The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Вышел релиз OpenSSH 5.1. Статистика использования версий SSH

22.07.2008 19:50

Команда разработчиков OpenBSD анонсировала релиз OpenSSH 5.1, открытой реализации клиента и сервера для работы по протоколу SSH версии 1.3, 1.5 и 2.0.

В новой версия исправлена незначительная уязвимость, которую можно использовать для локального перехвата содержимого X11 сессии на HP/UX и вероятно на некоторых других платформах в которых нет проверки смены uid при выполнении SO_REUSEADDR . Проблема проявляется при установке "X11UseLocalhost=no" в файле конфигурации.

Новшества:

  • Механизм визуальной оценки валидности ключей удаленного хоста. Суть метода заключается в том, что для каждого хоста openssh генерирует случайную ASCII картинку, при частом соединении к определенному хосту, изменение привычной картинки сразу бросится в глаза и просигнализирует об изменении ключей. Управление осуществляется через директивы конфигурации VisualHostKey;
  • В sshd_config добавлена поддержка CIDR масок в блоках "Match address" (например, Match address 192.0.2.0/24,3ffe:ffff::/32,!10.*). Также CIDR можно использовать в from="..." блоках ~/.ssh/authorized_keys;
  • В sshd реализован расширенный режим тестирования (сброс действующей конфигурации в stdout и выход), включаемый через опцию командной строки -T;
  • В "verbose mode" ssh выводит информацию о переданных и отправленных байтах для соединений по протоколу SSH2;
  • В sftp реализована команда df;
  • Оптимизация операция распределения памяти в ssh и sshd позволила на 10% увеличить производительность;
  • В файле PROTOCOL.agent представлено описание протокола по которому работает ssh-agent;
  • Изменение директив в sshd_config:
    • Новая директива MaxSessions, через которую можно ограничить число одновременных сессий мультипрексируемых через одно TCP соединение. Значение по умолчанию - 10;
    • Новая директива AllowAgentForwarding
    • В "Match group" добавлена поддержка отрицания (например "Match group staff,!guests");
    • В match=блоках теперь можно использовать MaxAuthTries;

Кроме того, представлены результаты оценки использования различных версий SSH в сети. Формирования статистики были просканировано более 30 миллионов случайных IP адресов.

  1. Главная ссылка к новости (http://marc.info/?l=openssh-un...)
  2. OpenNews: В OpenSSH добавлена опция, управляющая механизмом визуальной проверки валидности хоста
  3. OpenNews: Релиз OpenSSH 5.0 с исправлением уязвимости
  4. OpenNews: Релиз OpenSSH 4.9
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/17062-ssh
Ключевые слова: ssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Светочка (?), 21:21, 22/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Законно ли использование OpenSSH (клиента для доступа к сайту open-source проектов) в России частными лицами?
     
     
  • 2.2, Vitaly_loki (??), 21:22, 22/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    на RSA алгоритм, на сколько я помню, не накладывается таких ограничений
     
  • 2.9, Александр (??), 11:20, 23/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Законно ли задавать такие вопросы, и отвечать на них? :-)

    Если серьёзно - а почему использование SSH должно быть незаконным?

     
     
  • 3.10, Щекн Итрч (?), 14:47, 23/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    >Законно ли задавать такие вопросы, и отвечать на них? :-)
    >
    >Если серьёзно - а почему использование SSH должно быть незаконным?

    Потому что шифрование НЕ сертифицированным ФСБ алгоритмом является, безо всяких шуток, УГОЛОВНЫМ ПРЕСТУПЛЕНИМ :) Типа, как незаконное владение огнестрельным и т.п. :)

     
     
  • 4.12, Holy Cheater (?), 17:06, 23/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Фигасе, вы это серьёзно? Можно ссылки на источники?
     
  • 4.13, Аноним (13), 17:08, 23/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    ссылки, пожалуйста
     
  • 4.16, Vitaly_loki (??), 21:34, 23/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    >>Законно ли задавать такие вопросы, и отвечать на них? :-)
    >>
    >>Если серьёзно - а почему использование SSH должно быть незаконным?
    >
    >Потому что шифрование НЕ сертифицированным ФСБ алгоритмом является, безо всяких шуток, УГОЛОВНЫМ
    >ПРЕСТУПЛЕНИМ :) Типа, как незаконное владение огнестрельным и т.п. :)

    Был я как-то на семинаре в Москве по криптографии, был там один представитель из этих самых органов.. Короче, существуют несколько видов "секретности" информации: совершенно секретно, гос.тайна, коммерческая тайна и т.д. Дак вот при работе с гос.тайной ты должен использовать ТОЛЬКО сертифицированные алгоритмы, посколько гос. тайна принадлежит государству, а не тебе, потому она и устанавливает какими алгоритмами тебе дозволено обращаться с гос.собственностью. В случае с коммерческой информацией ты можешь использовать какой угодно алгоритм (твоя инфа - сам ей и распоряжайся). SSH в частности для достура к шеллу использует ассиметричное шифрование, как и SSL, но многие банки для шифрования операций со счетами на своих web-сайиах используют SSL и ничего в это незаконного нет, аналогично и с SSL

     
     
  • 5.17, Щекн Итрч (?), 03:30, 24/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    один представитель из этих самых органов НЕ ВСЕ вам пояснил :)

    поставляя в составе любых решений любой НЕ сертифицированный ФСБ алгоритм, хотя бы и поддерживая платно открытый апачевский mod_ssl - вы совершаете преступление :)

    "незаконное предпринимательство" есть самый минимум из того, что вам "один представитель из этих самых органов" предъявит :)

    http://www.cryptocom.ru/OpenSource/OpenSSL_rus.html

    Нет бекдора у "товарища" - значит уголовка :) А если есть бекдор у "товарища" - тогда торгуй...

    Поменьше слушайте "товарищей" и побольше слушайте тех, кто вас умнее :)
    У "товарищей" бизнес такой - снабжать народное хозяйство бесплатными рабочими местами... :)

     
     
  • 6.18, polkan (?), 04:25, 24/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    из вышеприведенной ссылки, я понял, что теперь можно сертифицироваться на гриф "С" с опенССЛ и ничего более :)

    Поясню:
    > поставляя в составе любых решений любой НЕ сертифицированный ФСБ алгоритм, хотя бы и поддерживая платно открытый апачевский mod_ssl - вы совершаете преступление

    выражение ни о чем, так как предыдущий оратор правильно пояснил

    >существуют несколько видов "секретности" информации: совершенно секретно, гос.тайна, коммерческая тайна и т.д. Дак вот при работе с гос.тайной ты должен использовать ТОЛЬКО сертифицированные алгоритмы, посколько гос. тайна принадлежит государству, а не тебе, потому она и устанавливает какими алгоритмами тебе дозволено обращаться с гос.собственностью. В случае с коммерческой информацией ты можешь использовать какой угодно алгоритм (твоя инфа - сам ей и распоряжайся)

    Такую же установку я получил на курсах по "безопаске" в г. Обнинск (Минатом)

    насчет уровней секретки: (грубо, утрированно, но имхо суть такова)
    ОВ - особо важно (только на локальных носителях в сертифицированных помещениях)
    СС - совсекретно (только на локальных носителях в сертифицированных ПК либо локальные сетки внутри сертифицированных помещений)
    С - секретно (можно внутри сертифицированной локалки либо пересылка в инете с использованием сертифицированных алгоритмов шифрования)
    К - коммерция (твори чо хошь)

     
     
  • 7.20, Щекн Итрч (?), 22:51, 24/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    >К - коммерция (твори чо хошь) -- ПОЛУЧИВ СЕРТИФИКАТ ОТ ФСБ или в тюрьму за незаконное предпринимательство. Тоннель в Бомбей тоже пришьют, не сомневайтесь :)

    Идите, получите сертификат на mod_ssl :)

     
     
  • 8.21, Гостище (?), 01:25, 25/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Щекн Итрч, если я не поставляю программный продукт гос органам, зачем мне серти... текст свёрнут, показать
     
  • 4.19, Крис (?), 12:04, 24/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    А что сертифицированно, так контора нос воротит :-)
     

  • 1.3, Аноним (-), 23:08, 22/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    OpenSSH это не "клиент для доступа к сайту open-source проектов" для начала.
     
     
  • 2.4, Светочка (?), 23:42, 22/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    >OpenSSH это не "клиент для доступа к сайту open-source проектов" для начала.
    >

    Он может использоваться вместе с svn.

     
     
  • 3.7, Светочка (?), 01:52, 23/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Это вроде устанавливает владелец сервера, а не пользователь.
     

  • 1.11, Chinese (??), 15:19, 23/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    частным лицам можно использовать любое криптование. нельзя только в случае обмена информацией с гос. органами. ограничение ФАПСИ касается контор и ИП.
     
     
  • 2.15, vgavro (?), 17:36, 23/07/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    и то если информация по законодательству принадлежит государству, а если это ваша внутренняя информация - тогда нет, криптуйте как хотите, обменивайтесь хоть с президентом.

    Сама процедура криптования не по ГОСТУ также не преследуется, но для разработки криптографических систем и алгоритмов ты должен иметь для этого лицензию, которую выдает соответственный гос.орган (во всяком случае по законодательству Украины).

     

  • 1.14, 999 (??), 17:16, 23/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    с 11 марта 2003 года нет такого понятия "ФАПСИ".
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру