Релиз OpenSSH 6.2

22.03.2013 09:43

Доступен релиз OpenSSH 6.2, открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.

Из наиболее заметных улучшений можно отметить:

Добавлена возможность использования сразу нескольких обязательных методов аутентификации в протоколе SSH 2. Список методов задаётся через новую директиву конфигурации AuthenticationMethods, в которой через запятую перечисляются имена одного или нескольких методов аутентификации. Необходимым условием завершения аутентификации является успешное завершение каждого из перечисленных методов. Например, можно указать о необходимости прохождения аутентификации по открытому ключу или GSSAPI, перед началом аутентификации по паролю;
В реализацию протокола SSH 2 добавлена поддержка аутентифицированного шифрования с использованием блочного шифра AES-GCM, позволяющего гарантировать целостность передаваемого шифрованного потока. Новые шифры доступны как aes128-gcm и aes256-gcm и используют одинаковый формат пакетов при работе в режиме AES-GCM, определённом в RFC 5647, в сочетании с упрощёнными и изменёнными правила выбора в процессе обмена ключами;
В реализацию протокола SSH 2 добавлена и задействована по умолчанию поддержка EtM-режимов (encrypt-then-mac) подстановки MAC (Message Authentication Code). Отличие новых режимов состоит в том, что вычисление MAC производится на основании размера пакета и уже зашифрованного пакета, а не на основании незашифрованных данных. Подобный подход рассматривается как более безопасный;
Добавлена поддержка алгоритма вычисления MAC-кодов UMAC-128 для использования в режиме encrypt-then-mac;
В sshd и ssh-keygen добавлена поддержка KRL (Key Revocation Lists), компактного бинарного формата для представления списков отозванных ключей и сертификатов, требующего всего одного дополнительного бита на каждый сертификат, отозванный по серийному номеру. Для генерации KRL может применяться утилита ssh-keygen. Загрузка в sshd осуществляется через указания пути к файлу через директиву RevokedKeys;
Директива настройки sshd AllowTcpForwarding теперь поддерживает параметры "local" и "remote" в дополнение к ранее применяемым значениям "yes" и "no". Использование новых параметров позволяет отдельно разрешить локальное или внешнее перенаправление соединений;
Добавлена новая директива AuthorizedKeysCommand для настройки в sshd загрузки содержимого authorized_keys в форме принятия вывода произвольной команды, а не только в форме открытия готового файла. Идентификатор пользователя, под которым выполняется команда для динамической генерации authorized_keys задаётся через директиву AuthorizedKeysCommandUser;
В sftp-server добавлена поддержка опции "-d" с указанием начальной директории, что позволяет выбрать путь, отличный от домашней директории пользователя;
В ssh-keygen добавлена поддержка создания слепков ключей (fingerprinting), размещённых в хранилищах PKCS#11. Для создания слепка нужно использовать команду "ssh-keygen -lD pkcs11_provider";
При использовании протокола SSH2 в ssh, который используется по умолчанию, отныне заголовок с версией протокола SSH отправляется клиентом сразу, не дожидаясь ответа с версией протокола от сервера, что позволяет сократить время на установку соединения;
В команду ssh добавлена поддержка escape-последовательностей "~v" и "~V" для увеличения или уменьшения детализации лога. Escape-команда "-?" теперь выводит подсказку в зависимости от контекста и показывает справку только по командам, допустимым в текущей ситуации;
В переносимой версии sshd поддержка режима изоляции с использованием seccomp-filter теперь доступна для Linux-систем, собранных для архитектуры ARM.

исправить +24 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/36463-openssh

Ключевые слова: openssh, ssh

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (31)

1.1, Аноним (-), 11:42, 22/03/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> Добавлена новая директива AuthorizedKeysCommand LPK-патч теперь не нужен? ура?

2.2, Александер (?), 12:58, 22/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Интересно. А расскажите о сценариях использования этой фичи.

3.3, Аноним (-), 13:15, 22/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Публичные ключи в LDAP-е, например.

1.13, Онаним (?), 15:01, 22/03/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Всё-таки великая вещь SSH. Microsoft набо было не изобретать велосипеды с PowerShell, а впилить bash и SSH в систему, все бы им спасибо сказали.

2.14, Andrey Mitrofanov (?), 15:29, 22/03/2013 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+5 +/–
>bash и SSH в систему, все бы им спасибо сказали. А они предпочитают, чтоб все нагибались и приседали. Парадокс?

3.40, Crazy Alex (??), 20:32, 22/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Вот если б кто сумел прозрачно вкрутить в shell и основные утилиты объектный интферфейс - я б ему не поленился "ку" сказать. В смысле - шелл с ssh это хорошо, но объекты - тоже хорошо. Пора их объединять. Но как это сделать, не поломав совместимость - не знаю пока. Тупо ключи добавлять - явно не комильфо.

4.44, Аноним (-), 01:37, 23/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
Для дураков один раз объясню - если мало bash и хочется странного - юзай python, ruby, perl как шелл ... "это Юникс детка!"(С)

5.54, Crazy Alex (ok), 00:49, 25/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
Так суть в том, чтобы представление было стандартным, как сейчас тупой пайп. Просто сделать его менее тупым - грубо говоря, чтобы можно было сказать ps -aux \|sort %vss \|echo "%pid - %progname - %vss"

6.58, alexxisr (?), 10:48, 06/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
для этого когда то придумали awk

2.31, Аноним (-), 18:39, 22/03/2013 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
Microsoft? А что это?

3.37, Аноним (-), 20:00, 22/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
// fixed Microsoft - некрофильная фирам

1.16, _KUL (ok), 15:45, 22/03/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–4 +/–
Для бесконечного флудотрёпа : PowerShell достаточно мощная среда для администрирования серверов (сам пол жизни под Debian сижу). Волей судьбы пришлось работать с виндовыми тачками, пришлось познакомиться с повершелл. Такой интегрированности в систему я ещё не видел. Всё можно делать, хоть AD управлять, хоть COM объектами, хоть на удалённой тачке процесс убить. Линукс тоже красив, но в линуксе каждый делает свой маленький проект grep ps find и т.д., а в винде PS цельная среда. p.s. по теме - бегом обновлять ssh!

2.18, Аноним (-), 16:19, 22/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+8 +/–
В Bourne Shell тоже можно хоть что делать: ядро пересобрать; конфиг апача перелопатить, используя sed, grep, awk; перезапустить любой демон, хоть AD управля... ой, хоть LDAP управлять; прибить процесс на удаленной тачке и т.д. и т.п. Такой интегрированности в систему я еще не видел.

2.19, pavlinux (ok), 16:29, 22/03/2013 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
> Линукс тоже красив, но в линуксе каждый делает свой > маленький проект grep ps find и т.д., а в винде PS цельная среда. Вас бесит, что это различные файлы, а не функции в одной библиотеке libPowerShell.dll? И всё загруженные функции висят в памяти, даже если 99% из них нафиг не нужны?! :) Юзай busybox, если так бесит...

3.38, Crazy Alex (??), 20:25, 22/03/2013 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Ну, вообще объектный подход - штука соблазнительная, особенно вспоминая, насколько сложно корректно выдернуть нужную инфу из ls или ps...

4.46, yuris (??), 03:45, 23/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
> Ну, вообще объектный подход - штука соблазнительная, особенно вспоминая, насколько сложно > корректно выдернуть нужную инфу из ls или ps... ага, grep & awk это ну ооочень сложно, да

5.53, Crazy Alex (ok), 00:43, 25/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Если хочешь, чтобы работало для всех случаев, включая странные символы и т.п. Это действительно очень сложно.

3.43, PereresusNeVlezaetBuggy (ok), 01:20, 23/03/2013 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

>> Линукс тоже красив, но в линуксе каждый делает свой
>> маленький проект grep ps find и т.д., а в винде PS цельная среда.
> Вас бесит, что это различные файлы, а не функции в одной библиотеке
> libPowerShell.dll?
> И всё загруженные функции висят в памяти, даже если 99% из них
> нафиг не нужны?! :)
> Юзай busybox, если так бесит...

В PSH это тоже разные командлеты. Которые пишутся на любом дотнетовском языке, а не на одном только bourne/C-style/etc. Так что здесь - мимо.

У PSH основной недостаток - длинные конструкции, это да.

4.56, pavlinux (ok), 03:43, 26/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
> В PSH это тоже разные командлеты. Которые пишутся на любом дотнетовском языке, Да-а-а-а-а, чтоб заархивировать пару каталогов и заслать на сервер, дотнетчики будут писать программу неделю.

5.57, PereresusNeVlezaetBuggy (ok), 00:41, 28/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

–1 +/–

>> В PSH это тоже разные командлеты. Которые пишутся на любом дотнетовском языке,
> Да-а-а-а-а, чтоб заархивировать пару каталогов и заслать на сервер, дотнетчики будут писать
> программу неделю.

Павлин, special for you: я винду не запускал на своём ноуте уже которую неделю (бывает, что и месяцами). Специально ради тебя этого делать не собираюсь, а если ты решил, что форум - это место для оперативных ответов, то у меня для тебя плохие новости.

По сути вопроса:

> Найди на своем повершеле последнее время доступа ко всем исполняемым файлам, больше
> одного мега, в каталоге C:/WINDOWS, имеющие права выполнятся от админа
> и зашли репорт себе на мыло.
>
> find /usr -noleaf -type f -size +1M -perm 4755 -exec stat --printf="%n %x\n" {} \; |
> mailx -s "SUID Report" root@localhost;

1. Насчёт почты - да, с этим в винде изначально никак. Правда, такие отчёты лучше отправлять в event logger, а оттуда они уже будут централизованно обрабатываться.

2. То, что в винде нет SUID/SGID, надеюсь, тоже рассказывать не надо? Так что вместо этого, допустим, отберём все exe-шники файлы в %ProgramFiles%, у которых владелец не входит в группу Domain Administrators.

Тогда получается что-то вроде (не проверял на запускаемость, ибо синтаксис помню плохо!):

PS C:\> $users = Get-ADGroupMember "Domain Admins"
PS C:\> $files = ls -r -include "*.exe" $env["ProgramFiles"] | ? { ! ($users.contains $_.Owner) && $_.Size >= 1MB } | select Path
PS C:\> write-eventLog -LogName Security -Message $files.join("\n") -Source MySuperScript -id 1234

BTW, нафига -noleaf на /usr? Он у тебя на FAT'е лежит, что ле?

2.28, axe (??), 18:28, 22/03/2013 [^] [^^] [^^^] [ответить] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+4 +/–
Разница в том, что в оффтопике это "интегрированность в систему", а в случае линукса, консоль это и есть сама система. Например из повершелла нельзя управлять сторонним софтом, взять тот же 3-party брандмауэер (добавить/удалить правило) или любой другой сервис. Они попросту не подразумевают возможности управления ими из консоли или подразумевают, но в очень ограниченном объеме. Мало кто заморачивается с написанием соответствующих ком-объектов, которые еще и полную функциональность приложения предоставлять. Поэтому повершел интегрировать интегрировали, системой, тем, что написано некрософтом (да и то, только некоторым подмножеством настроек) он управлять может, а всем остальным - черта с два. "на удаленной тачке убить процесс" - ну это как раз то, для чего он может использоваться, имхо.

3.35, Аноним (-), 19:27, 22/03/2013 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
>[оверквотинг удален] > нельзя управлять сторонним софтом, взять тот же 3-party брандмауэер (добавить/удалить > правило) или любой другой сервис. > Они попросту не подразумевают возможности управления ими из консоли или подразумевают, > но в очень ограниченном объеме. Мало кто заморачивается с написанием соответствующих > ком-объектов, которые еще и полную функциональность приложения предоставлять. > Поэтому повершел интегрировать интегрировали, системой, тем, что написано некрософтом > (да и то, только некоторым подмножеством настроек) он управлять может, а > всем остальным - черта с два. "на удаленной тачке убить процесс" > - ну это как раз то, для чего он может использоваться, > имхо. Не вижу проблемы зайти на удаленную тачку по SSH и выполнить pkill...

4.50, Батяня Комбат (?), 06:48, 23/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+1 +/–

>>[оверквотинг удален]
> Не вижу проблемы зайти на удаленную тачку по SSH и выполнить pkill...

Да всё правильно - это только для любителей изврата (M$ P$h) непосильная задача :)

3.39, Crazy Alex (??), 20:28, 22/03/2013 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Вообще-то это скорее о кривости софта. НУ какая проблема отдать как ком-объект всё, что умеет делать гуй? По уму только выигрыш будет - не захочешь, а сделаешь толковое разделение гуя и логики. Другое дело, что в те времена, когда я с ним дело имел COM - это был ад кромешный. Но идея хороша.

2.42, ITCrow (?), 01:19, 23/03/2013 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Для продолжения бесконечного флудотрёпа: Пол жизни сидел на Винде, пока волей судьбы не переквалифицировался в Nix-админы, головной боли убавилось (даже если учитывать PoSH), где баш, где руби или питон и .... о Боже так это ж я серверами стал управлять, а не они диктуют своии "Метро" правила ))) ЗЫ: Прошу прощения за офтоп. Пошел собирать пакет OpenSSH 6.2 под свои сервера.

1.17, cmp (??), 16:08, 22/03/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

–1 +/–

Что-то не то, на 7 из 9 ftp-зеркал новой версии под линух нет.

Добавление строк:
AuthorizedKeysCommand
AuthorizedKeysCommandUser
в конфиг - дает ошибку сегментации памяти.

ну ка его нахрен обновлять сервера...

2.32, Аноним (-), 18:40, 22/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
> Что-то не то, на 7 из 9 ftp-зеркал новой версии под линух > нет. > Добавление строк: > AuthorizedKeysCommand > AuthorizedKeysCommandUser > в конфиг - дает ошибку сегментации памяти. > ну ка его нахрен обновлять сервера... Из репов поставь, умник.

Часть нити удалена модератором

4.41, deadless (ok), 20:37, 22/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+3 +/–
ах эта особая каста умельцев ./configre && make && make install

5.47, cmp (??), 06:16, 23/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–3 +/–
Если в цетосовсовских репах это через год появится может и поставлю, умник.

1.52, Аноним (-), 23:34, 24/03/2013 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–2 +/–
Ребятки, а как насчёт Windows 7 x64? Взлетит или нет? Очень хотелось бы. Или придется CopSSH?

2.55, Аноним (-), 07:20, 25/03/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Не знаю

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: