The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В OpenSSH код аутентификации вынесен в отдельный процесс sshd-auth"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В OpenSSH код аутентификации вынесен в отдельный процесс sshd-auth"  +/
Сообщение от opennews (?), 15-Окт-24, 17:45 
Разработчики OpenSSH продолжили разделение sshd на несколько отдельных исполняемых файлов. На реализованном в мае первом этапе разделения из sshd в отдельный процесс sshd-session были вынесены функции, связанные с обработкой сеансов, а в sshd оставлена лишь функциональность, необходимая для приёма нового сетевого соединения и запуска sshd-session для каждого нового сеанса. Вчера в кодовую базу OpenSSH было внесено изменение, добавляющее ещё один процесс -  sshd-auth, в который из sshd-session перенесён код, выполняющий аутентификацию...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62052

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +7 +/
Сообщение от qweo (?), 15-Окт-24, 17:45 
Ещё немного, и повторят архитектуру inetd и иже с ним :-)
Молодцы, на самом деле!
Ответить | Правка | Наверх | Cообщить модератору

9. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (9), 15-Окт-24, 18:28 
Кстати, очень  хоршая штука. Недавно работал только xinetd. Опция запуска с учетом времени суток вообще киллерфича.
Ответить | Правка | Наверх | Cообщить модератору

53. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +4 +/
Сообщение от Соль земли (?), 16-Окт-24, 09:57 
Скорее postfix.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

68. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (-), 18-Окт-24, 09:34 
> Ещё немного, и повторят архитектуру inetd и иже с ним :-)

Больше на системд похоже. Тоже стало летающим спагетти с кучей wtfd, огромным кодом, и - довольно паршивой безопасностью протокола.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  –7 +/
Сообщение от Аноним (2), 15-Окт-24, 17:47 
Здорово, ещё один левый процесс...
Ответить | Правка | Наверх | Cообщить модератору

4. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  –1 +/
Сообщение от Аноним (4), 15-Окт-24, 17:52 
Ещё один вектор атаки.
Ответить | Правка | Наверх | Cообщить модератору

8. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +7 +/
Сообщение от Имя (?), 15-Окт-24, 18:14 
Наоборот, старую кодяру разнесли по разным процессам ОС. Тем самым изолировали разные участки кода и данных друг от друга. Это может уменьшить неприятности от атаки, опирающейся уязвимость в коде.
Ответить | Правка | Наверх | Cообщить модератору

10. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (9), 15-Окт-24, 18:28 
Ой ли, прям вертор...
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

19. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  –1 +/
Сообщение от MaleDog (?), 15-Окт-24, 19:27 
Мало до этого было атак с манипуляцией параметрами запуска приложений? Если код сложный, то почему просто не вынести в либы. Зачем новый процесс порождать?
Ответить | Правка | Наверх | Cообщить модератору

22. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (22), 15-Окт-24, 20:15 
> Зачем новый процесс порождать?

ща прибежит Мяю и пояснит, для МАС

Ответить | Правка | Наверх | Cообщить модератору

40. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от мявemail (?), 16-Окт-24, 06:17 
а как MAC Вам поможет? как будете отличать штатный вызов нового процесса от внештатного?
разве что, можно похвастаться "у меня ssh-session и ssh-auth не умеют лазать по хомяку, косяки в них не приведут к прочтению левых файлов", но такое себе.
вот "MAC для памяти", может, защитил бы.. по-моему, SARA называется, но не уверена про принцип его работы, на этапе "abondoned", бросила читать.
Ответить | Правка | Наверх | Cообщить модератору

55. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (55), 16-Окт-24, 14:15 
> а как MAC Вам поможет? как будете отличать штатный вызов нового процесса от внештатного?

а что есть штатный и внештатный вызов?

> разве что, можно похвастаться

вы серьезно? чем гранулярнее правила МАС тем он эффективнее, а не "такое себе".

> вот "MAC для памяти"

Защитой памяти процесса должен заниматься менеджер виртуальной памяти. И правила тут скорее - аксиомы. И МАС как таковой тут не нужен.

Ответить | Правка | Наверх | Cообщить модератору

69. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от мявemail (?), 18-Окт-24, 12:53 
>а что есть штатный и внештатный вызов?

легетимный, задуманный разработчиком и нелегетимный, ставший результатом его ошибки, если Вам так проще будет.

>вы серьезно? чем гранулярнее правила МАС тем он эффективнее, а не "такое себе".

а Вы? мало того, что я, судя по всему, у Вас в глазах двоюсь, так еще и бездумно пургу затираете.
при чем тут "гранулированнее"? или Вам еще и какой-то неведомый никому контекст привиделся? или Вы вообще исходное сообщение от анонима не читали?

>не "такое себе".

много даст отсутствие возможности залезть в хомяк у 2х служебных процессов, когда рядом возможность рут-шелл получить из основного?

>Защитой памяти процесса должен заниматься менеджер виртуальной памяти. И правила тут скорее - аксиомы. И МАС как таковой тут не нужен.

речь шла об изоляции компонентов этого самого процесса друг от друга. собственно, что и подразумивает спавн отдельного процесса.
запомнилось, мол sara именно это делает, но без спавна нового процесса. как сейчас оказалось, нет, это просто защита WX.

Ответить | Правка | Наверх | Cообщить модератору

71. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (71), 18-Окт-24, 14:52 
> так еще и бездумно пургу затираете.

ясно

Ответить | Правка | Наверх | Cообщить модератору

24. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +3 +/
Сообщение от Аноним (24), 15-Окт-24, 20:37 
Как бы, отдельный процесс - отдельное адресное пространство.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

44. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от мявemail (?), 16-Окт-24, 06:33 
да, мало, по сравнению с использованием после очистки, двойной очисткой, выхода за границы и тп.
что-то мне подсказывает, что это вообще внутренние процессы, не принимающие аргументов, бинари которых будут лежать в libexec, как session-helper у polkit.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

56. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (55), 16-Окт-24, 14:24 
> что это вообще внутренние процессы, не принимающие аргументов

что за внутренние процессы? кхммм

Вон постфикс на такой архитектуре с основания.

Ответить | Правка | Наверх | Cообщить модератору

70. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от мявemail (?), 18-Окт-24, 12:54 
те, что не предполагают пользовательского взаимодействия с собой.
Ответить | Правка | Наверх | Cообщить модератору

11. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (11), 15-Окт-24, 18:37 
То тут идет онанирование «одна задача — один процесс», то тебе теперь не нравится, что задача вынесена в отдельный процесс
Вы бы определились, блин!
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

12. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (2), 15-Окт-24, 18:46 
Так разные онанимы.
Ответить | Правка | Наверх | Cообщить модератору

29. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +1 +/
Сообщение от Аноним (29), 15-Окт-24, 21:12 
> Так разные онанимы.

Да едины мы, едины - просто ты новенький, других пока не слышишь и считаешь что один-единственный в голове нашего общего тела ...
Глянь на часы - куда две с половиной минуты делись? (а это я ответ писал, нашими общими руками) ...

Ответить | Правка | Наверх | Cообщить модератору

3. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  –4 +/
Сообщение от Аноним (4), 15-Окт-24, 17:50 
Это жжжж не проста. Будут внедрять  в системд? Уверен что это сделано не для удобства пользователей.
Ответить | Правка | Наверх | Cообщить модератору

5. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +1 +/
Сообщение от DeerFriend (?), 15-Окт-24, 18:06 
демона выкинут, оставят системд.сокет
Ответить | Правка | Наверх | Cообщить модератору

6. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от DeerFriend (?), 15-Окт-24, 18:08 
А энтузиасты будут прикручивать оставшееся к интетд, чтобы запускалось на диване.
Ответить | Правка | Наверх | Cообщить модератору

25. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +3 +/
Сообщение от Аноним (24), 15-Окт-24, 20:40 
Лучше подумай, как оно тогда на OpenBSD должно работать.
Ответить | Правка | Наверх | Cообщить модератору

60. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  –1 +/
Сообщение от Аноним (60), 16-Окт-24, 18:55 
OpenSSH *должно* работать на мейнстримных Линуксах и 3½ недоеденных им Юниксах. На это Тео дают достаточно денег на его игрушечную ОС и закрывают глаза на его, скажем так, особенности характера. Если для этого вдруг понадобится тесная интеграция с systemd — Тео либо сделает что сказано, либо будет искать финансирование в другом месте, а проектом займутся другие люди. Работоспособность OpenSSH в OpenBSD в списке требований не присутствует и никогда не присутствовала, это просто счастливая случайность.
Ответить | Правка | Наверх | Cообщить модератору

67. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (-), 18-Окт-24, 09:32 
> Работоспособность OpenSSH в OpenBSD в списке требований не присутствует
> и никогда не присутствовала, это просто счастливая случайность.

Ну вот нет. Ты недооцениваешь способность людей програмить себе по фану. Толи потому что унылый наймит, толи потому что в пирамиде Маслоу ты находишься ниже них. В общем, вот тут ты не прав, sshd появился себе по фану - и на линухи портируется по остаточному принципу.

И таким манером он когда-нибудь допрыгается что его, таки, заменят на что-то более дружественное. А вот это вот будет - у полутора маргиналов. И спасибо если остальные вообще будут юзать ssh как протокол. Ибо у него накопилось немеряно легасипроблем. Вплоть до того что не такой уж он и секурный, утекает много инфо о том кто и что делал. И чинить это никто не собирается походу, безпасничкам из опенбсд и с такой "безопасностью" - норм.

Ответить | Правка | Наверх | Cообщить модератору

15. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (-), 15-Окт-24, 19:04 
Это было бы великолепно в плане унификации и приведению к единому стандарту, а не каши из разношерстных утилит. Ещё бы так сделали с GUI, то авось пересилили бы те 0.01% на десктопе.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

26. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (24), 15-Окт-24, 20:42 
>4% не считая ХромойОС.
Ответить | Правка | Наверх | Cообщить модератору

35. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (35), 15-Окт-24, 23:00 
какой systemd в openbsd?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

38. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +1 +/
Сообщение от Аноним (38), 16-Окт-24, 03:54 
systemd-openbsd
Ответить | Правка | Наверх | Cообщить модератору

63. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от _ (??), 17-Окт-24, 00:06 
Корирайяу имя: OpenSystemD ! 8-D
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

46. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +1 +/
Сообщение от mos87 (ok), 16-Окт-24, 07:38 
взаимоисключающие параграфы
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +2 +/
Сообщение от Аноним (7), 15-Окт-24, 18:12 
Надо процессы запуска и остановки процессов выделить в отдельные процессы.
И да поглотит все рекурсия в бесконечном цикле!
Ответить | Правка | Наверх | Cообщить модератору

16. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +1 +/
Сообщение от Аноним (16), 15-Окт-24, 19:04 
И чтоб каждый файл, каждый юзер -- всё в докере!
Ответить | Правка | Наверх | Cообщить модератору

18. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от MaleDog (?), 15-Окт-24, 19:22 
А потом еще придумать костыли как дать процессам доступ к файлам чужих пользователей. "Приложение sftpd pid 36489 просит доступ к фото". После разрешения предоставляем доступ ко всем jpg и png на разделе.  Андроид?
Ответить | Правка | Наверх | Cообщить модератору

23. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +1 +/
Сообщение от Аноним (22), 15-Окт-24, 20:16 
> А потом еще придумать костыли как дать процессам доступ к файлам чужих пользователей.

Так есть же - МАС.

Ответить | Правка | Наверх | Cообщить модератору

41. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от мявemail (?), 16-Окт-24, 06:26 
или bwrap.
его в MAC, что б исключить выход из песочницы, а доступом через него рулить.
Ответить | Правка | Наверх | Cообщить модератору

14. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (-), 15-Окт-24, 19:02 
> В OpenSSH код аутентификации вынесен в отдельный процесс sshd-auth

Это хорошо или плохо? Что меняет для конечных пользователей?

Ответить | Правка | Наверх | Cообщить модератору

20. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от kusb (?), 15-Окт-24, 19:41 
Может быть не взломают. Это и сделано для конечных пользователей, на самом деле.
Ответить | Правка | Наверх | Cообщить модератору

48. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  –1 +/
Сообщение от mos87 (ok), 16-Окт-24, 07:40 
им будет труднее скачать бинарь openssh.tgz распаковать и запускать
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

66. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от kusb (?), 17-Окт-24, 14:54 
Придётся кликнуть правой кнопкой мышки и выбрать "Создать папку"
Ответить | Правка | Наверх | Cообщить модератору

51. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от bOOster (ok), 16-Окт-24, 09:21 
Растет количество методов авторизации/аутентификации. Причем бывает на статических библиотеках, которые компилируются внутрь процесса auth. Ребята сделали правильную вещь - отделили код OpenSSH от всякого другого.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

52. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от bOOster (ok), 16-Окт-24, 09:23 
ПыСы Некоторые знающие толк в извращениях вообще через записи СУБД авторизуются/аутентифицируются.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

58. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (60), 16-Окт-24, 18:49 
Дали им полный набор механизмов для аутентификации пользователей по ключам с любыми ограничениями, от конкретных учётных записей на конкретных хостах до времнного окна для логина без необходимости менеджмента индивидуальных ключей. Нет, всё равно костылят какую-то хтонь.
Ответить | Правка | Наверх | Cообщить модератору

54. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от anonymmmeer (?), 16-Окт-24, 12:11 
Увеличивается безопастность, уменьшается производительность.

Но нынче такие времена, что одно приложение на электрон уже в сто раз эту производительность ухудшит.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

59. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (60), 16-Окт-24, 18:50 
> одно приложение на электрон

Зачем ты его ставишь на сервер?

Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором  +1 +/
Сообщение от Аноним (17), 15-Окт-24, 19:11 
Ответить | Правка | Наверх | Cообщить модератору

28. Скрыто модератором  +/
Сообщение от Аноним (24), 15-Окт-24, 20:50 
Ответить | Правка | Наверх | Cообщить модератору

21. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (21), 15-Окт-24, 19:51 
ну блин, R^X не пробовали? Вообще всё ROP отрезает.
Ответить | Правка | Наверх | Cообщить модератору

27. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (24), 15-Окт-24, 20:47 
Точно, RDX вообще всё напрочь отрезает.
Ответить | Правка | Наверх | Cообщить модератору

30. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (30), 15-Окт-24, 21:16 
Количество уязвимостей в программе зависит от количества ошибок в ней. А количество ошибок зависит от густоты ошибок в коде и объёма кода. А густота ошибок зависит от языка программирования. От разделения программы на несколько процессов объём кода и язык программирования не изменились.
Какой вывод?
Ответить | Правка | Наверх | Cообщить модератору

31. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +10 +/
Сообщение от Аноним (60), 15-Окт-24, 21:32 
Вывод: ты не понимаешь, о чём говоришь.
Ответить | Правка | Наверх | Cообщить модератору

57. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (55), 16-Окт-24, 16:21 
> объём кода и язык программирования не изменились

как не изменилось, если надо еще городить межпроцессное взаимодействие?

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

34. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (34), 15-Окт-24, 22:37 
Вопрос взаимодействия процессов и передачи данных между ними. Сколько багов возникает при передаче через аргументы при старте процесса...
Ответить | Правка | Наверх | Cообщить модератору

37. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +1 +/
Сообщение от Аноним (35), 16-Окт-24, 00:49 
17. Возникает 17 багов. Раз вам так интересно.
Ответить | Правка | Наверх | Cообщить модератору

42. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от мявemail (?), 16-Окт-24, 06:28 
было бы интересно еще и список посмотреть.
Ответить | Правка | Наверх | Cообщить модератору

43. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от мявemail (?), 16-Окт-24, 06:29 
никто не будет, условно, пароли в него передавать.
запустится ssh-auth, спросит пароль, сам все обработает и выдаст, что надо.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

61. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (61), 16-Окт-24, 22:14 
И всё-таки, можно механизм взаимодействия между процессами накидать. Кто и каким образом спавнит, как возвращают результат работы. А то тут dbus десяток лет хрен знает чем занимается, тормозит, что даже в ведро его пытались закинуть.
Ответить | Правка | Наверх | Cообщить модератору

39. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от Аноним (39), 16-Окт-24, 04:51 
Они собираются убрать дефолтным поведение, которое позволяет логинится по паролю пользователя в любого пользователя? Кажется дибилизмом каждый раз при создании конфига отменять вайлдкард на все группы и пользователей и для каждого отдельного, который тебе нужен, вписывать его обратно.
Ответить | Правка | Наверх | Cообщить модератору

45. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от мявemail (?), 16-Окт-24, 06:35 
идите к ним в гит и сделайте репорт/почитайте, почему так.
Ответить | Правка | Наверх | Cообщить модератору

49. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +1 +/
Сообщение от а (?), 16-Окт-24, 07:40 
зачем вписывать каждого? создайте группу sshusers, пропишите ее в конфиг, и добавляйте нужных пользователей в нее.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

64. "В OpenSSH код аутентификации вынесен в отдельный процесс ssh..."  +/
Сообщение от _ (??), 17-Окт-24, 00:12 
The Best Business Practice for ХЗ сколько лет ... но для некоторых шокирующие инновации(С) :)
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру