Анонсирован (http://www.openssh.com/txt/release-4.7) выход 4.7 (http://www.openssh.com/OpenSSH), открытой реализации клиента и сервера для работы по протоколу SSH версии 1.3, 1.5 и 2.0.В новом релизе можно отметить следующие новшества:
- Исправлена несущественная проблема безопасности, связанная с возможностью использования доверительных X11 cookie, в случае проблем с "untrusted cookie".
- По умолчанию теперь активен только протокол SSH v2;
- Более агрессивный режим посылки обновлений о состоянии окна SSH канала, что повышает производительность в сетях с большой задержкой передачи пакетов.
- Добавлен новый алгоритм расчета кода аутентификации MAC (Message authentication code) теперь рассчитывается по алгоритму UMAC-64 (RFC4418), что дает 20% выигрыш в производительности по сравнению с HMAC-MD5. Для HMAC-MD5 код теперь кешируются между пакетами, что увеличивает производительность на 12-16%;
- К ssh добавлена порция "-K" для установки "GSSAPIAuthentication=Yes";
- Новый параметр ExitOnForwardFailure, в случае установки которого ssh завершается с фатальной ошибкой, при проблеме в установке TunnelForward туннеля;
- Исправлено около 20 различных ошибок, в том числе проблема с SELinux в "permissive" режиме.URL: http://www.openssh.com/txt/release-4.7
Новость: http://www.opennet.me/opennews/art.shtml?num=11901
а опций, подобным LoginGraceTime и AuthInteractiveFailureTimeout в коммерческом SSH.COM, так и не осилили прикрутить. очень жаль, что приходится опять использовать костыли в противодействие DoS-атакам :(
Да, пусть этим занимается файрвол. Unix-вей знаете ли.
Уж больно на отмазку тянет.
Тем более что реализовать эти опции очень легко с точки зрения программизма.
Безусловно стоит тянуть в пакет всякую лажу, которую легко реализовать. Фнукциональность Cron, ну и At, чтобы злоумышленника можно было огрпничивать в определенные часы. Все указанное вами (а при желании и больше) можно реализовать с помощью pf и, подозреваю, других файрволов. А потому не стоит дублировать функциональность, тем более какие-то там ограничения по числу обращений - чисто проблема брандмауэра.
> и, подозреваю, других файрволовНа iptables можно.
Ну да, ну да. А ещё надо вынести оттуда всю остальную "лажу" с sftp, ListenAddress, Port и тому подобного - ведь это же тоже можно реализовать, настроив брандмауэр.
ListenAddress, Port задаются приложением, когда оно создает сокет. брендмауэр сокетов для приложений не создает и не bind'ит их.
>ListenAddress, Port задаются приложением, когда оно создает сокет. брендмауэр сокетов для приложений
>не создает и не bind'ит их.Угу, но он их может прекрасно закрыть - так зачем же тогда их задавать, следуя вышеприведённой логике?
И кстати, функциональность Time в sshd уже реализована, читайте маны:
===
TIME FORMATS
sshd(8) command-line arguments and configuration file options that spec-
ify time may be expressed using a sequence of the form: time[qualifier],
where time is a positive integer value and qualifier is one of the fol-
lowing:<none> seconds
s | S seconds
m | M minutes
h | H hours
d | D days
w | W weeksEach member of the sequence is added together to calculate the total time
value.Time format examples:
600 600 seconds (10 minutes)
10m 10 minutes
1h30m 1 hour 30 minutes (90 minutes)
===
Не понимаю... Разрабатывают openssh опенбздишники, как и зачем они проблемы с SELINUX решают?
Не проблема с SELinux, а проблема работы openssh в конкретной среде. То, что это не нужно конкретно вам, - не показатель.
Потому что они не линуксоиды -> значит не жадные :))))