The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Релиз OpenSSH 7.7"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз OpenSSH 7.7"  +/
Сообщение от opennews (ok) on 03-Апр-18, 12:05 
После шести месяцев разработки представлен (http://lists.mindrot.org/pipermail/openssh-unix-dev/2018-Apr...) релиз OpenSSH 7.7 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

Основные новшества:

-  В ssh и sshd прекращена поддержка некоторых старых реализаций SSH, включая выпуски оригинального SSH от ssh.com до версий 2.* включительно и выпусков OpenSSH до 3.* включительно, выпущенных до 2001 года и включающих реализации протокола до формирования официального RFC;

-  Добавлена экспериментальная поддержка ключей PQC XMSS (https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-...) (Extended Hash- Based Signatures);


-  Добавлена директива RDomain для разрешения размещения аутентифицированного сеанса в заданном домене маршрутизации (Routing Domain), пока поддерживаемая только в OpenBSD и Linux. Также добавлены сопутствующие опции "rdomain" в директивах Match  и   ListenAddress для варьирования настроек в зависимости от домена маршрутизации и разрешения  приёма соединений через разные домены маршрутизации;


-  Добавлена опция "expiry-time" для задания времени жизни ключей в файле authorized_keys;
-  Обеспечена возможность обращения к ресурсам ssh, scp и sftp через URI (например ssh://user@host или sftp://user@host/path);

-  Для ssh реализована директива BindInterface, позволяющая явно определить сетевой интерфейс для инициирования исходящих соединений (ранее допускалась только привязка по IP-адресу  (BindAddress), а не имени интерфейса);

-  В  ssh добавлен флаг подстановки %T  для вывода устройства, заготовленного для перенаправления через tun/tap, при формировании команды в  LocalCommand (например, можно использовать для запуска скрипта для предварительной подготовки сетевого интерфейса). В sshd подобное устройство выводится  через переменную окружения SSH_TUNNEL;


-  В sftp разрешено выполнение команд  "cd" и "lcd" без аргументов, в этом случае будет обеспечен переход в домашнюю (для "cd") и начальную ("lcd") директории;
-  Удалена поддержка операционной системы UNICOS (https://ru.wikipedia.org/wiki/Unicos);
-  Добавлена возможность сборки и связывания с флагами "retpoline" для защита от второго варианта уязвимости  Spectre;
-  Обеспечено добавление в Makefile  автоматически генерируемой информации о зависимостях.

URL: http://lists.mindrot.org/pipermail/openssh-unix-dev/2018-Apr...
Новость: https://www.opennet.me/opennews/art.shtml?num=48384

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз OpenSSH 7.7"  +15 +/
Сообщение от Crazy Alex (ok) on 03-Апр-18, 12:05 
Если б они ещё порт стандартным манером понимали... ну, то есть ssh user@host:port/dir - удобно же, нахрена его в отдельный ключ пихать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз OpenSSH 7.7"  +23 +/
Сообщение от eisaev on 03-Апр-18, 12:17 
Неистово плюсую! Особенно бодрит "-p" у ssh и при этом "-P" у scp.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Релиз OpenSSH 7.7"  +/
Сообщение от Аноним (??) on 03-Апр-18, 12:32 
Привыкли уже. А разбор схемы это время, ресурсы и дополнительная сложность, так что допускаю идеологические причины (конечно, не аргумент).
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

57. "Релиз OpenSSH 7.7"  +/
Сообщение от Аноним (??) on 04-Апр-18, 18:46 
> дополнительная сложность

А тебя тоже сахритку покусал? Жлобишься отдать 0.000000001 сек процессорного времени на парсинг схемы?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Релиз OpenSSH 7.7"  +8 +/
Сообщение от tensor on 03-Апр-18, 13:03 
Особенно бодрит rsync over ssh на нестандартном порту.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Релиз OpenSSH 7.7"  –2 +/
Сообщение от Diozan (??) on 03-Апр-18, 14:08 
А что с ним не так? Никогда не держу SSH на стандартном порту. Каких-либо трудностей ни с VNC ни с rsync замечено не было...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Релиз OpenSSH 7.7"  –1 +/
Сообщение от lucentcode (ok) on 03-Апр-18, 14:30 
А rsync -e 'ssh -P $port_number' разве у вас не работает?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

61. "Релиз OpenSSH 7.7"  +/
Сообщение от pauc (ok) on 05-Апр-18, 22:18 
Не работает. Ибо '-p', а не '-P'. А с ':' такой ошибки бы не совершили.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Релиз OpenSSH 7.7"  –1 +/
Сообщение от Аноним (??) on 03-Апр-18, 15:08 
В ряде случаев удобней

export RSYNC_RSH="ssh -p12345"
rsync ..

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Релиз OpenSSH 7.7"  +4 +/
Сообщение от Доктор (??) on 03-Апр-18, 13:59 
Зато память развивает и деменцию отдаляет. Следи за собой, будь осторожен.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

53. "Релиз OpenSSH 7.7"  +/
Сообщение от Ан (??) on 04-Апр-18, 10:58 
Для этой цели можно и список редакций офтопика с особенностями лицензирования учить =)
Что? неужели вам это не интересно?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

3. "Релиз OpenSSH 7.7"  +3 +/
Сообщение от onanimous on 03-Апр-18, 12:30 
> нахрена его в отдельный ключ пихать?

Пропиши порты в ~/.ssh/config

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Релиз OpenSSH 7.7"  +1 +/
Сообщение от Crazy Alex (ok) on 03-Апр-18, 12:36 
Если часто куда-то ломишься - ясное дело, но не для однократных входов же
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Релиз OpenSSH 7.7"  –2 +/
Сообщение от Аноним (??) on 03-Апр-18, 13:35 
onanimous настолько суров что правит /etc/ssh/ssh_config до и после ssh-сессии по два раза
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

4. "Релиз OpenSSH 7.7"  +1 +/
Сообщение от Аноним (??) on 03-Апр-18, 12:32 
Сами же понимаете, что возникает неоднозначность: «хост:порт» или «хост:каталог»? Наследие тёмных веков разработчики, конечно, как могут, исправляют, но — предложите решение получше? Вот, предложили использовать URI — глядишь, станет полегче.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Релиз OpenSSH 7.7"  +/
Сообщение от Crazy Alex (ok) on 03-Апр-18, 12:37 
Ну так в URI они это тоже не добавили
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

24. "Релиз OpenSSH 7.7"  +/
Сообщение от Аноним (??) on 03-Апр-18, 15:15 
В URI это есть по определению.

> ssh connects and logs into the specified destination, which may be specified as either [user@]hostname or a URI of the form ssh://[user@]hostname[:port].
> The destination may be specified either as [user@]host[:path] or as a URI in the form sftp://[user@]host[:port][/path].
> The source and target may be specified as a local pathname, a remote host with optional path in the form [user@]host:[path], or a URI in the form scp://[user@]host[:port][/path].

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

44. "Релиз OpenSSH 7.7"  +/
Сообщение от Crazy Alex (ok) on 03-Апр-18, 17:02 
а, ну тогда гуд.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

51. "Релиз OpenSSH 7.7"  +/
Сообщение от Аноним (??) on 04-Апр-18, 05:40 
> Сами же понимаете, что возникает неоднозначность: «хост:порт» или «хост:каталог»?

Каталог начинается с тильды или слеша. Или ещё есть варианты с цифры?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Релиз OpenSSH 7.7"  +/
Сообщение от alex (??) on 03-Апр-18, 13:32 
а зачем собстенно ссш на нестандартный порт пихать?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Релиз OpenSSH 7.7"  +2 +/
Сообщение от Адекват (ok) on 03-Апр-18, 13:42 
> а зачем собстенно ссш на нестандартный порт пихать?

Чтобы боты логи не забивали спамом.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

50. "Релиз OpenSSH 7.7"  –2 +/
Сообщение от Аноним (??) on 04-Апр-18, 00:37 
Ну да, на случайный порт они, конечно, никогда не зайдут. Или для вас принципиально, чтобы пароль пытались не 937 китайских вируса и один умный хакер, а 184 китайских вируса и один умный хакер?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

54. "Релиз OpenSSH 7.7"  +/
Сообщение от АнонИМышь on 04-Апр-18, 13:28 
Ну да, на стандартном порту сотни попыток в день, на случайном порту ни разу за 10 лет.
Никакой разница, да.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

56. "Релиз OpenSSH 7.7"  –1 +/
Сообщение от _ (??) on 04-Апр-18, 18:09 
ДДддд :))))
Это потому что ты nach никому кроме ботов не нужен.
Слегка апнутый бот умеет сканить тысячи IP в минуту на предмент портов.
А ты спрятало голову в кусты и решил что - всё, "безапасна!"(С)
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

62. "Релиз OpenSSH 7.7"  +/
Сообщение от Аноним (??) on 06-Апр-18, 00:01 
> Ну да, на стандартном порту сотни попыток в день, на случайном порту
> ни разу за 10 лет.
> Никакой разница, да.

Верите, нет — нормальные люди не мас... молятся на логи SSH, а делают так, чтобы об этом сервисе не надо было беспокоиться: устанавливают на фаерволе ограничения на количество попыток подключения с одного адреса; проводят здоровую политику паролей/ключей и вообще возможности входа по SSH; и так далее. А для подстраховки, если совсем надо, ставят прогу для мониторинга журналов системы на предмет аномалий. И мне всё равно, сколько глупых ботов ко мне сейчас стучатся, они меня не волнуют от слова «совсем». А те, кто волнуют (да, такие — к счастью или к сожалению — есть), не будут тупо перебирать пароли. То есть, конечно, они могут, но только если совсем от скуки и ничего не боясь. :)

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

16. "Релиз OpenSSH 7.7"  –4 +/
Сообщение от Diozan (??) on 03-Апр-18, 14:10 
> а зачем собстенно ссш на нестандартный порт пихать?

Посмотри tspdump-ом, что на стандартном твориться, если он в Интернет светит...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Релиз OpenSSH 7.7"  +1 +/
Сообщение от alex (??) on 03-Апр-18, 14:33 
и они прям перестанут ломиться на нестандартном?
ограничить кол-во подключений в секунду файерволом и удалять старые логи - не так уж сложно
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Релиз OpenSSH 7.7"  +/
Сообщение от Аноним (??) on 03-Апр-18, 15:12 
Прям перестанут.
Конфиг в студию, поржём.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "Релиз OpenSSH 7.7"  +1 +/
Сообщение от Аноним (??) on 03-Апр-18, 15:19 
> Конфиг в студию, поржём.

apt-get install fail2ban
Конфиг по дефолту.
И да, мне не жалко сотни строчек в логе. А если сильно захотят поломать, то найдут SSH, на какой бы порт ты его ни засунул.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Релиз OpenSSH 7.7"  +/
Сообщение от Аноним (??) on 03-Апр-18, 15:25 
С хабра?
Если захотят поломать, то ломать будут с ботнета, против которого fail2ban не поможет.
И да, целевые и нецелевые атаки надо уметь различать.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

45. "Релиз OpenSSH 7.7"  +1 +/
Сообщение от Аноним (??) on 03-Апр-18, 20:15 
> С хабра?

Нет. Почему тебя это волнует?

> Если захотят поломать, то ломать будут с ботнета, против которого fail2ban не поможет.

Я и не говорил, что поможет (хотя на самом деле и он может существенно затруднить атакующему жизнь, особенно если время бана увеличить). Зато поможет полный запрет входа по паролю.

> целевые и нецелевые атаки надо уметь различать.

Различать их надо для того, чтобы уметь противостоять и тем, и другим. Ты же, перевешивая SSH на нестандартный порт, борешься (ну или пытаешься бороться) только с нецелевыми.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

49. "Релиз OpenSSH 7.7"  +1 +/
Сообщение от Аноним (??) on 03-Апр-18, 22:25 
> А если сильно захотят поломать, то найдут SSH, на какой бы порт ты его ни засунул.

apt-cache search knockd

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

60. "Релиз OpenSSH 7.7"  +/
Сообщение от Аноним (??) on 05-Апр-18, 17:15 
apt-get install sshguard
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

20. "Релиз OpenSSH 7.7"  +/
Сообщение от alex (??) on 03-Апр-18, 15:04 
и заодно - а как вы запоминаете на какой порт заходить? если в конфиг не записывать
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

25. "Релиз OpenSSH 7.7"  +/
Сообщение от Аноним (??) on 03-Апр-18, 15:17 
> и заодно - а как вы запоминаете на какой порт заходить? если
> в конфиг не записывать

Бессмысленно помнить ip-адреса или имена сотен серверов.

В любом случае будет конфиг. Не ssh, так внешней программы хранящей информацию по хостам.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

48. "Релиз OpenSSH 7.7"  +/
Сообщение от Diozan (??) on 03-Апр-18, 21:14 
Карандаш и блокнот изобрели ещё в древнем Египте...
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

36. "Релиз OpenSSH 7.7"  +/
Сообщение от Аноним (??) on 03-Апр-18, 15:43 
fail2ban
С ограничением 20 переборов в неделю и временем бана месяц.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

43. "Релиз OpenSSH 7.7"  +/
Сообщение от Crazy Alex (ok) on 03-Апр-18, 17:01 
например - потому что форвардится ssh-доступ на несколько машин за nat. Или потому что ssh используется как протокол-носитель для сервиса, мимо основного ssh
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

46. "Релиз OpenSSH 7.7"  +1 +/
Сообщение от Аноним (??) on 03-Апр-18, 20:21 
> например - потому что форвардится ssh-доступ на несколько машин за nat.

     -J [user@]host[:port]
             Connect to the target host by first making a ssh connection to the jump host and then establishing a
             TCP forwarding to the ultimate destination from there.  Multiple jump hops may be specified separated
             by comma characters.  This is a shortcut to specify a ProxyJump configuration directive.

> Или потому что ssh используется как протокол-носитель для сервиса, мимо основного ssh

Что мешает заворачивать сервис в тот же "основной ssh"? Вроде так всегда и делается.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

64. "Релиз OpenSSH 7.7"  +/
Сообщение от Ананас on 10-Апр-18, 10:01 
Чтобы не отсвечивать.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

58. "Релиз OpenSSH 7.7"  +1 +/
Сообщение от ig0r (??) on 05-Апр-18, 01:03 
Host *:*
    ProxyCommand nc $(echo %h | sed 's/:.*//') $(echo %h | sed 's/.*://' )
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

52. "Релиз OpenSSH 7.7"  +/
Сообщение от бедный буратино (ok) on 04-Апр-18, 06:12 
только собирался переходить на UNICOS
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Релиз OpenSSH 7.7"  +/
Сообщение от Аноним (??) on 04-Апр-18, 14:48 
Expiry для authorized_keys звучит интересно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Релиз OpenSSH 7.7"  +/
Сообщение от mj (??) on 05-Апр-18, 16:07 
Интересно, да. А что будет если это поле перетереть)
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

63. "Релиз OpenSSH 7.7"  +/
Сообщение от adolfus (ok) on 07-Апр-18, 09:52 
Слово "directory" переводится, как "каталог". Слова "директория" в русском нет -- это старый допапочный сленг мелкомягких.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру