Portable OpenSSH - это программный проект с открытым исходным кодом, портативная версия пакета протоколов OpenSSH (Open Source Secure Shell) для сетевых подключений, которые сегодня используются в Интернете все большим числом людей , Он был разработан со смещения для шифрования всего сетевого трафика, включая пароли, для эффективного устранения потенциальных атак, которые вы не можете предсказать, таких как попытки захвата соединения или подслушивания.
Особенности с первого взгляда
Ключевые особенности включают сильное шифрование на основе алгоритмов Blowfish, AES, 3DES и Arcfour, переадресацию X11 путем шифрования трафика системы X Window, надежную аутентификацию на основе протоколов Kerberos Authentication, Public Key и One-Time Password, а также переадресация портов путем шифрования каналов для устаревших протоколов.
Кроме того, программное обеспечение поставляется с переадресацией агента на основе спецификации SSO (Single-Sign-On), передачи билетов AFS и Kerberos, поддержки клиента и сервера SFTP (Secure FTP) в протоколах SSH1 и SSH2, сжатие данных , и совместимость, что позволяет программе соответствовать стандартам протокола SSH 1.3, 1.5 и 2.0.
Включают?
После установки OpenSSH автоматически заменит служебные программы Telnet и rlogin программой SSH (Secure Shell), а также инструментом FTP с SFTP и RCP с помощью SCP. Кроме того, он включает в себя демон SSH (sshd) и различные полезные утилиты, такие как ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan и sftp-сервер.
Под капотом и доступность
Весь проект написан на языке программирования C, и он распространяется как универсальный архив источников для всех операционных систем GNU / Linux, позволяя установить его на 32-разрядных или 64-разрядных (рекомендуемых) компьютерах.
Обратите внимание, что для источников tarball вам необходимо настроить и скомпилировать проект до установки, поэтому мы настоятельно рекомендуем конечным пользователям попытаться установить его из стандартных программных репозиториев их операционной системы GNU / Linux.
Что нового в этой версии:
- ssh (1), sshd (8): Исправить компиляцию, автоматически отключив шифры, не поддерживаемые OpenSSL. BZ # 2466
- misc: Исправить ошибки компиляции в некоторых версиях компилятора AIX, связанные с определением макроса VA_COPY. BZ # 2589
- sshd (8): белый список содержит больше архитектур, чтобы включить изолированную среду seccomp-bpf. BZ # 2590
- ssh-agent (1), sftp-server (8): Отключить трассировку процесса на Solaris с помощью setpflags (__ PROC_PROTECT, ...). BZ # 2584
- sshd (8): В Solaris не вызывайте Solaris setproject () с помощью UsePAM = да, это ответственность PAM. BZ # 2425
Что нового в версии:
- ssh (1), sshd (8): Исправить компиляцию автоматически отключая шифры, не поддерживаемые OpenSSL. BZ # 2466
- misc: Исправить ошибки компиляции в некоторых версиях компилятора AIX, связанные с определением макроса VA_COPY. BZ # 2589
- sshd (8): белый список содержит больше архитектур, чтобы включить изолированную среду seccomp-bpf. BZ # 2590
- ssh-agent (1), sftp-server (8): Отключить трассировку процесса на Solaris с помощью setpflags (__ PROC_PROTECT, ...). BZ # 2584
- sshd (8): В Solaris не вызывайте Solaris setproject () с помощью UsePAM = да, это ответственность PAM. BZ # 2425
Что нового в версии 7.4p1:
- ssh (1), sshd (8): Исправить компиляцию, автоматически отключив шифры, не поддерживаемые OpenSSL. BZ # 2466
- misc: Исправить ошибки компиляции в некоторых версиях компилятора AIX, связанные с определением макроса VA_COPY. BZ # 2589
- sshd (8): белый список содержит больше архитектур, чтобы включить изолированную среду seccomp-bpf. BZ # 2590
- ssh-agent (1), sftp-server (8): Отключить трассировку процесса на Solaris с помощью setpflags (__ PROC_PROTECT, ...). BZ # 2584
- sshd (8): В Solaris не вызывайте Solaris setproject () с помощью UsePAM = да, это ответственность PAM. BZ # 2425
Что нового в версии 7.3p1:
- ssh (1), sshd (8): Исправить компиляцию, автоматически отключив шифры, не поддерживаемые OpenSSL. BZ # 2466
- misc: Исправить ошибки компиляции в некоторых версиях компилятора AIX, связанные с определением макроса VA_COPY. BZ # 2589
- sshd (8): белый список содержит больше архитектур, чтобы включить изолированную среду seccomp-bpf. BZ # 2590
- ssh-agent (1), sftp-server (8): Отключить трассировку процесса на Solaris с помощью setpflags (__ PROC_PROTECT, ...). BZ # 2584
- sshd (8): В Solaris не вызывайте Solaris setproject () с помощью UsePAM = да, это ответственность PAM. BZ # 2425
Что нового в версии 7.2p2:
- Исправления:
- ssh (1), sshd (8): добавьте обходные пути совместимости для FuTTY
- ssh (1), sshd (8): уточнить обходные пути совместимости для WinSCP
- Исправьте количество ошибок памяти (без двойного освобождения, без неинициализированной памяти и т. д.) в ssh (1) и ssh-keygen (1). Сообщается Матеушем Кочельски.
Что нового в версии 7.1p1:
- <литий> Исправления: литий>
- ssh (1), sshd (8): добавьте обходные пути совместимости для FuTTY
- ssh (1), sshd (8): уточнить обходные пути совместимости для WinSCP
- Исправьте количество ошибок памяти (без двойного освобождения, без неинициализированной памяти и т. д.) в ssh (1) и ssh-keygen (1). Сообщается Матеушем Кочельски.
Что нового в версии 6.9p1:
- sshd (8): Формат UsePAM при использовании sshd -T, часть bz # 2346
- Ищите '$ {host} -ar' до 'ar', упрощая кросс-компиляцию; BZ # 2352.
- Несколько переносных исправлений компиляции: bz # 2402, bz # 2337, bz # 2370
- модули (5): обновить модули DH-GEX
Что нового в версии 6.8p1:
- Поддержка --without-openssl во время настройки. Отключает и удаляет зависимость от OpenSSL. Многие функции, включая протокол SSH 1, не поддерживаются, и набор криптографических параметров сильно ограничен. Это будет работать только на системах с родным arc4random или / dev / urandom. На данный момент считается экспериментальным.
- Поддержка - без выбора ssh1 во время настройки. Позволяет отключить поддержку протокола SSH 1.
- sshd (8): исправить компиляцию в системах с поддержкой IPv6 в utmpx; BZ # 2296
- Разрешить настраиваемое имя службы для sshd в Cygwin. Разрешает использование нескольких sshd с разными именами служб.
Что нового в версии 6.7p1:
- Portable OpenSSH теперь поддерживает создание против libressl-портативного.
- Портативный OpenSSH теперь требует openssl 0.9.8f или больше. Старые версии больше не поддерживаются.
- В проверке версии OpenSSL разрешите обновление версии исправления (но не снижайтесь. Ошибка Debian # 748150.
- sshd (8): В Cygwin определите пользователя разделения полномочий во время выполнения, так как это может быть учетная запись домена.
- sshd (8): не пытайтесь использовать vhangup в Linux. Он не работает для пользователей без полномочий root, и для них он просто испортил настройки tty.
- Используйте CLOCK_BOOTTIME в предпочтении CLOCK_MONOTONIC, когда он доступен. Он считает, что время приостановлено, тем самым гарантируя, что тайм-ауты (например, для ключей истекающего агента) срабатывают правильно. BZ # 2228
- Добавить поддержку для ed25519 в скрипт opensshd.init init.
- sftp-server (8): на платформах, которые его поддерживают, используйте prctl (), чтобы предотвратить доступ sftp-сервера к / proc / self / {mem, maps}
Что нового в версии 6.5p1:
- Новые функции:
- ssh (1), sshd (8): добавьте поддержку обмена ключами с помощью эллиптической кривой Диффи Хеллмана в Curve25519 Даниэля Бернштейна. Этот метод обмена ключами используется по умолчанию, когда и клиент, и сервер поддерживают его.
- ssh (1), sshd (8): добавьте поддержку для Ed25519 в качестве типа открытого ключа. Ed25519 является схемой подписи эллиптической кривой, которая обеспечивает лучшую безопасность, чем ECDSA и DSA, и хорошую производительность. Он может использоваться как для ключей пользователя, так и для хоста.
- Добавить новый формат закрытого ключа, в котором используется Bcrypt KDF для лучшей защиты ключей в состоянии покоя. Этот формат используется безоговорочно для ключей Ed25519, но может запрашиваться при создании или сохранении существующих ключей других типов с помощью опции -o ssh-keygen (1). Мы намерены сделать новый формат дефолтом в ближайшем будущем. Подробная информация о новом формате содержится в файле PROTOCOL.key.
- ssh (1), sshd (8): Добавить новый транспортный шифр "chacha20-poly1305@openssh.com" который объединяет потоковый шифр Даниэля Бернштейна ChaCha20 и Poly1305 MAC для создания аутентифицированного режима шифрования. Подробности находятся в файле PROTOCOL.chacha20poly1305.
- ssh (1), sshd (8): Отказаться от ключей RSA от старых патентованных клиентов и серверов, использующих устаревшую схему подписи RSA + MD5. По-прежнему можно будет подключаться к этим клиентам / серверам, но будут приняты только ключи DSA, и OpenSSH полностью откажется от подключения в будущей версии.
- ssh (1), sshd (8): Отказаться от старых проприетарных клиентов и серверов, использующих более слабый хэш-обмен обмена.
- ssh (1): Увеличьте размер групп Diffie-Hellman, запрошенных для каждого симметричного размера ключа. Новые значения из специальной публикации NIST 800-57 с верхним пределом, указанным в RFC4419.
- ssh (1), ssh-agent (1): поддержка pkcs # 11 tokes, которые предоставляют только сертификаты X.509 вместо необработанных открытых ключей (запрошены как bz # 1908).
- ssh (1): Добавить ssh_config (5) "Match & quot; ключевое слово, которое позволяет применять условную конфигурацию путем сопоставления имени хоста, пользователя и результата произвольных команд.
- ssh (1): добавьте поддержку canonicalisation имени хоста на стороне клиента, используя набор DNS-суффиксов и правил в ssh_config (5). Это позволяет использовать неквалифицированные имена для полнофункциональных доменных имен, чтобы устранить неоднозначность при поиске ключей в known_hosts или проверке имен хостов.
- sftp-server (8): добавьте возможность запроса белого списка и / или черного списка sftp по имени.
- sftp-server (8): добавьте sftp & quot; fsync@openssh.com" для поддержки вызова fsync (2) в дескрипторе открытого файла.
- sshd (8): добавьте ssh_config (5) PermitTTY, чтобы запретить выделение TTY, зеркалируя давнюю опцию no-pty authorized_keys.
- ssh (1): Добавить параметр ssh_config ProxyUseFDPass, который поддерживает использование ProxyCommands, которые устанавливают соединение, а затем передают связанный файловый дескриптор обратно в ssh (1). Это позволяет ProxyCommand выйти, а не оставаться рядом для передачи данных.
- Bugfixes:
- ssh (1), sshd (8): Исправить потенциальное истощение стека, вызванное вложенными сертификатами.
- ssh (1): bz # 1211: заставить BindAddress работать с UsePrivilegedPort.
- sftp (1): bz # 2137: исправить индикатор выполнения для возобновленной передачи.
- ssh-add (1): bz # 2187: не запрашивайте PIN-код смарт-карты при удалении ключей из ssh-agent.
- sshd (8): bz # 2139: исправить реэкструмент, если исходный двоичный файл sshd не может быть выполнен.
- ssh-keygen (1): Сделать относительное время истечения срока действия сертификата относительно текущего времени, а не время начала действия.
- sshd (8): bz # 2161: исправить AuthorizedKeysCommand внутри блока соответствия.
- sftp (1): bz # 2129: символическая ссылка на файл будет неправильно канонизировать целевой путь.
- ssh-agent (1): bz # 2175: исправить бесполезное использование в исполняемом программном агенте PKCS # 11.
- sshd (8): улучшите протоколирование сеансов, чтобы включить имя пользователя, удаленный хост и порт, тип сеанса (оболочка, команда и т. д.) и назначенный TTY (если есть).
- sshd (8): bz # 1297: сообщите клиенту (через сообщение отладки), когда их предпочтительный адрес прослушивания был переопределен настройкой GatewayPorts сервера.
- sshd (8): bz # 2162: включить порт отчета в сообщение баннера плохих протоколов.
- sftp (1): bz # 2163: исправить утечку памяти в пути ошибок в do_readdir ().
- sftp (1): bz # 2171: не пропустите файловый дескриптор при ошибке.
- sshd (8): включить локальный адрес и порт в «Соединение из ...». сообщение (отображается только в loglevel & gt; = verbose).
- Portable OpenSSH:
- Обратите внимание, что это последняя версия Portable OpenSSH, которая будет поддерживать версии OpenSSL до 0.9.6. Поддержка (т. Е. SSH_OLD_EVP) будет удалена после релиза 6.5p1.
- Portable OpenSSH попытается скомпилировать и связать как независимую от позиции позицию в Linux, OS X и OpenBSD для последних компиляторов gcc-like. Другие платформы и старые / другие компиляторы могут запросить это с помощью флага configure -with-pie.
- Ряд других параметров упрочнения, связанных с привязкой к привязке, используются автоматически, если они доступны, в том числе -ftrapv, чтобы прервать свернутое целочисленное переполнение и параметры для записи информации о динамической компоновке. Использование этих параметров может быть отключено с помощью флага --without-hardening configure.
- Если инструментальная привязка поддерживает его, один из флагов -fstack-protector-strong, -fstack-protector-all или -fstack-protector используется для добавления защит для уменьшения атак на основе переполнения стека. Использование этих параметров может быть отключено с помощью параметра -without-stackprotect configure.
- sshd (8): добавьте поддержку для предварительного тестирования изолированной программы, используя API Capsicum, введенный во FreeBSD 10.
- Перейдите на arc4random () PRNG на основе ChaCha20 для платформ, которые не предоставляют свои собственные.
- sshd (8): bz # 2156: восстановить настройку Linux oom_adj при обработке SIGHUP для поддержания поведения по сравнению с retart.
- sshd (8): bz # 2032: используйте локальное имя пользователя в файле krb5_kuserok, а не полное имя клиента, которое может иметь форму user @ REALM.
- ssh (1), sshd (8): проверьте как наличие номеров NID ECC в OpenSSL, так и их работу. Fedora (по крайней мере) имеет NID_secp521r1, который не работает.
- bz # 2173: используйте pkg-config -libs, чтобы включить корректное -L-расположение для libedit.
Что нового в версии 6.4p1:
- В этом выпуске исправлена ошибка безопасности: sshd (8) : устранить проблему с повреждением памяти, вызванную при повторном нажатии, когда выбран шифр AES-GCM. Полная информация об уязвимости доступна по адресу: http://www.openssh.com/txt/gcmrekey.adv
Что нового в версии 6.3p1:
- Особенности:
- sshd (8): добавить ssh-agent (1) поддержку sshd (8); позволяет зашифрованные ключи хоста или ключи хостов на смарт-картах.
- ssh (1) / sshd (8): разрешить необязательное временное переключение с помощью второго аргумента существующей опции RekeyLimit. RekeyLimit теперь поддерживается в sshd_config, а также на клиенте.
- sshd (8): стандартизировать ведение журнала информации во время аутентификации пользователя.
- Представленный ключ / сертификат и удаленное имя пользователя (если доступно) теперь регистрируются в сообщении об успешном завершении аутентификации в той же строке журнала, что и локальное имя пользователя, удаленный хост / порт и используемый протокол. Также регистрируются содержимое сертификатов и ключевой отпечаток подписанного CA.
- Включение всей соответствующей информации в одну строку упрощает анализ журнала, поскольку нет необходимости связывать информацию, разбросанную по нескольким лог-файлам.
- ssh (1): добавьте возможность запроса, какие шифры, алгоритмы MAC, типы ключей и методы обмена ключами поддерживаются в двоичном формате.
- ssh (1): поддержка ProxyCommand = - разрешить случаи поддержки, когда stdin и stdout уже указывают на прокси-сервер.
- ssh (1): разрешить IdentityFile = none
- ssh (1) / sshd (8): добавить параметр -E в ssh и sshd для добавления журналов отладки в указанный файл вместо stderr или syslog.
- sftp (1): добавить поддержку для возобновления частичных загрузок с использованием «reget». команды и в командной строке sftp или в "get & quot; с использованием команды "-a" (добавить).
- ssh (1): добавить "IgnoreUnknown" конфигурации, чтобы выборочно подавлять ошибки, возникающие из неизвестных конфигурационных директив.
- sshd (8): добавьте поддержку подтемов, которые будут добавлены к требуемым методам проверки подлинности, перечисленным через методы аутентификации.
- Bugfixes:
- sshd (8): исправить отказ принять сертификат, если ключ ключа другого типа к ключу CA появился в authorized_keys перед ключом CA.
- ssh (1) / ssh-agent (1) / sshd (8): используйте монотонный источник времени для таймеров, чтобы такие вещи, как keepalives и rekeying, работали должным образом с шагами.
- sftp (1): обновить progressmeter при подтверждении данных, а не при его отправке. BZ # 2108
- ssh (1) / ssh-keygen (1): улучшать сообщения об ошибках, когда текущий пользователь не существует в / etc / passwd; BZ # 2125
- ssh (1): сбросить порядок проверки открытых ключей после частичной проверки подлинности.
- ssh-agent (1): очистить файлы сокетов после SIGINT в режиме отладки; BZ # 2120
- ssh (1) и другие: избегайте путаных сообщений об ошибках в случае разбитых конфигураций системных резольверов; BZ # 2122
- ssh (1): установить TCP nodelay для соединений, запущенных с -N; BZ # 2124
- ssh (1): исправить руководство по разрешению на ~ / .ssh / config; BZ # 2078
- ssh (1): исправить тайм-аут ControlPersist не запускается в случаях, когда TCP-соединения зависли. BZ # 1917
- ssh (1): надлежащим образом удалите мастер ControlPersist из управляющего терминала.
- sftp (1): избегать сбоев в libedit, когда он был скомпилирован с поддержкой многобайтовых символов. BZ # 1990
- sshd (8): при запуске sshd -D закройте stderr, если мы явно не запросили вход в stderr. BZ # 1976,
- ssh (1): исправить неполное bzero; BZ # 2100
- sshd (8): журнал и ошибка и выход, если ChrootDirectory указан и работает без привилегий root.
- Много улучшений в наборе тестов регрессии. В частности, файлы журналов теперь сохраняются из ssh и sshd после сбоев.
- Исправьте количество утечек памяти. bz # 1967 bz # 2096 и другие
- sshd (8): исправить проверку открытого ключа, когда к запрошенному имени пользователя добавлен стиль:
- ssh (1): не выходить из строя, когда вы пытаетесь очистить созданные каналы мультиплексирования, которые не полностью открыты. BZ # 2079
- Portable OpenSSH:
- Капитальный ремонт contrib / cygwin / README
- Исправить неуправляемые обращения в umac.c для архитектур с строгим выравниванием. BZ # 2101
- Включить -Wsizeof-pointer-memaccess, если компилятор поддерживает его. BZ # 2100
- Исправить неверные ошибки отчетности командной строки. BZ # 1448
- Используйте только методы обмена ключами SHA256 и ECC, если libcrypto имеет необходимую поддержку.
- Исправить ошибку в динамическом коде пересылки SOCKS5 на архитектурах с строгим выравниванием.
- Множество исправлений для переносимости для Android: * Не пытайтесь использовать lastlog на Android; bz # 2111 * Возвратитесь к использованию функции DES_crypt от openssl на платормах, которые не имеют функции native crypt (); bz # 2112 * Тест для fd_mask, howmany и NFDBITS вместо того, чтобы пытаться перечислить формы, которые их не имеют. bz # 2085 * Замените S_IWRITE, который не является стандартизованным, с S_IWUSR, который есть. bz # 2085 * Добавьте нулевую реализацию endgrent для платформ, у которых ее нет (например, Android) bz # 2087 * Поддерживаемые платформы, такие как Android, которым не хватает struct passwd.pw_gecos. BZ # 2086
Что нового в версии 6.2p2:
- sshd (8): песочница Linux seccomp-filter теперь поддерживается на ARM платформах, где это поддерживает ядро.
- sshd (8): песочница seccomp-filter не будет включена, если заголовки системы поддерживают ее во время компиляции, независимо от того, можно ли ее активировать. Если система времени выполнения не поддерживает seccomp-filter, sshd вернется к псевдо-песочнице rlimit.
- ssh (1): Не связывайтесь в библиотеках Kerberos. Они не нужны на клиенте, просто на sshd (8). BZ # 2072
- Исправить связь GSSAPI с Solaris, которая использует библиотеку GSSAPI с иными именами. BZ # 2073
- Исправить компиляцию в системах с openssl-1.0.0-fips.
- Исправить ряд ошибок в файлах спецификации RPM.
Что нового в версии 5.8p1:
- Исходные исправления OpenSSH:
- Исключить сбой компиляции при включении поддержки SELinux.
- Не пытайтесь вызывать функции SELinux, когда SELinux отключен. BZ # 1851
Комментарии не найдены