Доступен (http://lists.mindrot.org/pipermail/openssh-unix-announce/201... релиз OpenSSH 6.2 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.Из наиболее заметных улучшений можно отметить:
- Добавлена возможность использования сразу нескольких обязательных методов аутентификации в протоколе SSH 2. Список методов задаётся через новую директиву конфигурации AuthenticationMethods, в которой через запятую перечисляются имена одного или нескольких методов аутентификации. Необходимым условием завершения аутентификации является успешное завершение каждого из перечисленных методов. Например, можно указать о необходимости прохождения аутентификации по открытому ключу или GSSAPI, перед началом аутентификации по паролю;
- В реализацию протокола SSH 2 добавлена поддержка аутентифицированного шифрования (http://en.wikipedia.org/wiki/Authenticated_encryption) с использованием блочного шифра AES-GCM, позволяющего гарантировать целостность передаваемого шифрованного потока. Новые шифры доступны как aes128-gcm и aes256-gcm и используют одинаковый формат пакетов при работе в режиме AES-GCM, определённом в RFC 5647 (http://tools.ietf.org/html/rfc5647), в сочетании с упрощёнными и изменёнными правила выбора в процессе обмена ключами;- В реализацию протокола SSH 2 добавлена и задействована по умолчанию поддержка EtM-режимов (encrypt-then-mac) подстановки MAC (http://ru.wikipedia.org/wiki/%D0%98%D0%B... (Message Authentication Code). Отличие новых режимов состоит в том, что вычисление MAC производится на основании размера пакета и уже зашифрованного пакета, а не на основании незашифрованных данных. Подобный подход рассматривается как более безопасный;
- Добавлена поддержка алгоритма вычисления MAC-кодов UMAC-128 (http://www.openssh.org/txt/draft-miller-secsh-umac-01.txt) для использования в режиме encrypt-then-mac;
- В sshd и ssh-keygen добавлена поддержка KRL (Key Revocation Lists), компактного бинарного формата для представления списков отозванных ключей и сертификатов, требующего всего одного дополнительного бита на каждый сертификат, отозванный по серийному номеру. Для генерации KRL может применяться утилита ssh-keygen. Загрузка в sshd осуществляется через указания пути к файлу через директиву RevokedKeys;
- Директива настройки sshd AllowTcpForwarding теперь поддерживает параметры "local" и "remote" в дополнение к ранее применяемым значениям "yes" и "no". Использование новых параметров позволяет отдельно разрешить локальное или внешнее перенаправление соединений;- Добавлена новая директива AuthorizedKeysCommand для настройки в sshd загрузки содержимого authorized_keys в форме принятия вывода произвольной команды, в не только в форме открытия готового файла. Идентификатор пользовтеля, под которым выполняется команда для динамической генерации authorized_keys задаётся через директиву AuthorizedKeysCommandUser;
- В sftp-server добавлена поддержка опции "-d" с указанием начальной директории, что позволяет выбрать путь, отличный от домашней директории пользователя;
- В ssh-keygen добавлена поддержка создания слепков ключей (fingerprinting), размещённых в хранилищах PKCS#11. Для создания слепка нужно использовать команду "ssh-keygen -lD pkcs11_provider";
- При использовании протокола SSH2 в ssh, который используется по умолчанию, отныне заголовок с версией протокола SSH отправляется клиентом сразу, не дожидаясь ответа с версией протокола от сервера, что позволяет сократить время на установку соединения;
- В команду ssh добавлена поддержка escape-последовательностей "~v" и "~V" для увеличения или уменьшения детализации лога. Escape-команда "-?" теперь выводит подсказку в зависимости от контекста и показывает справку только по командам, допустимым в текущей ситуации;- В переносимой версии sshd поддержка режима изоляции (http://www.opennet.me/opennews/art.shtml?num=33654) с использованием seccomp-filter теперь доступна для Linux-систем, собранных для архитектуры ARM.
URL: http://lists.mindrot.org/pipermail/openssh-unix-announce/201...
Новость: http://www.opennet.me/opennews/art.shtml?num=36463
> Добавлена новая директива AuthorizedKeysCommandLPK-патч теперь не нужен? ура?
Интересно. А расскажите о сценариях использования этой фичи.
Публичные ключи в LDAP-е, например.
Всё-таки великая вещь SSH. Microsoft набо было не изобретать велосипеды с PowerShell, а впилить bash и SSH в систему, все бы им спасибо сказали.
>bash и SSH в систему, все бы им спасибо сказали.А они предпочитают, чтоб все нагибались и приседали. Парадокс?
Вот если б кто сумел прозрачно вкрутить в shell и основные утилиты объектный интферфейс - я б ему не поленился "ку" сказать. В смысле - шелл с ssh это хорошо, но объекты - тоже хорошо. Пора их объединять. Но как это сделать, не поломав совместимость - не знаю пока. Тупо ключи добавлять - явно не комильфо.
Для дураков один раз объясню - если мало bash и хочется странного - юзай python, ruby, perl как шелл ... "это Юникс детка!"(С)
Так суть в том, чтобы представление было стандартным, как сейчас тупой пайп. Просто сделать его менее тупым - грубо говоря, чтобы можно было сказать ps -aux |sort %vss |echo "%pid - %progname - %vss"
для этого когда то придумали awk
Microsoft? А что это?
// fixed
Microsoft - некрофильная фирам
Для бесконечного флудотрёпа :
PowerShell достаточно мощная среда для администрирования серверов (сам пол жизни под Debian сижу). Волей судьбы пришлось работать с виндовыми тачками, пришлось познакомиться с повершелл. Такой интегрированности в систему я ещё не видел. Всё можно делать, хоть AD управлять, хоть COM объектами, хоть на удалённой тачке процесс убить. Линукс тоже красив, но в линуксе каждый делает свой маленький проект grep ps find и т.д., а в винде PS цельная среда.p.s. по теме - бегом обновлять ssh!
В Bourne Shell тоже можно хоть что делать: ядро пересобрать; конфиг апача перелопатить, используя sed, grep, awk; перезапустить любой демон, хоть AD управля... ой, хоть LDAP управлять; прибить процесс на удаленной тачке и т.д. и т.п. Такой интегрированности в систему я еще не видел.
> Линукс тоже красив, но в линуксе каждый делает свой
> маленький проект grep ps find и т.д., а в винде PS цельная среда.Вас бесит, что это различные файлы, а не функции в одной библиотеке libPowerShell.dll?
И всё загруженные функции висят в памяти, даже если 99% из них нафиг не нужны?! :)
Юзай busybox, если так бесит...
Ну, вообще объектный подход - штука соблазнительная, особенно вспоминая, насколько сложно корректно выдернуть нужную инфу из ls или ps...
> Ну, вообще объектный подход - штука соблазнительная, особенно вспоминая, насколько сложно
> корректно выдернуть нужную инфу из ls или ps...ага, grep & awk это ну ооочень сложно, да
Если хочешь, чтобы работало для всех случаев, включая странные символы и т.п. Это действительно очень сложно.
>> Линукс тоже красив, но в линуксе каждый делает свой
>> маленький проект grep ps find и т.д., а в винде PS цельная среда.
> Вас бесит, что это различные файлы, а не функции в одной библиотеке
> libPowerShell.dll?
> И всё загруженные функции висят в памяти, даже если 99% из них
> нафиг не нужны?! :)
> Юзай busybox, если так бесит...В PSH это тоже разные командлеты. Которые пишутся на любом дотнетовском языке, а не на одном только bourne/C-style/etc. Так что здесь - мимо.
У PSH основной недостаток - длинные конструкции, это да.
> В PSH это тоже разные командлеты. Которые пишутся на любом дотнетовском языке,Да-а-а-а-а, чтоб заархивировать пару каталогов и заслать на сервер, дотнетчики будут писать программу неделю.
>> В PSH это тоже разные командлеты. Которые пишутся на любом дотнетовском языке,
> Да-а-а-а-а, чтоб заархивировать пару каталогов и заслать на сервер, дотнетчики будут писать
> программу неделю.Павлин, special for you: я винду не запускал на своём ноуте уже которую неделю (бывает, что и месяцами). Специально ради тебя этого делать не собираюсь, а если ты решил, что форум - это место для оперативных ответов, то у меня для тебя плохие новости.
По сути вопроса:
> Найди на своем повершеле последнее время доступа ко всем исполняемым файлам, больше
> одного мега, в каталоге C:/WINDOWS, имеющие права выполнятся от админа
> и зашли репорт себе на мыло.
>
> find /usr -noleaf -type f -size +1M -perm 4755 -exec stat --printf="%n %x\n" {} \; |
> mailx -s "SUID Report" root@localhost;1. Насчёт почты - да, с этим в винде изначально никак. Правда, такие отчёты лучше отправлять в event logger, а оттуда они уже будут централизованно обрабатываться.
2. То, что в винде нет SUID/SGID, надеюсь, тоже рассказывать не надо? Так что вместо этого, допустим, отберём все exe-шники файлы в %ProgramFiles%, у которых владелец не входит в группу Domain Administrators.
Тогда получается что-то вроде (не проверял на запускаемость, ибо синтаксис помню плохо!):
PS C:\> $users = Get-ADGroupMember "Domain Admins"
PS C:\> $files = ls -r -include "*.exe" $env["ProgramFiles"] | ? { ! ($users.contains $_.Owner) && $_.Size >= 1MB } | select Path
PS C:\> write-eventLog -LogName Security -Message $files.join("\n") -Source MySuperScript -id 1234BTW, нафига -noleaf на /usr? Он у тебя на FAT'е лежит, что ле?
Разница в том, что в оффтопике это "интегрированность в систему", а в случае линукса, консоль это и есть сама система. Например из повершелла нельзя управлять сторонним софтом, взять тот же 3-party брандмауэер (добавить/удалить правило) или любой другой сервис.
Они попросту не подразумевают возможности управления ими из консоли или подразумевают, но в очень ограниченном объеме. Мало кто заморачивается с написанием соответствующих ком-объектов, которые еще и полную функциональность приложения предоставлять.
Поэтому повершел интегрировать интегрировали, системой, тем, что написано некрософтом (да и то, только некоторым подмножеством настроек) он управлять может, а всем остальным - черта с два. "на удаленной тачке убить процесс" - ну это как раз то, для чего он может использоваться, имхо.
>[оверквотинг удален]
> нельзя управлять сторонним софтом, взять тот же 3-party брандмауэер (добавить/удалить
> правило) или любой другой сервис.
> Они попросту не подразумевают возможности управления ими из консоли или подразумевают,
> но в очень ограниченном объеме. Мало кто заморачивается с написанием соответствующих
> ком-объектов, которые еще и полную функциональность приложения предоставлять.
> Поэтому повершел интегрировать интегрировали, системой, тем, что написано некрософтом
> (да и то, только некоторым подмножеством настроек) он управлять может, а
> всем остальным - черта с два. "на удаленной тачке убить процесс"
> - ну это как раз то, для чего он может использоваться,
> имхо.Не вижу проблемы зайти на удаленную тачку по SSH и выполнить pkill...
>>[оверквотинг удален]
> Не вижу проблемы зайти на удаленную тачку по SSH и выполнить pkill...Да всё правильно - это только для любителей изврата (M$ P$h) непосильная задача :)
Вообще-то это скорее о кривости софта. НУ какая проблема отдать как ком-объект всё, что умеет делать гуй? По уму только выигрыш будет - не захочешь, а сделаешь толковое разделение гуя и логики. Другое дело, что в те времена, когда я с ним дело имел COM - это был ад кромешный. Но идея хороша.
Для продолжения бесконечного флудотрёпа:
Пол жизни сидел на Винде, пока волей судьбы не переквалифицировался в Nix-админы, головной боли убавилось (даже если учитывать PoSH), где баш, где руби или питон и .... о Боже так это ж я серверами стал управлять, а не они диктуют своии "Метро" правила )))ЗЫ: Прошу прощения за офтоп. Пошел собирать пакет OpenSSH 6.2 под свои сервера.
Что-то не то, на 7 из 9 ftp-зеркал новой версии под линух нет.Добавление строк:
AuthorizedKeysCommand
AuthorizedKeysCommandUser
в конфиг - дает ошибку сегментации памяти.ну ка его нахрен обновлять сервера...
> Что-то не то, на 7 из 9 ftp-зеркал новой версии под линух
> нет.
> Добавление строк:
> AuthorizedKeysCommand
> AuthorizedKeysCommandUser
> в конфиг - дает ошибку сегментации памяти.
> ну ка его нахрен обновлять сервера...Из репов поставь, умник.
ах эта особая каста умельцев ./configre && make && make install
Если в цетосовсовских репах это через год появится может и поставлю, умник.
Ребятки, а как насчёт Windows 7 x64? Взлетит или нет? Очень хотелось бы.
Или придется CopSSH?
Не знаю