Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз OpenSSH 7.6"	+/–
Сообщение от opennews (?), 04-Окт-17, 12:08
После шести месяцев разработки представлен (http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-Oct...) релиз OpenSSH 7.6 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Выпуск примечателен удалением из кодовой базы всех компонентов, связанных в реализацией протокола SSH1. Протокол SSHv1 был признан устаревшим около 10 лет назад и серверная часть SSH1 была удалена достаточно давно, но возможность сборки клиента для SSH1  оставалась, что позволяло использовать актуальные выпуски OpenSSH для соединения с устаревшими системами и некоторым оборудованием (например, устаревшие модели Cisco и HUAWEI). Отныне код избавлен и от клиентских компонентов SSH1. Кроме недостаточного уровня защиты, обеспечение сборки с SSHv1 накладывало ограничения на кодовую базу. Например, работа OpenSSH без привязки к библиотеке OpenSSL возможна только при использовании протокола SSHv2 и отключение SSHv1 позволяет организовать поставку в дистрибутивах конфигураций OpenSSH, собранных без привязки к OpenSSL и самодостаточных в плане методов шифрования. Полное прекращение поддержки SSH1 также позволило удалить реализации шифров arcfour, blowfish и CAST, а также RIPE-MD160 HMAC, которые были по умолчанию отключены в настройках. Кроме того, отныне  запрещено использование RSA-ключей размером менее 1024 бит и  отключена по умолчанию поддержка шифров CBC на стороне SSH-клиента (в сервере CBC был отключен  несколько лет назад). Другие изменения: -  Устранена проблема безопасности:  sftp-server позволял создавать файлы нулевой длины, несмотря на включение в настройках режима только для чтения; -  В клиент ssh добавлена директива  RemoteCommand, через которую можно на уровне файла конфигурации задать команду для выполнения на удалённой стороне сразу после входа, по аналогии с указанием команды в командной строке; -  В sshd добавлена опция ExposeAuthInfo, позволяющая организовать запись в файл лога с расширенными сведениями об используемых методах аутентификации; -  В клиент ssh добавлена поддержка динамического реверсивного проброса (reverse dynamic forwarding), при включении которого локальный ssh начинает работать как прокси SOCKS4/5, перенаправляющий через локальную систему соединения, запрошенные SOCKS-клиентом на удалённой стороне. Режим включается при помощи опции "-R"  (RemoteForward) и реализован целиком на стороне клиента (может работать со старыми версиями sshd). -  В sshd разрешено указание директивы  LogLevel в блоках Match файла конфигурации sshd_config; -  В ssh-keygen разрешено добавление произвольной строки или флага  в создаваемый сертификат; -  В ssh-keygen обеспечена возможность использования ключа, хранимого в ssh-agent, в качестве CA при заверении сертификатов; -  В ssh и sshd разрешено указание флага IPQoS=none для выставления  в ToS/DSCP значения, предлагаемого по умолчанию операционной системой; -  В ssh-add добавлен флаг "-q" для запуска  ssh-add без вывода информации на экран; -  В ssh добавлены два новых режима работы директивы StrictHostKeyChecking: -  "accept-new" для автоматического принятия до сих пор не встречавшихся ключей, но блокирования сеансов для изменившихся или некорректных хостовых ключей (более безопасный вариант режима StrictHostKeyChecking=no); -  "off" - синоним ранее доступной настройки "StrictHostKeyChecking=no", при которой автоматически принимались до сих пор не встречавшихся ключи и разрешались соединения с известными  некорректными хостовыми ключами; -  В ssh добавлена директива SyslogFacility, аналогичная ранее доступной директиве в sshd; -  При запуске sshd в Solaris обеспечен сброс дополнительных привилегий в sandbox-режиме:  PRIV_DAX_ACCESS и PRIV_SYS_IB_INFO; -  В sshd реализована передача в PAM списка выполненных методов аутентификации  через переменную окружения SSH_AUTH_INFO_0; -  Добавлены сборочные флаги "--with-cflags-after" и "--with-ldflags-after" для установки  CFLAGS/LDFLAGS после заверения выполнения скрипта configure (полезно для принудительного подключения отладочных средств проверки кода и fuzzing-тестирования; -  Добавлена поверка на основе clang libFuzzer для кода разбора открытых ключей и верификации сигнатур. URL: http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-Oct... Новость: http://www.opennet.dev/opennews/art.shtml?num=47324
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Ivan1986 (?), 04-Окт-17, 12:08	+3 +/–
вот accept-new это реально полезно
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #11

