The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск OpenSSH 6.5

31.01.2014 00:37

После пяти месяцев разработки объявлен выпуск OpenSSH 6.5, открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.

Из заметных улучшений можно отметить:

  • В ssh и sshd добавлена поддержка метода обмена ключами на базе функции Curve25519, предложенной Дэниэлом Бернштейном (D. J. Bernstein) и основанной на использовании криптографии по эллиптическим кривым. Указанный метод используется по умолчанию, в случае его поддержки на стороне клиента и сервера;
  • В ssh и sshd добавлена поддержка схемы цифровой подписи с открытым ключом Ed25519, также разработанной Дэниэлом Бернштейном. Цифровые подписи Ed25519 обладают более высоким уровнем безопасности, чем ECDSA и DSA, и при этом отличаются очень высокой скоростью верификации и создания подписей. Стойкость к взлому для Ed25519 составляет порядка 2^128 (в среднем для атаки на Ed25519 потребуется совершить 2^140 битовых операций), что соответствует стойкости таких алгоритмов, как NIST P-256 и RSA с размером ключа в 375 байт или 128-битному блочному шифру. Ed25519 также не подвержен проблемам с коллизиями в хэшах, не чувствителен к атакам через определение скорости работы кэша (cache-timing attacks) и атакам по сторонним каналам (side-channel attacks).
  • Новый формат хранения закрытого ключа, основанный на использовании функции порождения ключа (Key Derivation Function) bcrypt и обеспечивающий более высокий уровень защиты ключа. Данный формат используется по умолчанию только для ключей Ed25519, но может быть задействован и для других типов ключей при указании опции "-o" в ssh-keygen;
  • В ssh и sshd добавлен новый транспортный протокол "[email protected]" на основе алгоритмов потокового шифра ChaCha20 и аутентификации сообщений Poly1305-AES, разработанных Дэниэлом Бернштейном. Алгоритмы ChaCha20 и Poly1305-AES созданы специально для обеспечения наивысшей безопасности при наименьших вычислительных затратах. Программная реализация алгоритмов позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки.
  • Ssh и sshd теперь отклоняют RSA-ключи от старых проприетарных клиентов и серверов, использующих устаревшую схему формирования сигнатур RSA+MD5 и методы обмена ключей на основе уязвимых способов расчёта хэшей. Соединение с такими системами пока допускается, но только с использованием ключей DSA. В будущем поддержка будет прекращена полностью;
  • В ssh и ssh-agent обеспечена поддержка только токенов kcs#11, которые представлены сертификатами X.509, а не raw-ключами;
  • В клиент ssh добавлена поддержка ключевого слова "Match", позволяющего определять условные блоки в конфигурации ssh_config в зависимости от имени хоста, пользователя и результата выполнения произвольной команды;
  • В ssh добавлена поддержка канонизации имени хоста на стороне клиента, используя набор правил и суффиксов DNS в ssh_config. Изменение позволяет преобразовать неполное имя в полное, исключающее неоднозначность при поиске ключей в known_hosts или при проверке имён сертификатов хоста;
  • В sftp-server добавлена возможность помещения запросов по протоколу SFTP в белый или чёрный списки по имени;
  • В sftp-server добавлена схема "[email protected]" для вызова fsync для открытого файлового дескриптора;
  • В конфигурацию sshd добавлена директива PermitTTY, запрещающая выделение TTY и повторяющая по своей сути опцию no-pty в файле authorized_keys;
  • В конфигурацию ssh добавлена опция ProxyUseFDPass, которая позволяет использовать директиву ProxyCommands для установки соединения, а затем передать сформированный файловый дескриптор обратно в ssh. Использование опции позволяет сразу завершить выполнение команды, заданной через ProxyCommands, а оставлять её во время передачи данных;
  • Улучшения, специфичные для переносимой версии OpenSSH:
    • В sshd добавлена поддержка Capsicum API во FreeBSD 10 для помещения процесса в изолированное окружение на стадии до начала аутентификации;
    • Автоматически включаются доступные в используемом для сборки инструментарии методы повышения безопасности кода, в том числе применяются "-ftrapv" для защиты от целочисленных переполнений, -fstack-protector-strong, -fstack-protector-all и -fstack-protector для защиты от переполнений стека и опции для защиты от записи информации о динамическом связывании. Данное поведение можно отключить при помощи опций "--without-hardening" и "--without-stackprotect";
    • OpenSSH 6.5 является последним выпуском, поддерживающий версии OpenSSL младше 0.9.6;
    • В Linux, OS X и OpenBSD при сборке с использованием современных компиляторов по возможности формируются исполняемые файлы PIE (Position Independent Executable);
    • Для платформ, не предоставляющих генератор псевдослучайных чисел, теперь используется функция arc4random() на базе алгоритма ChaCha20.


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: В OpenSSH добавлен протокол ChaCha20-Poly1305
  3. OpenNews: Обновление OpenSSH 6.4 с устранением уязвимости
  4. OpenNews: Выпущен OpenSSH 6.3
  5. OpenNews: Релиз OpenSSH 6.2
  6. OpenNews: Релиз OpenSSH 6.1
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/38971-openssh
Ключевые слова: openssh, ssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (88) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 00:56, 31/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    >предложенной Дэниэлом Бернштейном
    >также разработанной Дэниэлом Бернштейном
    >разработанных Дэниэлом Бернштейном

    Прямо-таки человек-пароход^Wssh.

     
     
  • 2.9, Аноним (-), 05:00, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    У Берштейна есть замечательная либа - NaCl. Правда у него свои взгляды на портабельность. Так что есть соседняя либа - libsodium.
     
     
  • 3.24, anonymous (??), 09:11, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    У него же - libcbd, djb-dns, qmail и ворох криптобиблиотек.
     
     
  • 4.30, Andrey Mitrofanov (?), 10:46, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > У него же - libcbd, djb-dns, qmail и ворох криптобиблиотек.

    И все они дополнены его своеобразными взглядами на измение кода (=лицензирование и место его Личности в Истории), да?

     
     
  • 5.41, Аноним (-), 12:56, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    оно же почти все под public domain?
     
     
  • 6.43, Andrey Mitrofanov (?), 13:02, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > оно же почти все под public domain?

    Я всё перепутал, значит! Приношу извиниения ув.профессору.

     
  • 5.62, Аноним (-), 18:18, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > И все они дополнены его своеобразными взглядами на измение кода (=лицензирование и
    > место его Личности в Истории), да?

    Ээээ? Как минимум криптография от гражданина идет на весма либеральных условиях. Вот понятия о портабельности у него своеобразные, в ответ на что появился libsodium, где алгоритмы те же самые, только оно нормально относится и к всякой бнопне типа винды, а не только *nix-like.

     
     
  • 6.63, бедный буратино (ok), 18:22, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    >> И все они дополнены его своеобразными взглядами на измение кода (=лицензирование и
    >> место его Личности в Истории), да?
    > Ээээ? Как минимум криптография от гражданина идет на весма либеральных условиях. Вот
    > понятия о портабельности у него своеобразные, в ответ на что появился
    > libsodium, где алгоритмы те же самые, только оно нормально относится и
    > к всякой бнопне типа винды, а не только *nix-like.

    Нет POSIX, кроме POSIX, и типавинда - позор его!

     
     
  • 7.84, Аноним (-), 19:19, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Криптография сама по себе относится к позиксу не более чем к собаке пятая нога.
     
     
  • 8.85, бедный буратино (ok), 19:23, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Мы не о криптографии, а о портабельности Хватит Напортабилились Ваше слово, т... текст свёрнут, показать
     
  • 2.31, Andrey Mitrofanov (?), 10:47, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >>предложенной Дэниэлом Бернштейном
    >>также разработанной Дэниэлом Бернштейном
    >>разработанных Дэниэлом Бернштейном
    > Прямо-таки человек-пароход^Wssh.

    "Срочно требуется сноуден-айсберг для контр-пиар криптоанализа!"

     
     
  • 3.64, Аноним (-), 18:39, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > "Срочно требуется сноуден-айсберг для контр-пиар криптоанализа!"

    Похоже что АНБ просто не заметило академика который тихо сидел в своей норе и пилил неплохую криптографию. Он как-то высунулся лишь когда уже все готово и поздно пить боржоми. К тому же дядька дружит с кучей иных криптографов. У них там своя уютненькая тусовочка.

     
     
  • 4.87, бедный буратино (ok), 19:53, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    За академиками следят - Сноудены убегают.

    За Сноуденами гоняются - академики плодятся.

    Не агентство, а сто рублей убытку...

     
  • 4.105, vn971 (ok), 00:07, 02/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Но согласитесь, звучит опасно? Вы вот знакомы как-то лично с кем-нибудь из этой тусовочки, настолько чтобы быть способным примерно оценить их уровень И доверять им?

    Буду честным, я сам не криптоаналитик и про другие алгоритмы знаю только в общих чертах. Но такая внезапность настораживает.

     
  • 2.94, netch (ok), 22:20, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Прямо-таки человек-пароход^Wssh.

    А также qmail, publicfile и ещё много симпатичных корабликов.

     

  • 1.2, pavlinux (ok), 01:31, 31/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Стока вкуняшек,... ушёл компилить...
     
     
  • 2.3, Анонище (?), 01:52, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Напомнило "Не читал, но одобряю."
     
     
  • 3.5, pavlinux (ok), 01:57, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    ssh -V OpenSSH_6 5p1, OpenSSL 1 0 1e 11 Feb 2013 ssh -c chacha20-poly1305 op... большой текст свёрнут, показать
     
     
  • 4.8, pavlinux (ok), 03:18, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Ах да, для новых няшек ключи ннада генерить

    $ ssh-keygen -Z chacha20-poly1305@openssh.com -t ed25519

    $HOME/.ssh/id_ed25519
    $HOME/.ssh/id_ed25519.pub

    и закинуть на сервак...

     
  • 4.26, тигар (ok), 10:12, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    запускаемый пеглоскрипт состоит из print'ов?:-)
     
     
  • 5.45, pavlinux (ok), 13:30, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Да и ещё немного

    use File::Basename;
    use Getopt::Long;
    use Math::BigInt;
    use IO::Socket;
    use IO::Handle;
    use English;
    use integer;

     
  • 4.32, Andrey Mitrofanov (?), 10:50, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > $ ssh -V
    > OpenSSH_6.5p1,

    Ты, блин, не понял. "Не читал" надо опровергать не выводами --version, а загрузкой _исходников в виде аудиокниги _твоём исполнении на торретны Планеты.

     
     
  • 5.36, бедный буратино (ok), 11:11, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    >> $ ssh -V
    >> OpenSSH_6.5p1,
    > Ты, блин, не понял. "Не читал" надо опровергать не выводами --version, а
    > загрузкой _исходников в виде аудиокниги _твоём исполнении на торретны Планеты.

    У splendid-версий буковки 'p' (портированная) нет!

    ssh -V
    OpenSSH_6.5, OpenSSL 1.0.1c 10 May 2012

    Кстати, чёт я не понял, почему 6.5, если у меня карент от 21 января? :)

     
     
  • 6.46, pavlinux (ok), 13:35, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    каррент это то же самое , что и бета тестер. Когда в стабле появиться, тогда будет стабле.
     
     
  • 7.56, бедный буратино (ok), 15:17, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    про stable не знаю, у меня или карент (одна штука), или release (три штуки).
     
  • 6.91, Аноним (-), 21:01, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    >>> $ ssh -V
    >>> OpenSSH_6.5p1,
    >> Ты, блин, не понял. "Не читал" надо опровергать не выводами --version, а
    >> загрузкой _исходников в виде аудиокниги _твоём исполнении на торретны Планеты.
    > У splendid-версий буковки 'p' (портированная) нет!
    > ssh -V
    > OpenSSH_6.5, OpenSSL 1.0.1c 10 May 2012
    > Кстати, чёт я не понял, почему 6.5, если у меня карент от
    > 21 января? :)

    Версия OpenSSH отвязана от версии OpenBSD.

     
  • 4.50, Perain (?), 14:22, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Сударь, поделитесь scanssh.pl
     
     
  • 5.51, Perain (?), 14:24, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Сударь, поделитесь scanssh.pl

    Как вариант debug ( ssh -vvv user@example.com )

     
  • 5.97, pavlinux (ok), 00:52, 01/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    code HOST 127 0 0 1 for i in cipher cipher-auth mac kex key do ec... большой текст свёрнут, показать
     

  • 1.4, makky1 (?), 01:56, 31/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Моя самая любимая программа и сервер. Хорошо, хоть на эту тему можно поговорить и не холиварить =)
     
  • 1.11, Аноним (-), 05:18, 31/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > arc4random() на базе алгоритма ChaCha20.

    Взаимоисключающие параграфы. Теперь и в криптографии.

     
     
  • 2.33, Andrey Mitrofanov (?), 10:57, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >> arc4random() на базе алгоритма ChaCha20.
    > Взаимоисключающие параграфы. Теперь и в криптографии.

    Изверги, _название функции не поменяли, API не поломали. Враги?!! Это закладка, точно. >/<

     
     
  • 3.65, Аноним (-), 18:43, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Изверги, _название функции не поменяли, API не поломали.

    Вот набуя так функции называть? :) Какойнить нейтральный CryptoFuncRandom(ALG_RC4, ... ) - плохо, да? Ну чтобы потом стало то же самое, только (ALG_CHACHA20, ...).

     
     
  • 4.92, Аноним (-), 21:06, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Изверги, _название функции не поменяли, API не поломали.
    > Вот набуя так функции называть? :) Какойнить нейтральный CryptoFuncRandom(ALG_RC4, ...
    > ) - плохо, да? Ну чтобы потом стало то же самое,
    > только (ALG_CHACHA20, ...).

    Когда называли, не рассчитывали, что API "пойдёт в народ". А теперь менять название как-то не хочется, хотя обсуждения у разрабов были.

    А вообще, надо просто переименованный вариант попытаться пропихнуть в POSIX. Добровольцы?

     
  • 2.53, XoRe (ok), 15:09, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    >> arc4random() на базе алгоритма ChaCha20.
    > Взаимоисключающие параграфы. Теперь и в криптографии.

    Ви что, никогда не видели read() на базе write() ? :)

     
  • 2.58, Аноним (-), 15:53, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Эх,молодежЪ, не изучали вы диалектику
     
     
  • 3.59, бедный буратино (ok), 16:03, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Эх,молодежЪ, не изучали вы диалектику

    Диалектика - это сила! Это даже круче, чем openssh 6.5!

     
     
  • 4.76, Аноним (-), 19:05, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Мало того что круче, еще и проще

     

  • 1.13, бедный буратино (ok), 06:04, 31/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Самые бесправные пользователи openssh - это пользователи openbsd. Им для того, чтобы openssh обновить - нужно базовую систему обновлять :)
     
     
  • 2.34, Andrey Mitrofanov (?), 10:59, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    > Самые бесправные пользователи openssh

    Все пользователи obsd знают свои права и умеют make install. Все пя^Wчетверо.

     
     
  • 3.35, бедный буратино (ok), 11:07, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    make release, вообще-то :)

    http://openbsd.org/faq/ru/faq5.html#Release

     
     
  • 4.38, Andrey Mitrofanov (?), 11:38, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > make release, вообще-то :)

    Нет. wget - tar xzf - cd - ./configure - *make* *install*

    ---Трое. Тебя вычёркиваем.

     
     
  • 5.39, бедный буратино (ok), 11:56, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Откуда wget в openbsd?
     
     
  • 6.44, Andrey Mitrofanov (?), 13:05, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Откуда wget в openbsd?

    Я уже ж тебя вычеркнул. Не знаешь, так не знаешь.

    wget ftp://ftp.gnu.org/gnu/wget/wget-latest.tar.gz - и далее см.выше.

     
     
  • 7.47, pavlinux (ok), 13:46, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    >> Откуда wget в openbsd?
    > Я уже ж тебя вычеркнул. Не знаешь, так не знаешь.
    > wget ftp://ftp.gnu.org/gnu/wget/wget-latest.tar.gz - и далее см.выше.

    unzip pkunzip.zip

     
     
  • 8.48, volax (?), 14:11, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Keyboard not found Press F1 to continue ... текст свёрнут, показать
     
     
  • 9.81, Аноним (-), 19:14, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    CPU not found Starting software emulation ... текст свёрнут, показать
     
     
  • 10.98, pavlinux (ok), 01:02, 01/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Windows not found Restarting Windows ... текст свёрнут, показать
     
     
  • 11.100, бедный буратино (ok), 03:44, 01/02/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Плиз, гивми гивми виндовс, это френч булкс, энд чао мало кто знает, что ког... текст свёрнут, показать
     
  • 7.52, бедный буратино (ok), 14:41, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > wget ftp://ftp.gnu.org/gnu/wget/wget-latest.tar.gz - и далее см.выше.

    А как же

    cd /usr/ports/net/wget
    make install
    ===>  Checking files for wget-1.15
    >> Fetch http://ftpmirror.gnu.org/wget/wget-1.15.tar.gz

    Не вычёркивай меня, я ещё пригожуууусь!

     
     
  • 8.93, Аноним (-), 21:08, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Вотъ ... текст свёрнут, показать
     
     
  • 9.99, бедный буратино (ok), 03:42, 01/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Это не тот make install он же не ставит в usr local а, нет, ставит знач... текст свёрнут, показать
     
  • 3.66, Аноним (-), 18:44, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Все пя^Wчетверо.

    Ты что, буратину на дрова пустил?


     
     
  • 4.71, бедный буратино (ok), 18:51, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >> Все пя^Wчетверо.
    > Ты что, буратину на дрова пустил?

    у буратино, наоборот, +1 openbsd в семействе!

    изи пипл, вуден пипл!

     
     
  • 5.80, Аноним (-), 19:13, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > у буратино, наоборот, +1 openbsd в семействе!

    Верно подмечено - оба такие деревянненькие :).

     
  • 2.54, XoRe (ok), 15:11, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Самые бесправные пользователи openssh - это пользователи openbsd. Им для того, чтобы
    > openssh обновить - нужно базовую систему обновлять :)

    Это ещё что, вот в windows в довесок к системе ещё и комп обновлять, чтобы соответствовать recommended requiments.

     
     
  • 3.57, бедный буратино (ok), 15:38, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Компьютер обновить любой дурак сможет. А ты обнови openbsd!
     
     
  • 4.67, Аноним (-), 18:44, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Компьютер обновить любой дурак сможет. А ты обнови openbsd!

    А ты купи слона :).

     
     
  • 5.70, бедный буратино (ok), 18:49, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Компьютер обновить любой дурак сможет. А ты обнови openbsd!
    > А ты купи слона :).

    Слона я каждый день покупаю. А ты обнови openbsd!

     
  • 2.101, Аноним (-), 18:10, 01/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Самые бесправные пользователи openssh - это пользователи openbsd. Им для того, чтобы
    > openssh обновить - нужно базовую систему обновлять :)



    cd /usr/src
    cvs up -APd usr.sbin/sshd usr.bin/ssh
    cd usr.sbin/sshd
    make depend all
    sudo make install
    cd ../../usr.bin/ssh
    make depend all
    sudo make install


     
     
  • 3.106, бедный буратино (ok), 07:38, 02/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Самые бесправные пользователи openssh - это пользователи openbsd. Им для того, чтобы
    >> openssh обновить - нужно базовую систему обновлять :)
    >

    cd /usr/src
    > cvs up -APd usr.sbin/sshd usr.bin/ssh
    > cd usr.sbin/sshd
    > make depend all
    > sudo make install
    > cd ../../usr.bin/ssh
    > make depend all
    > sudo make install

    Ууух...

    а вообще, в -stable после обновления 6.3 стала 6.4.

     

  • 1.14, raven_kg (ok), 06:21, 31/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    > OpenSSH 6.5 является последним выпуском, поддерживающий версии OpenSSL младше 0.9.6;

    Этакак?! Чтобы накатить следующий релиз нужно будет откатить openssl?!

     
     
  • 2.16, Аноним (-), 06:53, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Чтобы накатить следующий релиз openssh, нужно будет накатить openssl > 0.9.6
     
     
  • 3.17, Аноним (-), 07:01, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    И уж после этого можно будет накатить.
    Тем более пятница.
     
     
  • 4.21, raven_kg (ok), 07:33, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > И уж после этого можно будет накатить.
    > Тем более пятница.

    плюсую жирным плюсом!


     
  • 4.68, Аноним (-), 18:45, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > И уж после этого можно будет накатить.

    Только трус не накатывает релизы в пятницу.


     
  • 3.20, raven_kg (ok), 07:32, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    То есть версией выше, новее, а соответственно МЛАДШЕ 0.9.6! А автор новости пишет, что младшие версии поддерживаться не будут :-D
     
     
  • 4.27, тигар (ok), 10:15, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > То есть версией выше, новее, а соответственно МЛАДШЕ 0.9.6! А автор новости
    > пишет, что младшие версии поддерживаться не будут :-D

    ну так очевидно же, что при/до импорте/-та свежей версии они обновят и openssl

     
  • 2.49, Доктор Звездулькин (?), 14:20, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Да вот это фиговое название: младше/старше.

    Одни говорят "младше", имея в виду "новее". Другие (в их числе, видимо, автор новости) имеют в виду "старее".

     
  • 2.55, XoRe (ok), 15:13, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Этакак?! Чтобы накатить следующий релиз нужно будет откатить openssl?!

    А ты думал, в сказку попал? Это OpenBSD, детка.
    Здесь более старые версии, как вино, становятся только лучше.

     
     
  • 3.95, klalafuda (?), 23:35, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Это OpenBSD, детка. Здесь более старые версии, как вино, становятся только лучше.

    Это если хранить их в герметичных не сообщающихся с внешним миром сосудах при строго определенной температуре. Иначе быстро в уксус переходят.

     

  • 1.19, Аноним (-), 07:06, 31/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    позитивно.
    DJB вообще жгун, кстати.
    но его djbdns популярен не поэтому(чуть не заменил bind во фряхе, вместо анбаунда)
     
     
  • 2.69, Аноним (-), 18:46, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > но его djbdns популярен не поэтому

    Ну вообще-то популярным его назвать сложно. Но вот секурный - это да. У гражданина мышление с уклоном в секурити. Поэтому он может на голом си написать весьма секурную программу, которой любые моднявые бидонисты и прочие пыхопэшники позавидуют.

     
     
  • 3.74, Аноним (-), 19:03, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Главное в код не заглядывать.
    И про фичи не спрашивать.
     
     
  • 4.86, Аноним (-), 19:24, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Главное в код не заглядывать.

    Код как код.

    > И про фичи не спрашивать.

    Потому что DJB выдвинул абсолютно фундаментальный тезис, который фиг оспоришь: чем больше кода - тем больше багов. Проблемы безопасности - частный случай багов. Стало быть чтобы дыр был минимум - кода должно быть минимум. Хрен оспоришь! Вот djbdns и qmail были написаны как доказательство этого тезиса.

     
     
  • 5.88, Аноним (-), 20:41, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    А еще можно писать нормально. Кнут с TeX'ом вроде продемонстрировал давно.
     
  • 2.75, Аноним (-), 19:04, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Это где это djbdns популярен?


     

  • 1.22, Аноним (-), 08:18, 31/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Интересно, почему этот Бернштейн так много делает и для всех, и бесплатно? Есть подозрение что загоняют в какую то мышеловку.
     
     
  • 2.23, Аноним (-), 08:30, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +5 +/
    велком то Опенсорс - сообщество ЛЮДЕЙ.
    Настоящих.
     
  • 2.40, wulf (ok), 12:41, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Интересно, почему этот Бернштейн так много делает и для всех, и бесплатно?

    Я бы не называл бы это словом "бесплатно", правильнее "за деньги налогоплательщиков". Из CV:
    2008 present Research Professor, Department of Computer Science, University of Illinois at
    Chicago.

     
  • 2.42, Аноним (-), 13:00, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Ради собственного эго и не такое делают.
    Любителей qmail вспомните - почти что настоящая секта была.
     
     
  • 3.72, Аноним (-), 18:54, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Любителей qmail вспомните - почти что настоящая секта была.

    На то были свои причины. Кроме всего прочего, DJB в безопасности - молоток. И это одна их самых безопасных программ. Одна из двух, которые DJB написал как доказательство своих тезисов. И, надо сказать, его тезисы в целом очень даже сработали.

     
     
  • 4.73, Аноним (-), 19:02, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Вот и сектанты подтянулись
     
     
  • 5.79, Аноним (-), 19:11, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Вот и сектанты подтянулись

    Гагага, я вообще qmail-ом не пользуюсь. Но я читал работы Берштейна по части безопасности софта и криптографии. И имею заметить что он логично и здраво рассуждает - не подкопаешься.

     

  • 1.60, milkman (?), 16:56, 31/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    > В ssh и sshd добавлена поддержка метода обмена ключами на базе функции Curve25519, предложенной Дэниэлом Бернштейном (D. J. Bernstein) и основанной на использовании криптографии по эллиптическим кривым.

    И это после признания "эллиптических кривых" ненадежным методом шифрования.
    Теперь догадайтесь, кто оплачивает такую интенсивную работу Дэниэла

     
     
  • 2.61, Andrey Mitrofanov (?), 17:27, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Теперь догадайтесь, кто оплачивает такую интенсивную работу Дэниэла

    "Это не те элиптические кривые, которые вам нужны!"- как бы говорит нам... <<догадайтесь, кто>>. И рукой так -- --->

     
  • 2.78, Аноним (-), 19:10, 31/01/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    А кто признал Некий milkman А на основании чего У DJB есть оценки его алгорит... большой текст свёрнут, показать
     
  • 2.96, Аноним (-), 00:03, 01/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > И это после признания "эллиптических кривых" ненадежным методом шифрования.
    > Теперь догадайтесь, кто оплачивает такую интенсивную работу Дэниэла

    Проблемы не в концепции эллиптических кривых, а в конкретной реализации, продвинутой в качестве стандарта NIST. В стандарте заданы константы, которые предполагают возможность восстановления формы кривой для тех кто их генерировал. Поменяйте их и закладка пропадёт.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру