The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз OpenSSH 6.1

29.08.2012 23:00

Представлен релиз OpenSSH 6.1, открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.

Из наиболее заметных улучшений можно отметить:

  • Включён по умолчанию sandbox-режим "UsePrivilegeSeparation=sandbox", использующий rlimit, systrace, seсcomp filter и другие подсистемы для более жесткой изоляции кода, работающего на стадии до начала аутентификации (pre-auth). Sandbox-режим позволяет воспрепятствовать выполнению системных вызовов к ядру и использованию сокетов, в дополнение к ранее практикуемым сбросу прав до непривилегированного пользователя и помещением процесса в chroot-окружение /var/empty. Таким образом, в случае проникновения через уязвимость в OpenSSH при использовании новой защиты злоумышленник не сможет эксплуатировать локальную уязвимость в ядре для повышения прав или провести атаку на другие хосты (создать сокет, запустить прокси и т.п.). Для Linux при возможности используется seсcomp filter, но если в ядре нет поддержки данной технологии применяется изоляция на основе rlimit;
  • В ssh-keygen добавлены опции для указания начального номера строки и числа строк для обработки файла moduli по частям, в том числе для организации параллельной обработки различных частей файла moduli;
  • В директиве Match добавлена поддержка проверки локального адреса и порта (LocalAddress и LocalPort), на которое было принято входящее соединение. Кроме того, через директиву Match теперь можно устанавливать AcceptEnv и {Allow,Deny}{Users,Groups};
  • Добавлена поддержка DNS-записей SSHFP (RFC6594) для проверки ключей типа ECDSA (Elliptic Curve Digital Signature Algorithm) через DNS. Например, "server.example.net IN SSHFP 3 1 ( c6...5 )";
  • В ssh-keygen добавлена возможность преобразования ключей RSA1 в публичный PEM и PKCS8;
  • В директиве PermitOpen из sshd_config добавлена поддержка указания аргумента "none" для блокирования всех запросов на перенаправление портов. Значение "none" также теперь допустимо для AuthorizedPrincipalsFile;
  • В ssh-keyscan по умолчанию осуществляется поиск ключей ECDSA;
  • В sshd_config добавлена опция "VersionAddendum", дающая возможность добавить произвольный текст к выводимой строке с номером версии.


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Представлен проект Mosh, нацеленный на создание более совершенной альтернативы SSH
  3. OpenNews: Релиз OpenSSH 6.0
  4. OpenNews: Релиз OpenSSH 5.9
  5. OpenNews: Пример анализа потенциально серьезной уязвимости в OpenSSH
  6. OpenNews: Релиз библиотеки libssh 0.5.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/34692-openssh
Ключевые слова: openssh, ssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (5) RSS
  • 1.2, Anonim (??), 11:27, 30/08/2012 [ответить]  
  • –1 +/
    последнее означает,что теперь ssh не будет говорить свою версию при коннекте через телнет?
     
     
  • 2.3, Аноним (-), 12:06, 30/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    написано же, ДОБАВЛЯЕТ...

    [сообщение отредактировано модератором]

     

  • 1.4, тигар (ok), 09:53, 31/08/2012 [ответить]  
  • –1 +/
    > -  В sshd_config добавлена опция "VersionAddendum", дающая возможность добавить произвольный
    > текст к выводимой строке с номером версии.

    такое чувство, что не все там нормально в changelog, либо автор новости не то переводил:)

    [tiger@master-blabla]~%grep -i adde /etc/ssh/sshd_config
    VersionAddendum ZyOS-AAAA
    [tiger@master-blabla]~%ssh -V
    OpenSSH_5.1p1 FreeBSD-20080901, OpenSSL 0.9.8e 23 Feb 2007
    [tiger@master-blabla]~%uname -rms
    FreeBSD 7.2-RELEASE-p7 amd64

    [tiger@laptop]~%telnet master-blabla 22
    Trying xx.xx.xx.xx...
    Connected to master-blabla.
    Escape character is '^]'.
    SSH-2.0-OpenSSH_5.1p1 ZyOS-AAAA

     
     
  • 2.5, uldus (ok), 17:32, 31/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > такое чувство, что не все там нормально в changelog, либо автор новости
    > не то переводил:)

    ...
    > OpenSSH_5.1p1 FreeBSD-20080901, OpenSSL 0.9.8e 23 Feb 2007

    Ключевое слово - FreeBSD. Во FreeBSD отдельным патчем поддержка VersionAddendum тянется уже много лет.

     
     
  • 3.6, тигар (ok), 17:34, 31/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> такое чувство, что не все там нормально в changelog, либо автор новости
    >> не то переводил:)
    > ...
    >> OpenSSH_5.1p1 FreeBSD-20080901, OpenSSL 0.9.8e 23 Feb 2007
    > Ключевое слово - FreeBSD. Во FreeBSD отдельным патчем поддержка VersionAddendum тянется
    > уже много лет.

    забавно, не задымывался как-то:) думал что оно лет 100 уже "из коробки" есть

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру