с родным arc4random или / dev / urandom. На данный момент считается экспериментальным.
• Поддержка - без выбора ssh1 во время настройки. Позволяет отключить поддержку протокола SSH 1.
• sshd (8): исправить компиляцию в системах с поддержкой IPv6 в utmpx; BZ # 2296
• Разрешить настраиваемое имя службы для sshd в Cygwin. Разрешает использование нескольких sshd с разными именами служб.

Что нового в версии 6.7p1:

• Portable OpenSSH теперь поддерживает создание против libressl-портативного.
• Портативный OpenSSH теперь требует openssl 0.9.8f или больше. Старые версии больше не поддерживаются.
• В проверке версии OpenSSL разрешите обновление версии исправления (но не снижайтесь. Ошибка Debian # 748150.
• sshd (8): В Cygwin определите пользователя разделения полномочий во время выполнения, так как это может быть учетная запись домена.
• sshd (8): не пытайтесь использовать vhangup в Linux. Он не работает для пользователей без полномочий root, и для них он просто испортил настройки tty.
• Используйте CLOCK_BOOTTIME в предпочтении CLOCK_MONOTONIC, когда он доступен. Он считает, что время приостановлено, тем самым гарантируя, что тайм-ауты (например, для ключей истекающего агента) срабатывают правильно. BZ # 2228
• Добавить поддержку для ed25519 в скрипт opensshd.init init.
• sftp-server (8): на платформах, которые его поддерживают, используйте prctl (), чтобы предотвратить доступ sftp-сервера к / proc / self / {mem, maps}

Что нового в версии 6.5p1:

• Новые функции:
• ssh (1), sshd (8): добавьте поддержку обмена ключами с помощью эллиптической кривой Диффи Хеллмана в Curve25519 Даниэля Бернштейна. Этот метод обмена ключами используется по умолчанию, когда и клиент, и сервер поддерживают его.
• ssh (1), sshd (8): добавьте поддержку для Ed25519 в качестве типа открытого ключа. Ed25519 является схемой подписи эллиптической кривой, которая обеспечивает лучшую безопасность, чем ECDSA и DSA, и хорошую производительность. Он может использоваться как для ключей пользователя, так и для хоста.
• Добавить новый формат закрытого ключа, в котором используется Bcrypt KDF для лучшей защиты ключей в состоянии покоя. Этот формат используется безоговорочно для ключей Ed25519, но может запрашиваться при создании или сохранении существующих ключей других типов с помощью опции -o ssh-keygen (1). Мы намерены сделать новый формат дефолтом в ближайшем будущем. Подробная информация о новом формате содержится в файле PROTOCOL.key.
• ssh (1), sshd (8): Добавить новый транспортный шифр "chacha20-poly1305@openssh.com" который объединяет потоковый шифр Даниэля Бернштейна ChaCha20 и Poly1305 MAC для создания аутентифицированного режима шифрования. Подробности находятся в файле PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): Отказаться от ключей RSA от старых патентованных клиентов и серверов, использующих устаревшую схему подписи RSA + MD5. По-прежнему можно будет подключаться к этим клиентам / серверам, но будут приняты только ключи DSA, и OpenSSH полностью откажется от подключения в будущей версии.
• ssh (1), sshd (8): Отказаться от старых проприетарных клиентов и серверов, использующих более слабый хэш-обмен обмена.
• ssh (1): Увеличьте размер групп Diffie-Hellman, запрошенных для каждого симметричного размера ключа. Новые значения из специальной публикации NIST 800-57 с верхним пределом, указанным в RFC4419.
• ssh (1), ssh-agent (1): поддержка pkcs # 11 tokes, которые предоставляют только сертификаты X.509 вместо необработанных открытых ключей (запрошены как bz # 1908).
• ssh (1): Добавить ssh_config (5) "Match & quot; ключевое слово, которое позволяет применять условную конфигурацию путем сопоставления имени хоста, пользователя и результата произвольных команд.
• ssh (1): добавьте поддержку canonicalisation имени хоста на стороне клиента, используя набор DNS-суффиксов и правил в ssh_config (5). Это позволяет использовать неквалифицированные имена для полнофункциональных доменных имен, чтобы устранить неоднозначность при поиске ключей в known_hosts или проверке имен хостов.
• sftp-server (8): добавьте возможность запроса белого списка и / или черного списка sftp по имени.
• sftp-server (8): добавьте sftp & quot; fsync@openssh.com" для поддержки вызова fsync (2) в дескрипторе открытого файла.
• sshd (8): добавьте ssh_config (5) PermitTTY, чтобы запретить выделение TTY, зеркалируя давнюю опцию no-pty authorized_keys.
• ssh (1): Добавить параметр ssh_config ProxyUseFDPass, который поддерживает использование ProxyCommands, которые устанавливают соединение, а затем передают связанный файловый дескриптор обратно в ssh (1). Это позволяет ProxyCommand выйти, а не оставаться рядом для передачи данных.
• Bugfixes:
• ssh (1), sshd (8): Исправить потенциальное истощение стека, вызванное вложенными сертификатами.
• ssh (1): bz # 1211: заставить BindAddress работать с UsePrivilegedPort.
• sftp (1): bz # 2137: исправить индикатор выполнения для возобновленной передачи.
• ssh-add (1): bz # 2187: не запрашивайте PIN-код смарт-карты при удалении ключей из ssh-agent.
• sshd (8): bz # 2139: исправить реэкструмент, если исходный двоичный файл sshd не может быть выполнен.
• ssh-keygen (1): Сделать относительное время истечения срока действия сертификата относительно текущего времени, а не время начала действия.
• sshd (8): bz # 2161: исправить AuthorizedKeysCommand внутри блока соответствия.
• sftp (1): bz # 2129: символическая ссылка на файл будет неправильно канонизировать целевой путь.
• ssh-agent (1): bz # 2175: исправить бесполезное использование в исполняемом программном агенте PKCS # 11.
• sshd (8): улучшите протоколирование сеансов, чтобы включить имя пользователя, удаленный хост и порт, тип сеанса (оболочка, команда и т. д.) и назначенный TTY (если есть).
• sshd (8): bz # 1297: сообщите клиенту (через сообщение отладки), когда их предпочтительный адрес прослушивания был переопределен настройкой GatewayPorts сервера.
• sshd (8): bz # 2162: включить порт отчета в сообщение баннера плохих протоколов.
• sftp (1): bz # 2163: исправить утечку памяти в пути ошибок в do_readdir ().
• sftp (1): bz # 2171: не пропустите файловый дескриптор при ошибке.
• sshd (8): включить локальный адрес и порт в «Соединение из ...». сообщение (отображается только в loglevel & gt; = verbose).
• Portable OpenSSH:
• Обратите внимание, что это последняя версия Portable OpenSSH, которая будет поддерживать версии OpenSSL до 0.9.6. Поддержка (т. Е. SSH_OLD_EVP) будет удалена после релиза 6.5p1.
• Portable OpenSSH попытается скомпилировать и связать как независимую от позиции позицию в Linux, OS X и OpenBSD для последних компиляторов gcc-like. Другие платформы и старые / другие компиляторы могут запросить это с помощью флага configure -with-pie.
• Ряд других параметров упрочнения, связанных с привязкой к привязке, используются автоматически, если они доступны, в том числе -ftrapv, чтобы прервать свернутое целочисленное переполнение и параметры для записи информации о динамической компоновке. Использование этих параметров может быть отключено с помощью флага --without-hardening configure.
• Если инструментальная привязка поддерживает его, один из флагов -fstack-protector-strong, -fstack-protector-all или -fstack-protector используется для добавления защит для уменьшения атак на основе переполнения стека. Использование этих параметров может быть отключено с помощью параметра -without-stackprotect configure.
• sshd (8): добавьте поддержку для предварительного тестирования изолированной программы, используя API Capsicum, введенный во FreeBSD 10.
• Перейдите на arc4random () PRNG на основе ChaCha20 для платформ, которые не предоставляют свои собственные.
• sshd (8): bz # 2156: восстановить настройку Linux oom_adj при обработке SIGHUP для поддержания поведения по сравнению с retart.
• sshd (8): bz # 2032: используйте локальное имя пользователя в файле krb5_kuserok, а не полное имя клиента, которое может иметь форму user @ REALM.
• ssh (1), sshd (8): проверьте как наличие номеров NID ECC в OpenSSL, так и их работу. Fedora (по крайней мере) имеет NID_secp521r1, который не работает.
• bz # 2173: используйте pkg-config -libs, чтобы включить корректное -L-расположение для libedit.

Что нового в версии 6.4p1:

• В этом выпуске исправлена ​​ошибка безопасности: sshd (8) : устранить проблему с повреждением памяти, вызванную при повторном нажатии, когда выбран шифр AES-GCM. Полная информация об уязвимости доступна по адресу: http://www.openssh.com/txt/gcmrekey.adv

Что нового в версии 6.3p1:

• Особенности:
• sshd (8): добавить ssh-agent (1) поддержку sshd (8); позволяет зашифрованные ключи хоста или ключи хостов на смарт-картах.
• ssh (1) / sshd (8): разрешить необязательное временное переключение с помощью второго аргумента существующей опции RekeyLimit. RekeyLimit теперь поддерживается в sshd_config, а также на клиенте.
• sshd (8): стандартизировать ведение журнала информации во время аутентификации пользователя.
• Представленный ключ / сертификат и удаленное имя пользователя (если доступно) теперь регистрируются в сообщении об успешном завершении аутентификации в той же строке журнала, что и локальное имя пользователя, удаленный хост / порт и используемый протокол. Также регистрируются содержимое сертификатов и ключевой отпечаток подписанного CA.
• Включение всей соответствующей информации в одну строку упрощает анализ журнала, поскольку нет необходимости связывать информацию, разбросанную по нескольким лог-файлам.
• ssh (1): добавьте возможность запроса, какие шифры, алгоритмы MAC, типы ключей и методы обмена ключами поддерживаются в двоичном формате.
• ssh (1): поддержка ProxyCommand = - разрешить случаи поддержки, когда stdin и stdout уже указывают на прокси-сервер.
• ssh (1): разрешить IdentityFile = none
• ssh (1) / sshd (8): добавить параметр -E в ssh и sshd для добавления журналов отладки в указанный файл вместо stderr или syslog.
• sftp (1): добавить поддержку для возобновления частичных загрузок с использованием «reget». команды и в командной строке sftp или в "get & quot; с использованием команды "-a" (добавить).
• ssh (1): добавить "IgnoreUnknown" конфигурации, чтобы выборочно подавлять ошибки, возникающие из неизвестных конфигурационных директив.
• sshd (8): добавьте поддержку подтемов, которые будут добавлены к требуемым методам проверки подлинности, перечисленным через методы аутентификации.
• Bugfixes:
• sshd (8): исправить отказ принять сертификат, если ключ ключа другого типа к ключу CA появился в authorized_keys перед ключом CA.
• ssh (1) / ssh-agent (1) / sshd (8): используйте монотонный источник времени для таймеров, чтобы такие вещи, как keepalives и rekeying, работали должным образом с шагами.
• sftp (1): обновить progressmeter при подтверждении данных, а не при его отправке. BZ # 2108
• ssh (1) / ssh-keygen (1): улучшать сообщения об ошибках, когда текущий пользователь не существует в / etc / passwd; BZ # 2125
• ssh (1): сбросить порядок проверки открытых ключей после частичной проверки подлинности.
• ssh-agent (1): очистить файлы сокетов после SIGINT в режиме отладки; BZ # 2120
• ssh (1) и другие: избегайте путаных сообщений об ошибках в случае разбитых конфигураций системных резольверов; BZ # 2122
• ssh (1): установить TCP nodelay для соединений, запущенных с -N; BZ # 2124
• ssh (1): исправить руководство по разрешению на ~ / .ssh / config; BZ # 2078
• ssh (1): исправить тайм-аут ControlPersist не запускается в случаях, когда TCP-соединения зависли. BZ # 1917
• ssh (1): надлежащим образом удалите мастер ControlPersist из управляющего терминала.
• sftp (1): избегать сбоев в libedit, когда он был скомпилирован с поддержкой многобайтовых символов. BZ # 1990
• sshd (8): при запуске sshd -D закройте stderr, если мы явно не запросили вход в stderr. BZ # 1976,
• ssh (1): исправить неполное bzero; BZ # 2100
• sshd (8): журнал и ошибка и выход, если ChrootDirectory указан и работает без привилегий root.
• Много улучшений в наборе тестов регрессии. В частности, файлы журналов теперь сохраняются из ssh и sshd после сбоев.
• Исправьте количество утечек памяти. bz # 1967 bz # 2096 и другие
• sshd (8): исправить проверку открытого ключа, когда к запрошенному имени пользователя добавлен стиль:
• ssh (1): не выходить из строя, когда вы пытаетесь очистить созданные каналы мультиплексирования, которые не полностью открыты. BZ # 2079
• Portable OpenSSH:
• Капитальный ремонт contrib / cygwin / README
• Исправить неуправляемые обращения в umac.c для архитектур с строгим выравниванием. BZ # 2101
• Включить -Wsizeof-pointer-memaccess, если компилятор поддерживает его. BZ # 2100
• Исправить неверные ошибки отчетности командной строки. BZ # 1448
• Используйте только методы обмена ключами SHA256 и ECC, если libcrypto имеет необходимую поддержку.
• Исправить ошибку в динамическом коде пересылки SOCKS5 на архитектурах с строгим выравниванием.
• Множество исправлений для переносимости для Android: * Не пытайтесь использовать lastlog на Android; bz # 2111 * Возвратитесь к использованию функции DES_crypt от openssl на платормах, которые не имеют функции native crypt (); bz # 2112 * Тест для fd_mask, howmany и NFDBITS вместо того, чтобы пытаться перечислить формы, которые их не имеют. bz # 2085 * Замените S_IWRITE, который не является стандартизованным, с S_IWUSR, который есть. bz # 2085 * Добавьте нулевую реализацию endgrent для платформ, у которых ее нет (например, Android) bz # 2087 * Поддерживаемые платформы, такие как Android, которым не хватает struct passwd.pw_gecos. BZ # 2086

Что нового в версии 6.2p2:

• sshd (8): песочница Linux seccomp-filter теперь поддерживается на ARM платформах, где это поддерживает ядро.
• sshd (8): песочница seccomp-filter не будет включена, если заголовки системы поддерживают ее во время компиляции, независимо от того, можно ли ее активировать. Если система времени выполнения не поддерживает seccomp-filter, sshd вернется к псевдо-песочнице rlimit.
• ssh (1): Не связывайтесь в библиотеках Kerberos. Они не нужны на клиенте, просто на sshd (8). BZ # 2072
• Исправить связь GSSAPI с Solaris, которая использует библиотеку GSSAPI с иными именами. BZ # 2073
• Исправить компиляцию в системах с openssl-1.0.0-fips.
• Исправить ряд ошибок в файлах спецификации RPM.

Что нового в версии 5.8p1:

• Исходные исправления OpenSSH:
• Исключить сбой компиляции при включении поддержки SELinux.
• Не пытайтесь вызывать функции SELinux, когда SELinux отключен. BZ # 1851