https://www.opennet.ru/openforum/vsluhforumID3/110738.html Сформирован (http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-March/035876.html) релиз OpenSSH 7.5 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В OpenSSH также временно оставлена поддержка протоколов SSH 1.3 и 1.5 на стороне клиента (серверная часть уже удалена), которая требует сборки со специальной опцией. Летом 2017 года планируется полностью прекратить поддержку SSHv1 и удалить компоненты с реализаций шифров Blowfish и RC4, а также RIPE-MD160 HMAC, которые в настоящее время по умолчанию отключены в настройках. В будущих выпусках также планируют запретить использование RSA-ключей размером менее 1024 бит и отключить по умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был отключен несколько лет назад).<br><br><br><br>В новой версии устранены накопившиеся ошибки и внесено несколько изменений, в основном связанных с удалением устаревших возможностей:<br><br><br>- Внесена дополнительная защита для блокирования атак, манипулирующих разли https://www.opennet.ru/openforum/vsluhforumID3/110738.html#27 Mon, 27 Mar 2017 08:56:53 GMT &gt; А чем вам DSA не угодил? <br><br>Плох ибо ограничение размера ключа. Уже вчера применять нельзя было.<br><br>&gt; ecdsa-то понятно, ибо кривые предоставлены NIST, и по поводу деятельности этой лавки есть обоснованные сомнения<br><br>ECDSA - нереально крут! Он при 512-битном ключе обеспечивает стойкость как RSA с 16000битным ключём! Показатель надёжность/(процессорное время) - лучший!!!<br> https://www.opennet.ru/openforum/vsluhforumID3/110738.html#26 Fri, 24 Mar 2017 14:36:12 GMT &gt; там нет ничего хорошего, а вот поломанная совместимость есть, поэтому не надо <br>&gt; бежать впереди паровоза.<br>&gt; 2.4.2 там стоит не просто так, <br>&gt; а патченная (предполагая что ты следишь за -security и делаешь что <br>&gt; написано), апгрейдить ее на следующую minor совершенно незачем<br><br>Спасибо за разьяснение!<br><br> https://www.opennet.ru/openforum/vsluhforumID3/110738.html#25 Fri, 24 Mar 2017 14:34:23 GMT А что конкретно из данных рекомендаций вредно, и что ненужно?<br>Подвиг мне не нужен, только безопасность и надёжность.<br> https://www.opennet.ru/openforum/vsluhforumID3/110738.html#24 Fri, 24 Mar 2017 10:35:29 GMT &gt; Вот на этом основываюсь когда переконфигурирую sshd_config: <br>&gt; https://www.opennet.ru/tips/2877_ssh_crypt_setup_security_nsa.shtml <br><br>не надо без понимания на этом основываться. Если ты не собираешься повторять подвиг Гая Фокса (он, кстати, всех сдал, имей в виду), большая часть этих рекомендаций ненужная, а может и вредная.<br><br>Если собираешься - потренируйся прыгать с табуреточки, пригодится, как ни шифруйся.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/110738.html#23 Fri, 24 Mar 2017 10:32:22 GMT &gt; В снапшотах висит образ с LibreSSL уже 2.5.2. <br><br>там нет ничего хорошего, а вот поломанная совместимость есть, поэтому не надо бежать впереди паровоза.<br><br>&gt; А на системе, несмотря на все патчи стоит 2.4.2. И как обновится хотя бы до 2.4.5 я так и<br>&gt; не понял.<br><br>только вместе с системой - не патчем, а переходом на следующую версию (можно stable). И это правильно. 2.4.2 там стоит не просто так, а патченная (предполагая что ты следишь за -security и делаешь что написано), апгрейдить ее на следующую minor совершенно незачем, и опять же может что-то сломаться, хотя и крайне маловероятно, но зачем рисковать (с позиции майнтейнера багфикснутой ветки дистрибутива).<br><br>Но если хочется приключений - можешь просто вывалить более свежую версию в дерево поверх текущей. Она примерно так и разрабатывается.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/110738.html#22 Wed, 22 Mar 2017 17:13:46 GMT &gt; не переживайте, ее не надо обновлять - она радостно определяет версионный define <br>&gt; аж версии 2 (в смысле 2.x.x) <br><br>В снапшотах висит образ с LibreSSL уже 2.5.2. <br>А на системе, несмотря на все патчи стоит 2.4.2. И как обновится хотя бы до 2.4.5 я так и не понял.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/110738.html#21 Wed, 22 Mar 2017 17:10:01 GMT Вот на этом основываюсь когда переконфигурирую sshd_config:<br>https://www.opennet.ru/tips/2877_ssh_crypt_setup_security_nsa.shtml<br> https://www.opennet.ru/openforum/vsluhforumID3/110738.html#20 Wed, 22 Mar 2017 10:03:01 GMT &gt; removing support for Blowfish and RC4<br><br>Почему молчит RMS?<br> https://www.opennet.ru/openforum/vsluhforumID3/110738.html#19 Tue, 21 Mar 2017 19:33:15 GMT &gt; и отключить по умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был отключен несколько лет назад).<br>&gt; (на стороне клиента CBC уже давно отключен по умолчанию, а на стороне сервера запланирован к удалению в следующем выпуске)<br><br>Так где он, всё-таки, уже давно отключён, а где его только планируется отключить?<br>