OpenForum RSS: Релиз OpenSSH 5.9 https://opennet.dev/openforum/vsluhforumID3/80148.html Доступен (http://lists.mindrot.org/pipermail/openssh-unix-announce/2011-September/000107.html) релиз OpenSSH 5.9 (http://www.openssh.org/), открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.<br><br><br>Из наиболее заметных улучшений можно отметить:<br><br><br><br><br>- Поддержка нового sandbox-режима "UsePrivilegeSeparation=sandbox", использующего rlimit и systrace для более жесткой изоляции кода, работающего на стадии до начала аутентификации (pre-auth privsep child). Если ранее, до начала аутентификации практиковался сброс прав до непривилегированного пользователя и помещение процесса в chroot-окружение /var/empty, то теперь появились механизмы, позволяющие воспрепятствовать выполнению системных вызовов к ядру и использованию сокетов. В случае проникновения через уязвимость в OpenSSH при использовании новой защиты злоумышленник не сможет эксплуатировать локальную уязвимость в ядре для повышения прав или провести атаку на другие хосты (создать сокет, запустить ...<br><br>URL: http://lists.m Релиз OpenSSH 5.9 (ананим) https://opennet.dev/openforum/vsluhforumID3/80148.html#71 Sun, 11 Sep 2011 14:29:58 GMT и к чему ты это написал?<br>или как обычно - если нечего сказать, то к орфографии прицепишься?<br> Релиз OpenSSH 5.9 (stimpack) https://opennet.dev/openforum/vsluhforumID3/80148.html#70 Sat, 10 Sep 2011 04:41:52 GMT &gt;&gt; Когда очепятки пальцев можно будет как ключ юзать?<br>&gt; Думаю что никогда - надежность этого метода применительно к доступу к удаленным <br>&gt; серверам получается крайне хилая. К тому же не понятно что делать <br>&gt; если хаксор угнал снимки пальцев и подсовывает их внаглую как якобы <br>&gt; картинку со сканера.<br><br>Угнать можно и закрытый ключ, если получится. Здесь разница лишь в распространенности. Руками вы касаетесь за множество вещей. Отпечатки можно снять, просто забрав после ваш стакан в кафе. Закрытый же ключ лежит в одном месте и менее легкодоступен, чем отпечатки.<br><br>А генерировать закрытый ключ с отпечатков или с /dev/random - разницы нет, все равно серверы получат только открытый, поэтому уровень защиты В СЕТИ одинаковый.<br> Релиз OpenSSH 5.9 (PereresusNeVlezaetBuggy) https://opennet.dev/openforum/vsluhforumID3/80148.html#69 Thu, 08 Sep 2011 21:43:46 GMT &gt;&gt; А вы ничего не путаете? OpenSSH не проигрывает музыку, не записывает диски <br>&gt;&gt; (в Ahead могут спать спокойно), не содержит браузер на Webkit и <br>&gt;&gt; даже (о, ужас!) не умеет рисовать граффити ВКонтакте.<br>&gt; Вместо этого оно изображает впн (довольно паршиво),<br><br>Для решения на скорую руку (когда некогда поднимать IPSec/OpenVPN/etc.) вполне хватает. Впрочем, не суть.<br><br>&gt; редиректит порты (почему это должен <br>&gt; делать шелл?), выступает файлсервером (блин, это правда все еще шелл?) и <br>&gt; что там я еще забыл?! А потом со всей этой фигней <br>&gt; мы попытаемся взлететь...<br><br>Во-первых, вы уж тогда придирайтесь не к OpenSSH, а к IETF. Которые под названием Secure Shell понимают как раз вышеперечисленное. ;)<br><br>Во-вторых, будьте внимательны: я специально написал, что обеспечивает безопасный доступ к другим компьютерам и сетям. С этим набором функций SSH-реализации (в первую очередь нынче это как раз OpenSSH) справляются, на большее не претендуют. Суть претензий слабо понятна, так как все приведённые аналогии, мягко гов Релиз OpenSSH 5.9 (Аноним) https://opennet.dev/openforum/vsluhforumID3/80148.html#68 Thu, 08 Sep 2011 20:24:22 GMT &gt; А вы ничего не путаете? OpenSSH не проигрывает музыку, не записывает диски <br>&gt; (в Ahead могут спать спокойно), не содержит браузер на Webkit и <br>&gt; даже (о, ужас!) не умеет рисовать граффити ВКонтакте. <br><br>Вместо этого оно изображает впн (довольно паршиво), редиректит порты (почему это должен делать шелл?), выступает файлсервером (блин, это правда все еще шелл?) и что там я еще забыл?! А потом со всей этой фигней мы попытаемся взлететь...<br> Релиз OpenSSH 5.9 (Аноним) https://opennet.dev/openforum/vsluhforumID3/80148.html#67 Thu, 08 Sep 2011 20:21:50 GMT &gt; Без доступа ни какой ключ не передать. <br><br>Диффи-хеллман нервно покуривает в сторонке.<br> Релиз OpenSSH 5.9 (PereresusNeVlezaetBuggy) https://opennet.dev/openforum/vsluhforumID3/80148.html#66 Wed, 07 Sep 2011 22:54:12 GMT &gt;&gt;Разработчики шагают в ногу со временем, только и всего.<br>&gt; Ах вот как это называется. Значит, и разработчики всяких Nero Burning Rom <br>&gt; тоже просто шагают в ногу со временем, превращая простую писалку дисков <br>&gt; в ОС.<br><br>А вы ничего не путаете? OpenSSH не проигрывает музыку, не записывает диски (в Ahead могут спать спокойно), не содержит браузер на Webkit и даже (о, ужас!) не умеет рисовать граффити ВКонтакте. Он выполняет свои функции - безопасное подключение к другим компьютерам и сетям. Какие конкретно части OpenSSH вы считаете неуместными?<br><br>&gt;&gt;Конечно, проще предположить, что виноваты авторы программы <br>&gt; Если авторы программы "идут в ногу со временем" - такое предположение напрашивается <br>&gt; сразу.<br><br>Опять-таки, факты в студию. То, что само напрашивается, далеко не всегда соответствует истине.<br><br>&gt;&gt;Чтобы что-то починить, надо сначала это что-то сломать.<br>&gt; "Все уже украдено до вас"(с) <br><br>"Факты, сестра, факты"<br> Релиз OpenSSH 5.9 (Аноним) https://opennet.dev/openforum/vsluhforumID3/80148.html#65 Wed, 07 Sep 2011 21:00:22 GMT &gt;Разработчики шагают в ногу со временем, только и всего.<br><br>Ах вот как это называется. Значит, и разработчики всяких Nero Burning Rom тоже просто шагают в ногу со временем, превращая простую писалку дисков в ОС.<br><br>&gt;Конечно, проще предположить, что виноваты авторы программы<br><br>Если авторы программы "идут в ногу со временем" - такое предположение напрашивается сразу.<br><br>&gt;Чтобы что-то починить, надо сначала это что-то сломать.<br><br>"Все уже украдено до вас"(с)<br> Релиз OpenSSH 5.9 (all_glory_to_the_hypnotoad) https://opennet.dev/openforum/vsluhforumID3/80148.html#64 Wed, 07 Sep 2011 19:18:57 GMT &gt; Они это не знают и поэтому у них работает запуск сишного кода напечатанного в браузере. И да, эти стремные типы зачем-то порезали сисколы.<br><br>И как, много пользы получил выполнения кода в такой поеразнной виртуалке? Когда сделаешь на этом функционально богатое полезное приложение, тогда пиходи дальше писать ерунду.<br> Релиз OpenSSH 5.9 (all_glory_to_the_hypnotoad) https://opennet.dev/openforum/vsluhforumID3/80148.html#63 Wed, 07 Sep 2011 19:09:44 GMT posix caps'ы не решают проблем качества кода, а именно по этой причине в большинстве случаев удаётся поиметь локалхост, а не из-за проблем архитектуры. Это всего лишь ещё один механизм более гранулированной раздачи прав. И...<br><br>&gt; Однако они почему-то благополучно используются.<br><br>они просто благополучно существуют примерно как и SElinux и множество прочих решений. Есть то они есть, все такие замечательные, но никто особо не спешит ими пользоваться в широких масштабах. Почему так получается уже другой вопрос.<br>