6.1 Какие ошибки "безопасности" известны и в каких версиях ssh?
Все версии ssh по 1.2.12 имели серьезный недостаток в безопасности который
позволял локальному пользователю получить доступ к секретному ключу компьютера
- "host key". Это было исправлено во всех последующих версиях начиная с 1.2.13.
Если вы используете 1.2.13 на Alpha OSF 1.3 или SCO в C2 режиме, локальные
пользователи могут получить "root" доступ. Исправить это можно с помощью patch
ftp://ftp.cs.hut.fi/pub/ssh/ssh-osf1-c2-setluid.patchили
заменой на версию 1.2.14 или более позднюю.
Версии ssh по 1.2.17 имели проблемы с обработкой подлинности проверки агента на
некоторых машинах. Есть шанс(a race condition/кто обгонит :) который мог позволить злоумышленнику украсть чужие credential[удостоверения]. Это исправлено и в
1.2.17 и соответственно в следующих версиях.
Метод шифрования "arcfour" в некоторых ситуациях делал ssh протокол очень
чувствительным, это касалось первых версий "1", однако впоследствии он был
отключен начиная с версии 1.2.18.
В версиях до 1.2.23 использовался CRC32 метод компенсации атак, который в свою
очередь позволял возможность выполнения случайных команд. Для более подробного ознакомления смотрите http://www.core-sdi.com/ssh.
6.2 Насколько широкое распространение получило использование ssh?
[ Эта информация существенно изменяется каждый день. А использование ssh возрастает просто фантастически! ]
Как и в отношении любого свободно распространяемого продукта, сложно сделать
прогноз предполагаемого количества использующих ssh. Уместнее будет оценка
того что более 1000 институтов в 40 странах используют ssh, а данная оценка основана на
количестве людей из списка рассылки ssh, около 600 из 40 разных стран и нескольких сотен доменов
Каждую неделю к домашней www-странице ssh производят доступ с 5000 различных
машин, многие из которых являются в свою очередь web-кешами и адреса машин с
которых приходят запросы меняются каждую неделю.
6.3 Вам не нравятся коммерческие аспекты в ssh...
Спецификация протоколов ssh свободно доступна. Нет никаких ограничений если
кто-то захочет реализовать новый продукт совместимый с ssh и распространяемый на
иных условиях.
Ssh проложил курс в стандарты интернет и это подразумевает что нужны новые,
вторичные, независимые разработки его применения.
Вы должны осозновать что методы шифрации RSA,IDEA запатентованы и необходимо
получить соответствующие разрешения для написания второй реализации.
6.4 Средства альтернативные SSH.
Существуют и другие надежные средства шифрации и проверки подлинности удостоверения доступа извне. Возможно у вас появиться интерес попробовать их тоже.
Безусловно, основная заслуга принадлежит Tatu Ylonen и как автору и в том что он
сделал этот продукт публично доступным! Автор благодарит его как за предоставленную документацию, так и за коррекцию этого документа.
Спасибо Thomas.Koenig написавшему оригинальный FAQ еще по версии SSH1.
Спасибо "списку-рассылки" ssh за предоставленные вопросы и ответы отраженные
в данном документе.
