После шести месяцев разработки увидел свет (http://lists.mindrot.org/pipermail/openssh-unix-announce/201...) релиз OpenSSH 6.3 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.

Из заметных улучшений можно отметить:

-  В sftp добавлена поддержка возобновления прерванных загрузок, используя команду "reget" иди "get" c опцией "-a";

-  В sshd  добавлена поддержка ssh-agent, что позволило обеспечить поддержку работы с зашифрованными хост-ключами и хост-ключами, размещёнными на смарт-картах;
-  В ssh и sshd добавлена возможность указания времени как фактора перегенерации сессионного ключа, в дополнение к размеру переданных данных. Лимит времени для перегенерации задаётся в качестве второго аргумента в опции RekeyLimit;
-  В sshd унифицировано помещение в лог информации в процессе аутентификации пользователя. Представленные ключ/сертификат, имя внещнего пользователя, имя локального пользователя, хост, порт и используемый протокол теперь упоминаются в одной строке  лог-сообщений об ошибочной или успешной аутентификации. Кроме того, в лог помещаются содержимое сертификатов и отпечаток ключей, подписанных удостоверяющим центром. Компоновка всей необходимой информации в одной строке существенно упрощает разбор и анализ лога;
-  В клиент ssh добавлена возможность запрашивать список поддерживаемых программой шифров, алгоритмов MAC, типов ключей и методов обмена ключами;
-  В клиент ssh добавлена поддержка директивы "ProxyCommand=-"  для ситуаций, когда стандартные потоки  ввода и вывода уже связаны с прокси;
-   В клиент ssh добавлена возможность игнорирования файла с данными аутентификации личности путем указания  "IdentityFile=none";

-  В ssh и sshd добавлена опция "-E" для указания файла для записи отладочного лога;
-  В клиент ssh добавлена опция "IgnoreUnknown" для избранного подавления ошибок, возникающих из-за наличия неизвестных директив конфигурации;
-  В sshd добавлена поддержка подметодов, добавляемых к обязательным методам аутентификации, перечисленным в директиве AuthenticationMethods;
-  Многочисленные улучшения в наборе тестов для выявления регрессивных изменений;
-  В переносимой версии OpenSSH обеспечено включение сборочной опции "-Wsizeof-pointer-memaccess"  для поддерживающих её компиляторов. При наличии необходимой поддержки в libcrypto произволится включение только методов обмена ключей  на основе SHA256 и ECC (криптография по эллиптическим кривым);
-  Внесена большая порция исправлений, направленных на улучшение переносимости для платформы Android;
-  Большое внимание уделено исправлению ошибок.

URL: http://lists.mindrot.org/pipermail/openssh-unix-announce/201...
Новость: http://www.opennet.me/opennews/art.shtml?num=37907

• Релиз OpenSSH 6.3,Аноним, 23:56 , 13-Сен-13
  • Релиз OpenSSH 6.3,Fomalhaut, 00:14 , 14-Сен-13
    • Релиз OpenSSH 6.3,Аноним, 00:47 , 14-Сен-13
• Релиз OpenSSH 6.3,xdbxd, 23:56 , 13-Сен-13
  • Релиз OpenSSH 6.3,Аноним, 00:09 , 14-Сен-13
    • Релиз OpenSSH 6.3,Ivan_83, 01:16 , 14-Сен-13
    • Релиз OpenSSH 6.3,pavlinux, 01:26 , 14-Сен-13
    • Релиз OpenSSH 6.3,Michael Shigorin, 14:03 , 17-Сен-13
  • Релиз OpenSSH 6.3,Crazy Alex, 00:27 , 14-Сен-13
  • Релиз OpenSSH 6.3,Йух, 01:25 , 14-Сен-13
    • Релиз OpenSSH 6.3,Ivan_83, 03:36 , 14-Сен-13
      • Релиз OpenSSH 6.3,Аноним, 02:33 , 15-Сен-13
• Релиз OpenSSH 6.3,Аноним, 00:12 , 14-Сен-13
  • Релиз OpenSSH 6.3,Аноним, 00:41 , 14-Сен-13
• Релиз OpenSSH 6.3,Crazy Alex, 00:25 , 14-Сен-13
  • Релиз OpenSSH 6.3,linvinus, 11:28 , 16-Сен-13
  • Релиз OpenSSH 6.3,Michael Shigorin, 14:05 , 17-Сен-13
    • Релиз OpenSSH 6.3,arisu, 16:43 , 17-Сен-13
    • Релиз OpenSSH 6.3,Khariton, 16:50 , 17-Сен-13
      • Релиз OpenSSH 6.3,Michael Shigorin, 20:07 , 17-Сен-13
• Выпущен OpenSSH 6.3,Аноним, 17:01 , 14-Сен-13
  • Выпущен OpenSSH 6.3,Аноним, 20:30 , 14-Сен-13
  • Выпущен OpenSSH 6.3,Толстеннный троллль, 23:57 , 14-Сен-13
  • Выпущен OpenSSH 6.3,Аноним, 02:34 , 15-Сен-13
    • Выпущен OpenSSH 6.3,Ytch, 04:41 , 15-Сен-13
      • Выпущен OpenSSH 6.3,Crazy Alex, 00:21 , 16-Сен-13
  • Выпущен OpenSSH 6.3,Tamahome, 08:18 , 16-Сен-13
• Выпущен OpenSSH 6.3,Аноним, 23:57 , 14-Сен-13
  • Выпущен OpenSSH 6.3,Ytch, 04:46 , 15-Сен-13
    • Выпущен OpenSSH 6.3,Khariton, 10:27 , 15-Сен-13
      • Выпущен OpenSSH 6.3,Ytch, 13:15 , 15-Сен-13
        • Выпущен OpenSSH 6.3,PnD, 14:31 , 16-Сен-13
  • Выпущен OpenSSH 6.3,Crazy Alex, 00:30 , 16-Сен-13
    • Выпущен OpenSSH 6.3,Khariton, 00:33 , 16-Сен-13
      • Выпущен OpenSSH 6.3,anonymous, 10:29 , 16-Сен-13
        • Выпущен OpenSSH 6.3,Crazy Alex, 17:38 , 16-Сен-13

> возобновления прерванных загрузок, используя команду "reget" иди "get" c опцией "-a";

У wget -c, у lftp -c, у aria2c -c а у sftp -a, что бы не расслаблялись! :)

> -c <cipher_spec>

   Ваш КО.

Эта "-c <cipher_spec>" - опция самого sftp, а опция возобновления передаётся команде get.

Ваш К.О.

>При наличии необходимой поддержки в libcrypto произволится включение только методов обмена ключей на основе SHA256 и ECC

Ещё одно подтверждение "до свидания" RSA/DSA

в каком дистре libcrypto собранно с ECC?

На фре ECC работает.

Все кроме фидоры.

> в каком дистре libcrypto собранно с ECC?

В альте, например.

Какая разница? Не собрано сейчас - будет собрано чуть позже.

>>При наличии необходимой поддержки в libcrypto произволится включение только методов обмена ключей на основе SHA256 и ECC
> Ещё одно подтверждение "до свидания" RSA/DSA

в свете последних откровений о деятельности NSA с ЕСС вроде тоже не все в порядке

Это каких откровений?
Про кривые с параметрами где битов меньше или равно 160 - и так понятно, никто их юзать не заставляет. Остаётся ещё подозрительная, на мой взгляд, secp224k1.
Можно из нашего госта взять параметры эллиптических кривых или нагенерировать самому.

> Про кривые с параметрами где битов меньше или равно 160

Они помнится раньше и DES с 56-битным ключом сватали. Хотя криптографы уже тогда предупреждали. Впрочем, для веба и это показалось жирным - урезали до 40 битов, иначе товарищ майор брутфорсить задалбывается. А так в 65536 раз быстрее, чо :)

Кстати, никто случайно не проводил исследований, насколько пересекается код портируемой (для FreeBSD и Linux) и непортируемой (для OpenBSD) версий?
От компетентных людей слышал, что это чуть ли не разные проекты.

Больше не слушайте таких "компетентных" людей. Различия есть, но они не настолько большие, что бы их назвать "чуть ли не разными проектами". И вообще эти различия даже вовсе и не различия, а некоторые особенности в способах обработки ядром разных ОС аутентификации сессий.

Докачка - это просто идеально :-) Наверное, единственное, чего sftp не хватало

Ещё не хватает команды на просмотр свободного места (особенно полезно перед копированием).

> Докачка - это просто идеально :-) Наверное, единственное, чего sftp не хватало

Вообще rsync уже давно -e ssh по умолчанию. :)

>> Докачка - это просто идеально :-) Наверное, единственное, чего sftp не хватало
> Вообще rsync уже давно -e ssh по умолчанию. :)

т-с-с-с! не пали контору!

>> Докачка - это просто идеально :-) Наверное, единственное, чего sftp не хватало
> Вообще rsync уже давно -e ssh по умолчанию. :)

Вау! А с какой версии, а то я все время -е ссш пишу...)))

>> Вообще rsync уже давно -e ssh по умолчанию. :)
> Вау! А с какой версии, а то я все время -е ссш пишу...)))

С 2.6.0, если верить OLDNEWS...

Собираются ли избавлятся от этого палева "Debian-5ubuntu1" ?
dropbear чем хорош? Настолько популярен, а я о нем и не слышал. Инфы как-то маловато.

> Собираются ли избавлятся от этого палева "Debian-5ubuntu1" ?

Избавляться

> dropbear чем хорош? Настолько популярен, а я о нем и не слышал.

Ты и о правописании ничего не слышал? А ведь вещь популярная.

> Инфы как-то маловато.

"Инфа" тут http://tsya.ru

Легковесный shh демон, посмотри настройки http://linux.die.net/man/8/dropbear  может чего-то будет не хватать по сравнению с openssh

> dropbear чем хорош? Настолько популярен, а я о нем и не слышал.

Все просто: он мелкий и легкий. Поэтому каждый первый сетевой девайс типа wi-fi роутера - это вот оно. Так что да, ответил миллион хомяковых роутеров :)

p.s. кто-то zmap'ом развлекается, стопудово. Дикари таки получили в свои руки нехилую термоядерную дубинку. Она таки работает :)

> Так что да, ответил миллион хомяковых роутеров :)

Никогда не понимал зачем в домашнем роутере (именно в самом роутере, а не, например, в NAS за ним) вывешивать наружу на внешний интерфейс ssh. Разве что лень зайти в настройки, и убрать "флажок" (если вдруг производитель по умолчанию его там включил). А если уж так приспичило, то зачем оставлять умолчальный порт 22 (это уже не только про роутеры).

Зачем вывешивать - как раз понятно. Чтобы если какая-то фигня непонятная - можно было дистанционно зайти и вправить мозги - будь это знакомый "компьютерщик" или разбирающийся член семьи или наемный спец для маленькой фирмочки.

dropbear используется во всякого рода роутерах и медиаплеерах... отсюда и столько торчащих наружу..

Кстати статистика опроса 22 порта весьма красноречива:
* Больше всего серверов под CentOS/RHEL.
* Очень много Linux-рутеров и точек доступа.
* Серверов под Ubuntu больше, чем Debian.
* FreeBSD ещё весьма активно используется на серверах.

> Кстати статистика опроса 22 порта весьма красноречива:...

Самое основное, что показывает эта статистика, так это то, что подавляющее большинство хостов в сети либо не имеет ssh, либо не вывешивает его "наружу", либо использует порт, отличный от 22.

> приспичило, то зачем оставлять умолчальный порт 22 (это уже не только
> про роутеры).

смена порта 22 на 2222 не спаcает, так как боты, сканирующие службу бегают по всем портам и шлют туда запрос согласно протоколу ssh, какой ответит - тот и служба.
Вы никогда телнетом не общались с почтовым сервером, например, или с апачем?
если вам надо защита, то только ограничение авторизации, например по ключу и fail2ban...
а смена порта - это защита от пионеров в локальной сети...

> а смена порта - это защита от пионеров в локальной сети...

А речь и не шла о том, что смена порта дает какую-то защиту.

Если речь о статистике из новости, то там именно "публикацию результатов проверки 22 порта".

Если речь про смену порта вообще, то я просто почитывал логи одной машинки выставленной в сеть. С тех пор как перевесил ssh с 22-го порта - там вообще нет никаких попыток скана за долгое время (на 22-м регулярно кто-то стучался). Уточню на всякий случай, я не считаю, что смены порта достаточно для защиты, я не считаю, что смена порта избавит от более серьезных сканирований и т. п., но я не вижу ничего плохого в том, чтобы, не прилагая никаких усилий (кроме разве смены одной строки в конфиге sshd и одной строки в конфиге firewall), отсечь кучу дурных регулярных сканирований (не нагружая дополнительно саму машину).

  Например, так (синтаксис ferm, за точность не поручусь):
chain INPUT {
proto icmp icmp-type ping mod length length 1234 mod recent name "SSH" set NOP;
proto tcp dport ssh {
  mod recent name "SSH" !rcheck seconds 30 hitcount 1 ACCEPT;
}
}

применять по назначению врача, ага. Тупо сканирование ясно что проще отсекается.

мды, FreeBSD всего в овсемь раз меньше чем линуксов - удивлен. Я скорее ждал бы соотношение 1:50 где-то. Правда, не знаю как остальной софт, а версия OpenSSH там рекодно древняя показывается.

> мды, FreeBSD всего в овсемь раз меньше чем линуксов - удивлен. Я
> скорее ждал бы соотношение 1:50 где-то. Правда, не знаю как остальной
> софт, а версия OpenSSH там рекодно древняя показывается.

Фринасы всякие и т.д., наверное, подняли статистику...

>Фринасы всякие и т.д., наверное, подняли статистику...

Вот подлецы!

Не печалься, это ОЧЕНЬ консервативно посчитал - только по тому, где опационная система  в сигнатуре есть. Другими словами - в линуксах вообще не посчитан редхат с центосью. А если счесть, что в двух верхних строках в основном они - то 1:20 где-то выходит. Это уже ближе к интуитивной оценке.