The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск OpenSSH 7.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск OpenSSH 7.0"  +/
Сообщение от opennews (ok), 11-Авг-15, 20:47 
Увидел свет (http://lists.mindrot.org/pipermail/openssh-unix-announce/201... релиз OpenSSH 7.0 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP (временно предусмотрена поддержка устаревших протоколов SSH 1.3 и 1.5, но она требует активации на этапе компиляции). В новой версии прекращена поддержка ряда возможностей, что может негативно отразиться на совместимости с существующими конфигурациями.

Изменения в OpenSSH 7.0:


-  Поддержка первой версии протокола SSH отключена по умолчанию. Для возврата поддержки SSH-1.x требуется перекомпиляция с явным включением SSH-1. Протокол SSH-1 отмечен как устаревший, небезопасный и не рекомендуемый для использования. Кроме того, работа OpenSSH без OpenSSL возможна только при использовании протокола SSH-2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSH-1. Отключение SSH-1 по умолчанию на уровне сборки упростит распространение в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL.

-  По умолчанию значение директивы конфигурации PermitRootLogin изменено с "yes" на "prohibit-password", т.е. удалённый вход под пользователем root с парольной и интерактивной аутентификацией  теперь запрещён. При указании значений without-password или prohibit-password допускается только аутентификация по ключам или через GSSAPI;

-  Отключена по умолчанию поддержка обмена 1024-битными ключами diffie-hellman-group1-sha1;

-  Отключена по умолчанию поддержка ключей пользователя и хоста  ssh-dss и ssh-dss-cert-*;

-  Удалён код для поддержки формата сертификатов v00;

-  В настройки клиента (ssh_config) добавлена опция PubkeyAcceptedKeyTypes, дающая возможность управлять допустимыми для аутентификации типами открытых ключей;
-  В настройки сервера (sshd_config) добавлена опция HostKeyAlgorithms, позволяющая задать доступные для аутентификации хоста типы открытых ключей;
-  В ssh и sshd в директивах Ciphers, MACs, KexAlgorithms,
   HostKeyAlgorithms, PubkeyAcceptedKeyTypes и HostbasedKeyTypes теперь можно дополнить используемый по умолчанию набор алгоритмов, а  не заменить весь список. Опции, перечисленные с префиксом "+" теперь прибавляются к списку по умолчанию, например, "HostKeyAlgorithms=+ssh-dss";
-  В sshd_config в директиве PermitRootLogin реализована поддержка аргумента 'prohibit-password', который является синонимом 'without-   password', но исключает неоднозначное трактование.

-  Внесено несколько изменений, связанных с безопасностью:

-  Добавлена защита от метода (http://www.opennet.dev/opennews/art.shtml?num=42634) совершения BruteForce-атак с использованием  большого числа интерактивных устройств (KbdInteractiveDevices).
-  Исправлена проблема с установкой на TTY прав записи для всех пользователей, что позволяло локальным атакующим отправлять произвольные сообщения (в том числе с escape-последовательностями) на консоли других пользователей. Проблема проявлялась в OpenSSH 6.8 и 6.9.

-  В переносимой версии  sshd устранены недоработки в механизме разделения привилегий, связанные с поддержкой PAM. Атакующий, имеющий аккаунт в системе и  получивший контроль над процессом на стадии до начала аутентификации (например, при выявлении какой-то новой уязвимости) сможет войти под другим пользователем;

-  В переносимой версии  sshd устранена ошибка, вызванная освобождением ещё используемого блока памяти в коде, связанном с поддержкой PAM. Ошибка может быть эксплуатирована атакующим, которому удалось получивший контроль над процессом на стадии до начала аутентификации.

В следующем выпуске (OpenSSH 7.1) планируется запретить использование любых RSA-ключей, размером менее 1024 бит, по умолчанию отключить алгоритмы HMAC на основе MD5, шифры  blowfish-cbc, cast128-cbc, все варианты arcfour и алиасы rijndael-cbc для AES.


URL: http://lists.mindrot.org/pipermail/openssh-unix-announce/201...
Новость: http://www.opennet.dev/opennews/art.shtml?num=42765

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск OpenSSH 7.0"  +/
Сообщение от Michael Shigorinemail (ok), 11-Авг-15, 20:47 
>  По умолчанию [...] PermitRootLogin изменено с "yes" [...]

Ну наконец-то -- в альте уж не помню с каких времён without-password.

Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск OpenSSH 7.0"  +2 +/
Сообщение от Аноним (-), 11-Авг-15, 21:39 
Так почему же апстрим вас не слышит?
Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск OpenSSH 7.0"  +/
Сообщение от Аноним (-), 11-Авг-15, 22:50 
Почему?
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск OpenSSH 7.0"  +/
Сообщение от Аноним (-), 12-Авг-15, 01:22 
Толстовато.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

15. "Выпуск OpenSSH 7.0"  +3 +/
Сообщение от Аноним (-), 12-Авг-15, 16:13 
Зато в Альте вы уже больше года не можете закрыть простейшую дыру в безопасности. Как после этого можно Альтом пользоваться?
https://bugzilla.altlinux.org/show_bug.cgi?id=30166
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

17. "Выпуск OpenSSH 7.0"  +1 +/
Сообщение от mine (ok), 13-Авг-15, 16:52 
Хотел сходить по ссылке - а там недоверенный сертификат. Фу на них, не пойду туда.
Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск OpenSSH 7.0"  +/
Сообщение от Аноним (-), 15-Авг-15, 11:18 
> не пойду туда.

А зря. Там коменты, которые того стоят:

[мантейнер в отпуске]

Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск OpenSSH 7.0"  –2 +/
Сообщение от robux (ok), 11-Авг-15, 21:19 
> blowfish-cbc

Не понял. А блоуфиш-то чем не угодил?

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск OpenSSH 7.0"  +1 +/
Сообщение от Crazy Alex (ok), 11-Авг-15, 21:24 
https://en.wikipedia.org/wiki/Blowfish_(cipher)#Weakness_and...
Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск OpenSSH 7.0"  +1 +/
Сообщение от Аноним (-), 11-Авг-15, 21:46 
Размер блока 64 бита означает, что если Алисе удасться заполучить 2^32 x 8 B = 32 GB трафика зашифрованного этим алгоритмом, то дальше он деградирует до XOR повторяющимся ключем, который тривиально уязвим.
Сам создатель алгоритма  Bruce Schneier говорил еще в 2007:
>  I wrote Blowfish as such an alternative, but I didn't even know if it would survive a year of cryptanalysis. Writing encryption algorithms is hard, and it's always amazing if one you write actually turns out to be secure. At this point, though, I'm amazed it's still being used. If people ask, I recommend Twofish instead.

http://www.computerworld.com.au/article/46254/bruce_almighty...

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. "Выпуск OpenSSH 7.0"  –1 +/
Сообщение от Andrew Kolchoogin (ok), 12-Авг-15, 02:08 
> Размер блока 64 бита означает, что если Алисе удасться заполучить 2^32 x 8 B = 32 GB

... при работе криптоалгоритма в режиме Electronic Codebook.

Речь же шла о Cipher Block Chaining. Если бы уважаемый аноним был прав, тогда и 3DES-CBC тоже бы пришлось того-с... под нож.

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск OpenSSH 7.0"  +/
Сообщение от Аноним (-), 15-Авг-15, 11:25 
> Не понял. А блоуфиш-то чем не угодил?

Лучше поставить вопрос иначе: а что там хорошего? Устаревший дизайн по образу и подобию других алгоритмов этого класса. Обычная сеть фейстеля с S-box. Такие схемы криптографы нынче совсем не жалуют, за проблематичный паттерн доступов к памяти, позволяющих восстановление ключа косвенными методами. Бывают слабые ключи, что делает правильную генерацию ключа геморной. Да еще до того как он что-то сможет шифровать - медленная инициализация, смена ключа там очень дорогая операция.

Ну и зачем он такой нужен? Нынче полно алгоритмов лучше. Его даже сам автор не рекомендует уже.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Выпуск OpenSSH 7.0"  +/
Сообщение от Аноним (-), 11-Авг-15, 22:33 
Активно последнее время пилить начали
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск OpenSSH 7.0"  –1 +/
Сообщение от Andrey Mitrofanov (?), 11-Авг-15, 23:20 
> Активно последнее время пилить начали

И спасибо, Майкрософтушко, за хлебушек.

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск OpenSSH 7.0"  +/
Сообщение от adsh (ok), 12-Авг-15, 01:38 
Во FreeBSD пользователь root никогда не мог залогиниться удалённо. Наконец-то это начали внедрять для всех, сколько лет то прошло.
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск OpenSSH 7.0"  +7 +/
Сообщение от Аноним (-), 12-Авг-15, 03:05 
> Во FreeBSD пользователь root никогда не мог залогиниться удалённо.

Правильно - по умолчанию это только administratorу дозволено!

Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск OpenSSH 7.0"  +/
Сообщение от adsh (ok), 14-Авг-15, 02:37 
Я их всегда переименовываю в своём хозяйстве. Слишком длинно набирать :).
Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск OpenSSH 7.0"  –1 +/
Сообщение от iCat (ok), 12-Авг-15, 09:36 
Вот и славно, хорошо...
Отдельное спасибо за стабильность и повсеместность!
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск OpenSSH 7.0"  +/
Сообщение от xaxaxa (?), 12-Авг-15, 12:07 
теперь только "правильные" алгоритмы
Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск OpenSSH 7.0"  +/
Сообщение от lucentcode (ok), 12-Авг-15, 19:39 
Отличный релиз. Скорее бы в популярные дистры его добавили.
Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск OpenSSH 7.0"  +/
Сообщение от camojietemail (ok), 20-Мрт-22, 09:18 
Футболку бы со Столлманом или Ассанжем в стиле Че Гевары.

Считаю, что государство обязано проверять исходники и обеспечить себе репы. Та же астра линукс. Я бы и пользовался, внедрял, учил и учился. Сейчас надо переучиваться заменять rdp на spice vdi на базе проксмокса. А проксмокс - австрийский, и чего ждать от цивилизованных европейцев, бог их знает.
А у астры есть какой-то аналог проксмокса. Хочется пощупать, но останавливает платность. И время бы нашёл и деньги на обучение и даже время, но покупать - никогда. Голый дебиан - и креститься перед обновлением.
Против государства сейчас системно координируются атаки, в том числе в направлении создания геморроя не только гос органам. Я, как рядовой админ, готов обороняться, но без помощи государства сопротивление не будет носить системный характер и будет проигрывать оппонентам.
Государство должно обеспечить стандартами, материалами. Нас нельзя взять с помощью автомата, а вот атаками - вполне. Если кто-то считает что в у нас много квалифицированных админов, то у меня для вас плохие новости. В моём ауле админов, умеющих делать хоть что-то не на винде 3 к 20 примерно. То есть 20 из 23 никогда не ставили Linux, и морщатся от его упоминания. Их нужно переучить до того как их зашифруют через какую нибудь дырочку в rdp или ещё где. Подгоревшие попы ещё впереди.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру