Доступен (http://lists.mindrot.org/pipermail/openssh-unix-announce/201...) выпуск OpenSSH 6.9 (http://www.openssh.com/) - открытой реализации клиента и сервера для работы по протоколам SSH и SFTP. Сообщается, что OpenSSH 6.9 сформирован незадолго до выпуска OpenSSH 7.0, в котором будет прекращена поддержка ряда возможностей, что может негативно отразиться на совместимости с существующими конфигурациями. OpenSSH 6.9 в основном содержит исправление ошибок и подводит своеобразный итог перед появлением новой значительной версии, которая ожидается в этом месяце.
Из изменений в OpenSSH 7.0, нарушающих совместимость, выделяется:- По умолчанию значение директивы конфигурации PermitRootLogin изменено с "yes" на "no", т.е. удалённый вход под пользователем root потребует явного изменения значения опции.
- Поддержка первой версии протокола SSH будет отключена по умолчанию на стадии компиляции. Протокол SSH-1 отмечен как устаревший, небезопасный и не рекомендуемый для использования. Кроме того, работа OpenSSH без OpenSSL возможна только при использовании протокола SSH-2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSH-1. Отключение SSH-1 по умолчанию на уровне сборки упростит распространение в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL.- Отключена по умолчанию поддержка обмена 1024-битными ключами diffie-hellman-group1-sha1;
- Отключена по умолчанию поддержка ключей пользователя и хоста ssh-dss и ssh-dss-cert-*;
- Удалён код для поддержки формата сертификатов v00;
- По умолчанию отключены шифры blowfish-cbc,
cast128-cbc, все варианты arcfour и алиасы rijndael-cbc для AES;
- Запрещено использование любых RSA-ключей, размером менее 1024 бита.
Изменения в выпуске OpenSSH 6.9:
- По умолчанию в ssh и sshd теперь предлагается шифр chacha20-poly1305@openssh.com;
- В ssh устранена проблема с ложным срабатыванием ограничений XSECURITY при установке проброса соединений к X11 после истечения таймаута (ForwardX11Timeout) в случае применения опции ForwardX11Trusted=no;
- В ssh-agent устранены недоработки в блокировке агента (ssh-add -x), которые приводят к лишней задержке в случае ввода неверного пароля и могут использоваться для принятия решения при выполнении подбора пароля.- В команду AuthorizedKeysCommand для sshd добавлена возможность указания заданных администратором произвольных аргументов;
- Добавлена команда AuthorizedPrincipalsCommand, позволяющая настроить получение информации из субпроцесса, а не файла;
- В ssh и ssh-add добавлена поддержка устройств PKCS#11 с внешним устройством ввода PIN-кода;- В ssh-keygen добавлена команда "ssh-keygen -lF hostname" для поиска в known_hosts и вывода хэшей ключей вместо их полного содержимого;
- В ssh-agent добавлена опция "-D" для запуска без перехода в фоновый режим и без включения отладки.
URL: http://lists.mindrot.org/pipermail/openssh-unix-announce/201...
Новость: http://www.opennet.me/opennews/art.shtml?num=42547
сейчас прибегут спамботы и начнут письма на chacha20-poly1305@openssh.com слать ;)
гы, нехилый honeypot/spamtrap
> сейчас прибегут спамботы и начнут письма на chacha20-poly1305@openssh.com слать ;)Еще можно на chacha20-poly1305@opennet.ru :)
> По умолчанию значение директивы конфигурации PermitRootLogin изменено с "yes" на "no", т.е. удалённый вход под пользователем root потребует явного изменения значения опции.Когда впервые увидел такое в CentOS после долгих лет юзанья *BSD, для меня это было дикостью... впрочем как и сейчас. Ынтерпрайз, млин.
Все правильно. Под рутом работать не рекомендуется.
Ну так во фряхе как раз и no по умолчанию, а в центосях и прочих редхатах - yes.
тебе и плюсанувшим - жаркий привет.
> Все правильно. Под рутом работать не рекомендуется.Так на сервер обычно заходят не "работать" а "админить". А вот админить без прав рута... нууууу... попробуйте :)
>не "работать" а "админить"Безобразие! Уволить бездельников!!
"su -", "sudo -s"
-Отключена по умолчанию поддержка ...
-Отключена по умолчанию поддержка ...
-Удалён код ...
-По умолчанию отключены...Тео...
Teo Torriatte
Queen?
Спасибо, Кэп.
> -Отключена по умолчанию поддержка ...
> -Отключена по умолчанию поддержка ...
> -Удалён код ...
> -По умолчанию отключены...
> Тео...В данном случае больше Дамьен Миллер; по крайней мере коммиты на его счету.
Какой нафиг милер, какой в жопу queen? Тео де Раадт, основатель OpenBSD, человек мимо которого ни один коммит так просто не пройдет, особенно фича.
https://en.wikipedia.org/wiki/Teo_Torriatte_(Let_Us_Cling_To...)
> -Отключена по умолчанию поддержка ...
> -Отключена по умолчанию поддержка ...
> -Удалён код ...
> -По умолчанию отключены...
> Тео...Наконец то проблески адеквата. А то понаделали 20 недовпнов, недопортфорвардеров и недокачалок, при погано работающем и небезопасном протоколе передачи данных...
Убили совместимость с nx. Он и так то мертв был, а теперь еще и из трупов выбирать нечего.
> еще и из трупов выбирать нечего.А зачем выбирать из трупов? Некромансия - это фу!
> По умолчанию отключены шифры … все варианты arcfour …И как они предлагают по гигабитке между серверами единичными большими файлами (10+Gb) перекидываться на скоростях близких к ПСП сетевого интерфейса? NFS сервер поднимать что ли на один раз? Другие шифры упираются в проц даже половину канала не заняв.
"По умолчанию" ничего не говорит? Ох уж мне эти нонешние одмины - дефолтные настройки поменять не могут
Отключено по умолчанию при компиляции или в runtime?
Из ченжлога не особо понятно, но скорее всего - в рантайме для клиента. Если при компиляции - они обычно всё же явно пишут
Socat в школе не проходили ещё, горе аутлуковое?
Научи, о гуру, передавать через socat хотя бы небольшое деревцо каталогов! Просим, просим!
Например нужно перекинуть пяток виртуалок, каждая из которых находится в своём подкаталоге.
И так что бы количество ручных операций вместо одной scp не выросло до десятка различных команд.
А мы посмотрим кто тут школьник - только вопить горазд.
> Научи, о гуру, передавать через socat хотя бы небольшое деревцо каталогов! Просим,
> просим!man tar подаст.
Ещё один предлагатель трёхэтажного пайпа с обоих сторон вместо одной scp/sftp.
> Ещё один предлагатель трёхэтажного пайпа с обоих сторон вместо одной scp/sftp.Пайпы тоже не проходили ещё? А родители знают, что ты в на Опеннет ходишь?
> Пайпы тоже не проходили ещё? А родители знают, что ты в на
> Опеннет ходишь?Сразу видно младшую группу - прошли что-то и давай это использовать по поводу и без повода - границы применимости вы же ещё не проходили.
Зачем усложнять что-то на столько простое, как копирование файлов? Прям как армянский комсомол - сначала создадим себе сложностей, а потом героически их преодолеваем.
> Например нужно перекинуть пяток виртуалок, каждая из которых находится в своём подкаталоге.То есть ты чинишь при помощи SSH то, что у тебя поломано архитектурно? У вас в школе весь прод на Вагранте что ли?
> И так что бы количество ручных операций вместо одной scp не выросло до десятка различных команд.
Так тебе шашечки или ехать?
Копирование больших файлов - это дефект архитектуры?
Или в вашем садике все файлы маленькие?Как раз scp - это ехать! А то, что вы здесь предлагаете - сплошные костыли.
"Горе аутлуковое" - это надо запомнить
Если шифрование на данном сегменте сети ненужно:
nc -ll -p 7777 -e sftp-serverПодключаться клиентом умеющим работать с sftp напрямую:
sshfs 192.168.0.3:/ /mnt/ssh -o directport=7777,reconnect,delay_connectМинимальное потребление памяти и максимальная скорость. Использую для локальной сети, в том числе и на телефоне с андройдом ;)
> шифрование на данном сегменте сети ненужно
> sftp-server
> sshfsЯ не расслышал, "не нужно", говорите? Вы не забыли колючик --telnet ssh передать или arc4 какой?
> в том числе и на телефоне с андройдом ;)
> Я не расслышал, "не нужно", говорите? Вы не забыли колючик --telnet ssh
> передать или arc4 какой?Зачем?
>> Я не расслышал, "не нужно", говорите? Вы не забыли колючик --telnet ssh
>> передать или arc4 какой?
> Зачем?Я просил пояснить, Вы говорите, что шифрование в ssh&co есть и оно "не нужно", или Вы говорите, что шифроание "не нужно" и его нет в ssh&co.
В sftp-server нет шифрования. При желании получить быструю сетевую шару без шифрования его можно использовать совместно с nc.
> В sftp-server нет шифрования. При желании получить быструю сетевую шару без шифрования
> его можно использовать совместно с nc.Спасибо! Не знал. ---Записать и запомнить: первая "s" в "sftp-server" -- не читается в честь Великого Уних-Вея-оглы.
Это сарказм и вы не верите, что sftp-server нет шифрования?
>Это сарказм и вы не верите, что sftp-server нет шифрования?Конечно!
Потому что с одной стороны $Subj - без шифрования - не умеет. Чуть более чем полностью :)
А с другой стороны ХЗ чего ты там _у_себя_ в песочнице назвал sftp_server-ом :)
Ненужно так громко заявлять о том, чего не знаешь. Покажи мне шифрование в исходниках sftp-server (того самого который постановляется вместе с openssh).
> Это сарказм и вы не верите, что sftp-server нет шифрования?Я, конечно, Страшный Мастер Сарказма, Наводящий Ужас,но <не сарказм> это я вполне себе признал, что в #28 был неправ и пытался отмазаться, указав на причину ошибки.
<ещё отмазка, интересно же> А в sshfs тоже нет шифрования, и как оно работает с nc на той чстороне? [U]Спасибо![/U] </не сарказм><и я не><закрываю таги>
> А в sshfs тоже нет шифрования, и как
> оно работает с nc на той чстороне?Насколько я знаю - аналогично: sshfs запускает ssh для зашифрованного канала.
>> В sftp-server нет шифрования. При желании получить быструю сетевую шару без шифрования
>> его можно использовать совместно с nc.
> Спасибо! Не знал. ---Записать и запомнить: первая "s" в "sftp-server" --
> не читается в честь Великого Уних-Вея-оглы.Ну ты бы хоть посмотрел как он работает, ей-богу:
DESCRIPTION
sftp-server is a program that speaks the server side of SFTP protocol to stdout and expects client requests from stdin. sftp-server is not intended to be called directly, but
from sshd(8) using the Subsystem option.Command-line flags to sftp-server should be specified in the Subsystem declaration. See sshd_config(5) for more information.
>>> В sftp-server нет шифрования. При желании получить быструю сетевую шару без шифрования
>>> его можно использовать совместно с nc.
>> Спасибо! Не знал. ---Записать и запомнить: первая "s" в "sftp-server" --
>> не читается в честь Великого Уних-Вея-оглы.
> Ну ты бы хоть посмотрел как онЯ посмотрел! Не сразу, %) да.
> DESCRIPTION
> sftp-server is a program that speaks the
> server side of SFTP protocol to stdout and expects client requests
> nc -ll -p 7777 -e sftp-serverman nc
-e If IPsec support is available, then one can specify the IPsec
policies to be used using the syntax described in
ipsec_set_policy(3). This flag can be specified up to two times,
as typically one policy for each direction is needed.
Вы предлагаете еще и IPsec настроить? По вашему NFS сложнее?
А в nc от CentOS 6.6 даже опции такой нет.> sshfs 192.168.0.3:/ /mnt/ssh -o directport=7777,reconnect,delay_connect
По твоему это подходит под определение "также просто как через scp -c arcfour128"?
Может вы перед тем как что-то предлагать сами попробуете свои варианты?
>[оверквотинг удален]
> one can specify the IPsec
>
> policies to be used using the syntax described in
>
> ipsec_set_policy(3). This flag can be specified up to two
> times,
>
> as typically one policy for each direction is needed.
> Вы предлагаете еще и IPsec настроить? По вашему NFS сложнее?
> А в nc от CentOS 6.6 даже опции такой нет.Хз что там CentOS 6.6, у меня везде busybox:
nc --help
BusyBox v1.22.1 (2015-01-23 15:15:52 UTC) multi-call binary.Usage: nc [-iN] [-wN] [-l] [-p PORT] [-f FILE|IPADDR PORT] [-e PROG]
Open a pipe to IP:PORT or FILE
-l Listen mode, for inbound connects
(use -ll with -e for persistent server)
-p PORT Local port
-w SEC Connect timeout
-i SEC Delay interval for lines sent
-f FILE Use file (ala /dev/ttyS0) instead of network
-e PROG Run PROG after connect
>> sshfs 192.168.0.3:/ /mnt/ssh -o directport=7777,reconnect,delay_connect
> По твоему это подходит под определение "также просто как через scp -c
> arcfour128"?Если нужно работать с файлами по сети на прямую - например посмотреть фотографии/видео/документы не копируя их - то да. Перемотка видео естественно работает.
> Может вы перед тем как что-то предлагать сами попробуете свои варианты?
Использую ежедневно три года ...
> Хз что там CentOS 6.6, у меня везде busybox:Суровый человек. И как тебе его ps или top заместо нормальных? :)
> Суровый человек. И как тебе его ps или top заместо нормальных? :)А что с ними не так?
Для ps стоит alias "ps -o pid,nice,time,vsz,rss,comm,args".
Там при сборке busybox конечно можно повыкидывать из ps и top многие возможности, но я оставил.
Да и насколько я понял у nc из busybox больше возможностей, чем у стандартного :)
>> nc -ll -p 7777 -e sftp-server
> man nc
> -e If IPsec support is available, thenЭто не тот `man nc`. [и рукой - так \ ;я джедай?]
Как вариант:
socat TCP4-LISTEN:7777 EXEC:/usr/lib/sftp-serverhttp://superuser.com/questions/32884/sshfs-mount-without-com...
> Как вариант:
> socat TCP4-LISTEN:7777 EXEC:/usr/lib/sftp-serverА ты такой дурак - по субботам али как? (С) Филатов.
Иди ужо в торгаши, "нет шифрования" :)
Ещё один на ключевые слова реагирует. Вы, чёрт возьми, хоть что-то читаете? Да, представь себе - sftp-server не занимается шфированием - с ним взаимодействуют по уже существующему каналу (обычно - ssh (с шифрованием, понятно), здесь - nc или socat - без всякого шифрования.
> Иди ужо в торгаши, "нет шифрования" :)Да он вроде ядерный разработчик, бывший, чтоли. Временами он конечно забавно тормозит, но приравнять Зенкова к торгашам - это таки наглость.
Ну не физик-ядерщик, но во многие открытые проекты патчи отсылал, в том числе и в ядро.
чача поточная
юзай ее
Почему blowfish-cbc отключили?
> Почему blowfish-cbc отключили?его АНБ "ниасилил", самоочевидно.
как и Serpent, младший CAST и ряд других вещей, ими отовсюду выкидываемых с маниакальностью достойной лучшего примненеия(вроде выкидывания DES, 3DES, RCx и пр)
Да, я знаю про доказанную стойкость blowfish и сомнительность AES - поэтому и спросил.
> Да, я знаю про доказанную стойкость blowfishзнаток хренов:
https://en.wikipedia.org/wiki/Blowfish_(cipher)
Blowfish is known to be susceptible to attacks on reflectively weak keys... Bruce Schneier, Blowfish's creator, is quoted in 2007 as saying "At this point, though, I'm amazed it's still being used. If people ask, I recommend Twofish instead."
Болванка прочла википедию и возомнила себя гуру. С blowfish как раз все предельно ясно, т.к. стойкость шифра определяется стойкостью ключа. Там где ты смотре - в википедии тебе не написали об этом, а своих могов нет, верно?
> предельно ясно, т.к. стойкость шифра определяется стойкостью ключа.А тайминг-атаки икаются и Blowfish и AES. Потому что оба - схемы с S-Box'ами. В новых алгоритмах криптографы S-box не пользуются - слишком много информации о характере ключа утекает косвенными методами.
Да черт знает, так тут как ни крути, но сама концепция стойкости шифра по стойкости ключа будет содержать S-Box или альтернативу (пусть даже размытую на итерации) которая все равно будет сохранять характерные признаки ключа. Лучше расскажите что вы думаете/знаете "личного" о threefish ?
> Да, я знаю про доказанную стойкость blowfish и сомнительность AES - поэтому и спросил.Вообще-то оба уязвимы по части атак. Привет оптимистам, короче. Если вы оптимист - вы точно не криптограф и даже близко не стояли, поэтому ваше экспертное мнение можно помножить на ноль :P.
> Вообще-то оба уязвимы по части атак.А самый цимес то и выпал - по части ТАЙМИНГ атак. На процессорный кэш и прочая. По совремнным меркам, если алгоритм отрабатывает за разное время с разными ключами - это FAIL, т.к. утекает наружу информацию о характере ключа.
Это поправимо на уровне реализации. Нет, я не это имел ввиду когда ссылался на AES.
> ssh-keygen -lF hostnameнаконец-то