2. Сообщение от souryogurt (ok), 04-Окт-17, 12:15	–5 +/–
> В клиент ssh добавлена директива RemoteCommand, через которую можно на уровне файла конфигурации задать команду для выполнения на удалённой стороне сразу после входа Вангую волну червей использующих эту фишку
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #8

3. Сообщение от Аномномномнимус (?), 04-Окт-17, 12:19	+/–
Есть механизм обновления в ~/.ssh/authorized_keys старого публичного ключа на новый? Например я сгенерил себе новый ключ, загрузил оба ключа в агента для авторизации на "старых" и "новых" хостах и хочу чтобы по мере обхода на "старых" хостах (со старым ключом) в момент входа старый ключ заменялся на новый.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #6, #9

4. Сообщение от нах (?), 04-Окт-17, 12:29	–4 +/–
агент _ничего_ не знает о твоем публичном ключе. А хосты ничего не знают о том, что он "cтарый". учи матчасть, еще один sed-неосилятор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от AlexYeCu_not_logged (?), 04-Окт-17, 12:30	+5 +/–
>Вангую волну червей использующих эту фишку Да с чего бы? Во-первых, подобный функционал давно используется. Во-вторых, коль по ssh уже зашли на хост, данная возможность ничего не прибавит и не убавит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7

6. Сообщение от Аноним (-), 04-Окт-17, 12:34	+2 +/–
authorized_keys на сервере описывает ключи, по которым сервер узнаёт вас (клиента). Если ключ не подойдет, то ты не сможешь даже залогиниться на сервере, не то что обновить authorized_keys. Но если старый ключ ещё есть, то можно написать скрипт, который будет с помощью старого ключа логиниться на сервер и подменять публичный ключ на новый в authorized_keys. man ssh.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #12

7. Сообщение от souryogurt (ok), 04-Окт-17, 12:47	+1 +/–
> Да с чего бы? > Во-вторых, коль по ssh уже зашли на хост, данная возможность ничего не прибавит и не убавит. Ну, наверное, я что-то не так понимаю. Я представил себе обычного непривилегированного пользователя, машина которого была как-либо заражена в первый раз. Например, веб-мастер. Его ssh конфиг меняется, и добавляется команда которая при логине на хост (например на stage, production, а еще лучше CI сервер проектов над которыми он работает) добавляет аналогичную команду которая меняет ssh конфиг авторизованного пользователя. Червь может и не знать пароль от серверов, пользователь введет его самостоятельно при подключении. Он также может залогиниться куда-нибудь как root. Допустим он залогинился на CI чтобы поменять настройки. на CI ssh конфиг поменялся. В следующий раз когда CI будет логиниться на stage или production, процесс повторится. Возможно такое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #15, #18

8. Сообщение от нах (?), 04-Окт-17, 13:43	+/–
> Вангую волну червей использующих эту фишку авторы червей - грамотные ребята, и давно ее заимплементили самостоятельно. Но да, теперь им можно расслабиться и поддерживать одним куском кода меньше ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

9. Сообщение от Борщдрайвен бигдата (?), 04-Окт-17, 14:26	+/–
ssh-copy-id с авторизацией по старому ключу, нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #19

10. Сообщение от Аноним (-), 04-Окт-17, 14:57	–1 +/–
Воистину так!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

11. Сообщение от Товарищ майор (?), 04-Окт-17, 14:58	+3 +/–
Мы тоже одобряем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от Crazy Alex (ok), 04-Окт-17, 16:34	+2 +/–
Ну собственно вопрос товарища  был - есть ли такое готовое, чтобы самому не писать. Как по мне - правильный вопрос, подобный менеджмент должен быть в коробке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #14

13. Сообщение от pfg21 (?), 04-Окт-17, 16:44	+/–
жаль аркфору, быстрый был. А что сейчас самое быстрое ??
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #29, #46

14. Сообщение от забыл_пароль_от_тигар (?), 04-Окт-17, 17:23	–2 +/–
подобный "менеджмент" состоит из: * импорта в ssh-agent обоих ключей (старый+новый) * ssh-copy-id (или таки sed, как местный Прозревший под ником толи "пох" толи "нах" вещает в комментах которой уже новости) * ssh host sed '/pattern to match(old_key)/d' делаешь алиасом для ssh этот враппер и получаешь то, что изначально и хотел афтар либо, к примеру, каким ансиблом/циклом на шелл это дело фигачишь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #21

15. Сообщение от angra (ok), 04-Окт-17, 17:34	+/–
Возможно конечно, извращаться можно по разному, а можно не ждать у моря погоды, а сразу пройтись по всем хостам, к которым юзер когда-либо подключался, и сделать там своё темное дело. Так и быстрее и меньше следов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #17

16. Сообщение от Stax (ok), 04-Окт-17, 17:54	+3 +/–
aes128-gcm@openssh.com у меня выдает 500 МБ/сек (при копировании с localhost на localhost), это в полтора раза быстрее, чем arcfour в таком же тесте. Зачем он вам? (проц, конечно, с поддержкой AES-NI, но это сейчас даже в атомах есть несколько лет как)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #20, #24

17. Сообщение от EHLO (?), 04-Окт-17, 18:16	+3 +/–
> Возможно конечно, извращаться можно по разному, а можно не ждать у моря > погоды, а сразу пройтись по всем хостам, к которым юзер когда-либо > подключался, и сделать там своё темное дело. Так и быстрее и > меньше следов. Если юзер по паролю логинится или ключ зашифрован и агент не запущен, тогда в этом RemoteCommand есть скрытый смысл, чувак прав.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #32

18. Сообщение от anonimus (?), 04-Окт-17, 19:27	+/–
Звучит правдоподобно. Но судя по описанию, в таком случае интерактивной сессии не случится. Смотреть надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

19. Сообщение от Аномномномнимус (?), 04-Окт-17, 20:01	–1 +/–
ssh-copy-id придётся каждый раз руками набирать, когда хостов много и они постоянно меняются, это лет за много лет безумно надоедает. К тому же ещё устаревший ключ нужно дропнуть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #22, #50

20. Сообщение от pfg21 (?), 04-Окт-17, 20:41	+/–
у меня есть файлопомойка на стареньком проце, тех времен когда о шифрации сильно не думали, точнее дурон  1ггц. он прекрасно работает, там валяетя синхронизируемая копия сд-карточки с телефона, куда периодически закидываю музон. требования к закрытости небольшие, а скорость никогда не помешает. я конечно утрирую, пофиг до скорости на таких задачках, но внутренний идеалист нажимает на жабу после такой картинки http://hsto.org/files/9b6/2b7/0a3/9b62b70a363d41d2a78f676b71... :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #25

21. Сообщение от Аномномномнимус (?), 04-Окт-17, 20:47	+1 +/–
Да, sed, awk, ansible, ещё вагон костылей и скрипты поверх всего этого зоопарка. Разумеется для каждой ОС свой персональный набор костылей, о своими багами и приколами вплоть до "все ключи убиты, ни один не добавился, а авторизация по паролю запрещена" вместо функционала, который нужен из коробки, наравне с ssh-copy-id. Если ты не согласен, то не пользуйся ssh-copy-id, пользуйся scp и костылями по ручному добавлению в authorized_keys всякого (так жы веселей)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #33

22. Сообщение от пох (?), 04-Окт-17, 21:32	–2 +/–
шелл, оказывается, тоже ниасилен, как и sed? Ну понятно, виндyзятник до такой степени - должен страдать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #23

23. Сообщение от Аномномномнимус (?), 04-Окт-17, 21:47	–2 +/–
Виндузятникам на эту фичу как правило плевать, потому что у них авторизация разруливается совсем иначе. Но ты продолжай рукоблудить-манкикодить на скриптах и конфигах, вдруг токсикоз пройдёт, полегчает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

24. Сообщение от пох (?), 04-Окт-17, 22:22	–3 +/–
> (проц, конечно, с поддержкой AES-NI, но это сейчас даже в атомах есть > несколько лет как) у меня атом 2011го года - мне его в помойку нести, потому что ssh-вырежем-все-подряд-неписатели так решили? (понятно, что я проживу без этого архинужного апргейда еще лет десять, а потом либо шах, либо ишак, либо сам ходжа, но что прикажете делать тем, кому достанется именно эта версия?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #26

25. Сообщение от пох (?), 04-Окт-17, 22:33	–3 +/–
> требования к закрытости небольшие, а скорость никогда не помешает. я конечно > утрирую, пофиг до скорости на таких задачках э нет, это _твое_ время, а не машинное, которое _ты_ ждешь, пока оно докопирует. > но внутренний идеалист нажимает на жабу после такой картинки мой внутренний идеалист категорически против использования новых-модных версий openssh, сделанных неосиляторами для неосиляторов, чего и вашему желает. вплоть до ручного пакетирования чего-нибудь 5.3 на основе редхатовской сборки с ручным бэкпортом патчей и всерьез подумывания, не откопать ли обратно исходники последних версий ssh1. вот ровно ни одна фича из появившихся за последние пять лет совершенно не нужна в реальном мире. В отличие от героически выпиленных в борьбе за светлое ничто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

26. Сообщение от Stax (ok), 04-Окт-17, 22:35	+2 +/–
Не хотите - не несите. А что, для остального (веб браузинг и тп) хватает, а вот скорости ssh прямо вот никак не хватает? Нашел под рукой древний Atom 2011 года (N2800). 1.86 Ghz, TDP 6.5W. Двухядерный даже! Никакого AES-NI и в помине нет, конечно. Выдает 27 МБ/с в aes256. Неплохо бы быстрее, но.. неужели это будет узким местом в каких-либо задачах под такой процессор?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #27, #30

27. Сообщение от пох (?), 05-Окт-17, 01:41	–2 +/–
> Не хотите - не несите. А что, для остального (веб браузинг и тп) хватает с некоторыми разумными ограничениями - пока хватает. аппаратного ускорения видео, павшего жертвами таких же горе-разработчиков-всего-нового вместе с флэшем, конечно жаль (в винде нет проблемы). > Неплохо бы быстрее, но.. неужели это будет узким местом в каких-либо задачах под такой > процессор? ну вот хочешь ты скопировать побыстрому исошник на хранилку виртуалок, и бежать в другое место. Можно, конечно,заморочиться и настроить у себя ftpd. Потом залезть на хранилку и оттуда клиентом стащить. А можно просто запустить scp. Но с aes придется "немного" подождать. Примерно так вдвое больше, чем с blowfish, и втрое чем с none. none на хранилку возводить немного сложно. Исошника злым хакерам, разумеется, ни разу не жалко. А время - оно твое идет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #28, #31

28. Сообщение от Crazy Alex (ok), 05-Окт-17, 01:55	+/–
Конкретно в данном случае - можно запустить копирование и убежать, на что там смотреть? А вообще - железа без аппаратной поддержки aes таки мало, ситуаций, когда критична скорость заливки по ssh на что-то внутреннее тоже мало, а их пересечение - совсем копейки. А пока эта версия распространение получит - так и вовсе поддерка аппаратного aes будет с каждом фантике от конфеты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #37

29. Сообщение от Crazy Alex (ok), 05-Окт-17, 01:57	+1 +/–
> жаль аркфору, быстрый был. > А что сейчас самое быстрое ?? если не аппаратный aes - то chacha20
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #35

30. Сообщение от John (??), 05-Окт-17, 09:12	+/–
Удалённые X-ы, LTSP, ... Чтобы работало нормально приходится за каждый такт бороться - жаль arcfour. Возможно, алгоритм слабоват в текущих реалиях, но в контролируемом окружении (L2 ACL + огорожено всё что нужно) - это вполне годная вещь была. Удалённые графические приложения с ним летали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #39

31. Сообщение от EHLO (?), 05-Окт-17, 09:42	+1 +/–
> ну вот хочешь ты скопировать побыстрому исошник на хранилку виртуалок, и бежать > в другое место. Можно, конечно,заморочиться и настроить у себя ftpd. Так и запишем: 1. netcat не осилен; 2. виртуалки на какой-то дряни запускаются, которая даже upload в красивом динамичном web-интерфейсе не может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #34, #38

32. Сообщение от noname.htm (ok), 05-Окт-17, 10:06	+/–
Червь меняет вызов ssh через алиас на свой враппер, который просто перехватит пароль к серверу и ключу - вуаля. Если машина скомпрометирована, то лучший путь - переустановка с нуля, т.к. наворотить можно при желании так, что пол жизни разбираться будешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

33. Сообщение от забыл_пароль_от_тигар (?), 05-Окт-17, 10:08	+/–
твои патчи ("функционала, который нужен из коробки, наравне с ssh-copy-id") отвергают или где?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

34. Сообщение от Crazy Alex (ok), 05-Окт-17, 11:19	+1 +/–
ну, для нетката надо, как минимум, иметь лишний открытый порт в файрволле. А куда "красивый динамичный" засунуть - я детализировать не буду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #36, #40

35. Сообщение от pfg21 (ok), 05-Окт-17, 11:23	–1 +/–
Спасибо, запомню на будущее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

36. Сообщение от EHLO (?), 05-Окт-17, 13:22	+/–
> ну, для нетката надо, как минимум, иметь лишний открытый порт в файрволле. пускай он сам отмазки придумывает, не подсказывай > А куда "красивый динамичный" засунуть - я детализировать не буду. куда и зачем и что в этом плохого?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

37. Сообщение от пох (?), 05-Окт-17, 14:46	–1 +/–
> Конкретно в данном случае - можно запустить копирование и убежать, на что там смотреть? прибежал, а оно, опа, отвалилось в процессе. Или места не хватило. А может неплохо было прежде чем убегать ,еще и инсталл оттуда дернуть? В общем, много случаев, когда лучше дождаться конца операции, или работа вообще стоит, пока оно копируется. И очень много - когда от ssh требуется только безопасность аутентификации, а не шифрованный канал (это не столько беда ssh, сколько забития всей индустрией на отличающиеся от ssh протоколы - ну как же, вот же, ж удобно жеж - все в одном флаконе). > А вообще - железа без аппаратной поддержки aes таки мало ну, я теперь имею железный аргумент на следующей работе требовать с начальства ноут поновее - а то на моем "i3-2350M" тоже как-то aes'ом не пахнет, но вообще-то таких вполне еще приличных X230 не так чтобы "мало". Мало более новых, и не всем дают. Он, конечно, в любом случае не такой дохлый как домашний атом, и тормозить, наверное, будет приемлемо (не буду мерять, чтоб не расстраиваться). > А пока эта версия распространение получит ох... твои б слова да Богу в уши, но, боюсь, через пару месяцев уже где-нибудь да напорешься.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #41

38. Сообщение от пох (?), 05-Окт-17, 14:55	–1 +/–
> Так и запишем: 1. netcat не осилен; 2. виртуалки на какой-то дряни неткат на, хм, esxi, точно-точно есть? ;-) Стоит ли гонять гигабайтный образ без хотя бы минимального контроля целостности, вопрос отдельный (хм, и md5 там, оказывается, тоже нет?) > запускаются, которая даже upload в красивом динамичном web-интерфейсе не может. может. over ssl, и cipher выбираешь не ты. В случае esxi - windows only через странный кривой плагин, который наверное вот в новом-модном фуфлофоксе завтра отвалится. (download без этих ограничений, но, разумеется, тоже ssl) Мне, как правило, проще и быстрее использовать scp (или таки настраивать ftpd у себя, но безопасность неодобряэ). (а, хотя, хрен там - это ж vcenter, если б его не было, наверное вообще не было бы такой фичи в наличии) И, собственно, что, это единственный случай, когда надо перегнать по сети что-то не совсем мелкое, и при этом мы не боимся его показать страшным-престрашным хакерам? Я-то его вспомнил ровно потому, что именно этот процесс именно мне часто приходится ждать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #45

39. Сообщение от пох (?), 05-Окт-17, 14:55	–1 +/–
> Удалённые X-ы, LTSP, ... > Чтобы работало нормально приходится за каждый такт бороться - жаль arcfour. серьезно? Мне казалось, там главное rtt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

40. Сообщение от пох (?), 05-Окт-17, 14:59	–1 +/–
> ну, для нетката надо, как минимум, иметь лишний открытый порт в файрволле. для ssh тоже, но мне не жалко - просто не воспринимаю я netcat как способ передачи файлов. И, наверное, ничего не хочу знать о том, как работают люди, у которых при наличии ssh доступа к хосту, в голове всплывает netcat для "скопировать файлик". (ну вот наверное да - выбирать шифрование под задачу они точно не умеют) > А куда "красивый динамичный" засунуть - я детализировать не буду. я там в красках описал, как оно на самом деле устроено, тебе еще больше захочется его туда засунуть ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #42

41. Сообщение от Crazy Alex (ok), 05-Окт-17, 15:36	+/–
Да я ж не спорю, бывает. Но чтобы это было значимо в плане потерь времени - сомнительно. А свалить с зоопарка на одно решение - обычно выгодно с точки зрения бизнеса. Что до ноута - что-то у вас совсем печально с железом, могу только посочувствовать. Начиная с того, что вообще что-то на атомах или i3. И где можно напороться в продакшне на что-то, что вышло пару месяцев назад? Я больше вижу обратное - стоны "блин, да обновитесь уже на версию, которой всего полтора года, а не четыре". Не на арче же у вас там системы. В общем, я верю, что такая беда в каких-то случаях может возникнуть, но чтобы массово - ни шанса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #44

42. Сообщение от Crazy Alex (ok), 05-Окт-17, 15:39	+/–
ssh и так везде есть, там порт один хрен как-то открывается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #43

43. Сообщение от пох (?), 05-Окт-17, 17:50	+/–
> ssh и так везде есть ты явно не тамагочил vmware. Есть-то он есть, но при попытке его включить загорается красивый жельтий фак. > там порт один хрен как-то открывается. ровно в том же месте, где можно и любой другой порт открыть. И никакой тебе автоматики - запуск sshd никак не влечет открытия ему портов, идешь и вручную разрешаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от пох (?), 05-Окт-17, 17:56	–1 +/–
> Что до ноута - что-то у вас совсем печально с железом, могу да я как-то особых страданий не испытываю, мне на нем не жабу отлаживать (хотя, да, metro2033 не идет же ж, блин!) - а что, где-то инженерам что-то круче леновы пятилетней давности выдают по первому требованию? > И где можно напороться в продакшне на что-то, что вышло пару месяцев > назад? Я больше вижу обратное - стоны "блин, да обновитесь уже ну вот обновился на текущую openbsd (только на днях и не совсем законным образом удалось тут похоронить зверушку - то есть оно реально используется в некоторых специфичных вещах) - какой он там будет? Отож. > В общем, я верю, что такая беда в каких-то случаях может возникнуть, > но чтобы массово - ни шанса. ну, может не завтра еще , но через несколько месяцев нарваться будет вполне реально, а через пару лет станет общим местом. И очень навряд ли у меня к этому времени не останется процессоров без AES-NI.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

45. Сообщение от EHLO (?), 05-Окт-17, 21:10	+/–
> неткат на, хм, esxi, точно-точно есть? ;-) > Стоит ли гонять гигабайтный образ без хотя бы минимального контроля целостности, вопрос > отдельный (хм, и md5 там, оказывается, тоже нет?) Говоришь они в VmWare настолько ненавидят своих пользователей, что приложили усилия для сборки busybox без netcat и md5sum? Сомневаюсь. Попробуй nc, ncat. С другой стороны почему бы и нет. Общеизвестно, что для юзеров проприетари страдание -- нормальное и привычное состояние души. Поэтому про удобный интерфейс, аплоад, бэкап и другие естественные потребности не будем упоминать лишний раз.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #47

46. Сообщение от Ананас (?), 06-Окт-17, 09:24	+/–
Самое печальное, что оно еще и в одно ядро упирается. А так есть вроде патчики с нуль-шифром.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #48

47. Сообщение от пох (?), 06-Окт-17, 15:36	–1 +/–
а, точно, это ж линукс, там md5sum должен быть. > Поэтому про удобный интерфейс, аплоад, бэкап и другие естественные потребности не будем > упоминать лишний раз. как только героические девелоперы непроприетари распутают свои шнурки и осилят написать что-то аналогичное - мы немедленно на него перейдем. А пока у нас есть работающая проприетарь и неработающий с числом процессоров >1 сетевой драйвер в поделке имени оракла (не говоря уже о том, что какой там, в жо, удобный интерфейс, ЭТО в страшном сне должно сниться, с названием бинаря в mixed case), управляемой через интуитивно-приятный php-интерфейс, потому что все остальные в ней интерфейсы вообще к удаленному управлению непригодны. Так что дома мне проще, по старинке, подсунуть в esxi свой sshd с 'none' - пока еще кое-как удается его собирать, чем ковыряться с неткатом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

48. Сообщение от пох (?), 06-Окт-17, 15:42	–2 +/–
> Самое печальное, что оно еще и в одно ядро упирается. А так > есть вроде патчики с нуль-шифром. ага, знаем мы эти патчики - времен sshd версии 4.0, до "героичных выпиливателей". Но я бы все же советовал blowfish - он достаточно быстр, чтобы упираться в сетевуху и диски, а не процессор, на хоть немного приличном железе, и есть везде, кроме тех мест, куда успеют добраться последние новые-модные поделки. А контроль целостности (в отличие от ненужношифрования) иметь полезно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

49. Сообщение от АнонимХ (ok), 06-Окт-17, 16:36	–1 +/–
А что за SFTP и как им пользоваться? Клиент какой должен быть? Firefox сможет качать с SFTP?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

50. Сообщение от Борщдрайвен бигдата (?), 06-Окт-17, 17:33	+/–
> хостов много > они постоянно меняются > много лет Если за много лет в таком сценарии не освоен хоть поверхностно какой-нибудь ansible, то всё очень плохо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

51. Сообщение от Andrey Mitrofanov (?), 06-Окт-17, 18:37	+2 +/–
> А что за SFTP и как им пользоваться? Клиент какой должен быть? > Firefox сможет качать с SFTP? https://duckduckgo.com/?q=man+sftp Но, если ты спрашиваешь, то тебе не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #53

52. Сообщение от пох (?), 06-Окт-17, 20:05	–1 +/–
Кстати, а все правильно прочитали вот это: "Режим включается [брюки превращаются] и реализован целиком на стороне клиента (может работать со старыми версиями sshd)."  ? В переводе это значит вот что: думая, что дал юзеру (всевозможными способами ограниченный) ssh на свой хост, ты автоматически дал ему socks прокси на своем хосте. (вероятно, отключается там же где и остальные прокси, но и над этим ребятки тоже работают) Пламенный превед лохам, заменяющим ftp на sftp, не обложившись по периметру ни колючкой, ни минными полями, ни рвами с крокодилами на худой конец. (hetznerам привет, кстати)
Ответить | Правка | Наверх | Cообщить модератору

53. Сообщение от Аноним (-), 07-Окт-17, 08:13	–2 +/–
Ясно, очередной ненужный комбайн. Dropbear пора штатно ставить вместо этого systemd-opensshd
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема