Portable OpenSSH

OpenSSH portabil este un proiect software open source, o versiune portabilă a pachetului de protocoale OpenSSH (Open Source Secure Shell) care utilizează astăzi pe Internet un număr din ce în ce mai mare de persoane . Acesta a fost proiectat de la offset pentru a cripta tot traficul de rețea, inclusiv parolele, pentru a elimina efectiv atacurile potențiale pe care nu le puteți anticipa, cum ar fi încercările de deturnare a conexiunii sau interceptarea.

Caracteristicile cheie includ criptarea puternică bazată pe algoritmi Blowfish, AES, 3DES și Arcfour, redirecționarea X11 prin criptarea traficului X Window System, autentificarea puternică bazată pe protocoalele Kerberos Authentication, Key Public și One-Time Password, precum și port forwarding prin criptarea canalelor pentru protocoalele vechi.

În plus, software-ul vine cu transmitere de agenți pe baza specificației SSO (single-sign-on), trecerea biletului AFS și Kerberos, suport pentru client și server SFTP (Secure FTP) în ambele protocoale SSH1 și SSH2, , și interoperabilitatea, ceea ce face ca programul să respecte standardele protocolului SSH 1.3, 1.5 și 2.0.

Ce sunt incluse?

Odată instalat, OpenSSH va înlocui automat utilitățile Telnet și rlogin cu programul SSH (Secure Shell), precum și cu instrumentul FTP cu SFTP și RCP cu SCP. În plus, acesta include daemonul SSH (sshd) și diverse utilități utile, cum ar fi ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan și sftp-
Sub capota și disponibilitate

Întregul proiect este scris în limbajul de programare C și este distribuit ca arhivă de surse universale pentru toate sistemele de operare GNU / Linux, permițându-i să îl instalați fie pe computere pe 32 de biți, fie pe 64 de biți (recomandate).

Rețineți că sursele tarball vă solicită să configurați și să compilați proiectul înainte de instalare, așa că recomandăm utilizatorilor finali să încerce să-l instaleze din depozitele de software implicite ale sistemului de operare GNU / Linux.

Ce este nou în această versiune:

• ssh (1), sshd (8): Fixarea compilației prin dezactivarea automată a cipurilor care nu sunt acceptate de OpenSSL. bz # 2466
• misc: Soluționarea erorilor de compilare la unele versiuni ale compilatorului AIX legate de definiția macro-ului VA_COPY. bz # 2589
• sshd (8): Mai multe arhitecturi albă pentru a activa sandbox-ul seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Dezactivați urmărirea proceselor pe Solaris folosind setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): În Solaris, nu sunați Solaris setproject () cu UsePAM = da este responsabilitatea PAM. bz # 2425

Ce este nou versiunea:

• ssh (1) dezactivarea automată a cipurilor care nu sunt acceptate de OpenSSL. bz # 2466
• misc: Soluționarea erorilor de compilare la unele versiuni ale compilatorului AIX legate de definiția macro-ului VA_COPY. bz # 2589
• sshd (8): Mai multe arhitecturi albă pentru a activa sandbox-ul seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Dezactivați urmărirea proceselor pe Solaris folosind setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): În Solaris, nu sunați Solaris setproject () cu UsePAM = da este responsabilitatea PAM. bz # 2425

Ce este nou în versiunea 7.4p1: ssh (1), sshd (8): Fixarea compilației prin dezactivarea automată a cipurilor care nu sunt acceptate de OpenSSL. bz # 2466

Ce este nou în versiunea 7.3p1:

• ssh (1), sshd (8): Fixarea compilației prin dezactivarea automată a cipurilor care nu sunt acceptate de OpenSSL. bz # 2466
• misc: Soluționarea erorilor de compilare la unele versiuni ale compilatorului AIX legate de definiția macro-ului VA_COPY. bz # 2589
• sshd (8): Mai multe arhitecturi albă pentru a activa sandbox-ul seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Dezactivați urmărirea proceselor pe Solaris folosind setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): În Solaris, nu sunați Solaris setproject () cu UsePAM = da este responsabilitatea PAM. bz # 2425

Ce este nou în versiunea 7.2p2:

Ce este nou în versiunea 7.1p1:

• Corecții ale erorilor:
• ssh (1), sshd (8): adăugați soluții de compatibilitate pentru FuTTY
• ssh (1), sshd (8): rafinați soluțiile de compatibilitate pentru WinSCP
• Fixați un număr de erori de memorie (dublu-liber, fără memorie neinitializată etc.) în ssh (1) și ssh-keygen (1). A raportat de Mateusz Kocielski.

Ce este nou în versiunea 6.9p1:

-T, o parte din bz # 2346

Ce este nou în versiunea 6.8p1:

• Suport - fără oprire la momentul de configurare. Dezactivează și elimină dependența de OpenSSL. Multe caracteristici, inclusiv protocolul SSH 1, nu sunt acceptate, iar setul de opțiuni criptografiere este foarte restricționat. Acest lucru va funcționa numai pe sistemele cu arc4random nativ sau / dev / urandom. Considerat extrem de experimental pentru moment.
• Suportă - fără opțiunea-ssh1 la timpul de configurare. Permite dezactivarea suportului pentru protocolul SSH 1.
• sshd (8): Corectați compilația pe sisteme cu suport IPv6 în utmpx; bz # 2296
• Permiteți numele serviciului personalizat pentru sshd pe Cygwin. Permite utilizarea mai multor sshd care rulează cu nume diferite de servicii.

Ce este nou în versiunea 6.7p1:

• Portable OpenSSH acceptă acum construirea împotriva programului libressl-portable.
• OpenSSH portabil necesită acum openssl 0.9.8f sau mai mare. Versiunile mai vechi nu mai sunt acceptate.
• În verificarea versiunii OpenSSL, permiteți upgrade-uri de versiuni fixe (dar nu downgrade-uri. Debian bug # 748150.
• sshd (8): pe Cygwin, determinați utilizatorul de separare a privilegiilor în timpul rulării, deoarece poate fi necesar să fie un cont de domeniu.
• sshd (8): Nu încercați să utilizați vhangup pe Linux. Acesta nu funcționează pentru utilizatorii non-root și pentru ei este doar o problemă pentru setările tty.
• Utilizați CLOCK_BOOTTIME preferabil la CLOCK_MONOTONIC atunci când este disponibil. Se consideră că timpul petrecut este suspendat, asigurând astfel că timpul de expirare (de ex. Pentru cheile de agent expirat) se declanșează corect. bz # 2228
• Adăugați suport pentru ed25519 în scriptul init de la opensshd.init.
• sftp-server (8): Pe platformele care îl suportă, folosiți prctl () pentru a împiedica serverul sftp să acceseze / proc / self / {mem,

Ce este nou în versiunea 6.5p1:

• Caracteristici noi:
• ssh (1), sshd (8): Adăugați suport pentru schimbul de chei folosind Diffie Hellman în curba eliptică în Curve25519 a lui Daniel Bernstein. Această metodă de schimb de chei este implicită atunci când atât clientul, cât și serverul o acceptă.
• ssh (1), sshd (8): Adăugați suport pentru Ed25519 ca tip de cheie publică. Ed25519 este o schemă de semnare a curbelor eliptice care oferă o mai bună securitate decât ECDSA și DSA și performanțe bune. Poate fi folosit atât pentru tastele utilizator, cât și pentru cele de gazdă.
• Adăugați un nou format de chei private care utilizează un KDF bcrypt pentru a proteja mai bine cheile în repaus. Acest format este utilizat necondiționat pentru cheile Ed25519, dar poate fi solicitat atunci când se generează sau se salvează chei existente de alte tipuri prin intermediul opțiunii -o ssh-keygen (1). Intenționăm să transformăm noul format în stadiul implicit în viitorul apropiat. Detalii despre noul format sunt în fișierul PROTOCOL.key.
• ssh (1), sshd (8): Adăugați un nou cod de transport "chacha20-poly1305@openssh.com"; care combină cifrul de flux ChaCha20 al lui Daniel Bernstein și MAC Poly1305 pentru a construi un mod de criptare autentificat. Detaliile sunt în fișierul PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): Refuzați cheile RSA de la clienți vechi și servere care utilizează schema de semnătură RSA + MD5 depășită. Va fi în continuare posibilă conectarea cu acești clienți / servere, dar numai cheile DSA vor fi acceptate, iar OpenSSH va refuza conectarea în întregime într-o versiune viitoare.
• ssh (1), sshd (8): Refuzați clienții vechi și serverele care utilizează un calcul de hash de schimb cu cheie mai slabă.
• ssh (1): Creșteți dimensiunea grupurilor Diffie-Hellman solicitate pentru fiecare dimensiune simetrică a cheii. Noi valori din publicația specială NIST 800-57 cu limita superioară specificată de RFC4419.
• ssh (1), ssh-agent (1): Suportă pkcs # 11 tokes care oferă numai chei X.509 în loc de chei publice primite (solicitate ca bz # 1908).
• ssh (1): Adăugați un ssh_config (5) "potrivire" cuvânt cheie care permite aplicarea configurației condiționate prin potrivirea numelui de gazdă, a utilizatorului și a rezultatului comenzilor arbitrare.
• ssh (1): Adăugați suport pentru canonicalizarea bazată pe numele clientului, utilizând un set de sufixe și reguli DNS în ssh_config (5). Acest lucru permite ca denumirile necalificate să fie canonizate la numele de domenii complet calificate pentru a elimina ambiguitatea atunci când caută cheile în know_hosts sau verifică numele certificatelor gazdă.
• sftp-server (8): Adăugați după nume numele abilităților la protocolul sftp pentru listă albă și / sau lista neagră.
• sftp-server (8): Adăugați un sftp "fsync@openssh.com"; pentru a sprijini apelarea fsync (2) pe un mâner deschis al fișierului.
• sshd (8): Adăugați o permisiune ssh_config (5) PermitTTY pentru a interzice alocarea TTY, reflectând opțiunea no-pty authorized_keys.
• ssh (1): Adăugați o opțiune ssh_config ProxyUseFDPass care acceptă utilizarea ProxyCommands care stabilesc o conexiune și apoi trece un descriptor de fișier conectat în ssh (1). Acest lucru permite ProxyCommandului să iasă mai degrabă decât să rămână în jur pentru a transfera date.
• Corecții ale erorilor:
• ssh (1), sshd (8): Rezolva epuizarea potențială a stivei cauzată de certificatele imbricate.
• ssh (1): bz # 1211: face BindAddress să lucreze cu UsePrivilegedPort.
• sftp (1): bz # 2137: fixați contorul pentru progresul transferului.
• ssh-add (1): bz # 2187: nu solicitați PIN-ul smartcard atunci când eliminați cheile de la ssh-agent.
• sshd (8): bz # 2139: remediați căderea înapoi atunci când versiunea originală sshd binară nu poate fi executată.
• ssh-keygen (1): Faceți o perioadă de expirare a certificatului relativ specificată față de timpul curent și nu timpul de începere a valabilității.
• sshd (8): bz # 2161: FixedKeysCommand fix în interiorul unui bloc de potrivire.
• sftp (1): bz # 2129: simularea unui fișier ar incripționa incorect calea țintă.
• ssh-agent (1): bz # 2175: reparați un utilitar după executare în agentul PKCS # 11.
• sshd (8): Îmbunătățirea înregistrării sesiunilor pentru a include numele de utilizator, hostul și portul de la distanță, tipul de sesiune (shell, comanda etc.) și TTY alocate (dacă există).
• sshd (8): bz # 1297: spuneți clientului (printr-un mesaj de depanare) când adresa preferată de ascultare a fost suprascrisă de setarea GatewayPorts a serverului.
• sshd (8): bz # 2162: includerea portului de raport în mesajul banner protocolul rău.
• sftp (1): bz # 2163: remediați scurgerea memoriei în calea de eroare în do_readdir ().
• sftp (1): bz # 2171: nu pierdeți descriptorul de fișiere pe eroare.
• sshd (8): includeți adresa locală și portul în "Conexiune de la ..." mesaj (afișat numai la loglevel & gt; = verbose).
• OpenSSH portabil:
• Rețineți că aceasta este ultima versiune OpenSSH portabilă care va suporta versiunile OpenSSL înainte de 0.9.6. Sprijinul (adică SSH_OLD_EVP) va fi eliminat după lansarea 6.5p1.
• OpenSSH portabil va încerca să compileze și să facă legătura ca Executiv independent pe poziții pe Linux, OS X și OpenBSD pe compilatoarele recente gcc. Alte platforme și compilatoare mai vechi / altele pot solicita acest lucru folosind pavilionul --with-pie configure.
• O serie de alte opțiuni de întărire legate de unelte de instrumente sunt utilizate automat dacă sunt disponibile, inclusiv -ftrapv pentru a renunța la depășirea întregului semn și la opțiunile pentru a proteja informațiile dinamice de legare la scriere. Utilizarea acestor opțiuni poate fi dezactivată utilizând pavilionul --without-hardening configure.
• Dacă lanțul de unelte îl acceptă, unul din simbolul -fstack-protector-strong, -fstack-protector-all sau -fstack-protector de compilare este utilizat pentru a adăuga paznici pentru a atenua atacurile bazate pe suprapunerile de stive. Utilizarea acestor opțiuni poate fi dezactivată utilizând opțiunea --without-stackprotect configure.
• sshd (8): Adăugați suport pentru sandboxingul pre-autentificare utilizând API-ul Capsicum introdus în FreeBSD 10.
• Comutați la un arc4random () PRNG bazat pe ChaCha20 pentru platforme care nu oferă propriile lor.
• sshd (8): bz # 2156: restaurați setarea Linux oom_adj la manipularea SIGHUP pentru a menține comportamentul peste repetare.
• sshd (8): bz # 2032: folosiți numele de utilizator local în cheia krb5_kuserok, mai degrabă decât numele complet al clientului, care poate fi în formă de utilizator @ REALM.
• ssh (1), sshd (8): Testați atât prezența numerelor ECC NID în OpenSSL, cât și faptul că funcționează. Fedora (cel puțin) are NID_secp521r1 care nu funcționează.
• bz # 2173: utilizați pkg-config -libs pentru a include locația corectă -L pentru libedit.

Ce este nou în versiunea 6.4p1:

: remediați o problemă de corupere a memoriei declanșată în timpul reluării când este selectat un cifru AES-GCM. Detalii complete despre vulnerabilitate sunt disponibile la: http://www.openssh.com/txt/gcmrekey.adv

Ce este nou în versiunea 6.3p1:

• Caracteristici:
• sshd (8): adăugați ssh-agent (1) suport pentru sshd (8); permite hostkeys criptate sau hostkeys pe cartelele inteligente.
• ssh (1) / sshd (8): permite reluarea opțională bazată pe timp printr-un al doilea argument la opțiunea RekeyLimit existentă. RekeyLimit este acum acceptat în sshd_config, precum și pe client.
• sshd (8): standardizarea înregistrării informațiilor în timpul autentificării utilizatorilor.
• Cheia / certul prezentat și numele de utilizator de la distanță (dacă este disponibil) sunt acum înregistrate în mesajul de reușită / eșuare a autentificării pe aceeași linie de jurnal ca și numele de utilizator local, hostul / portul de la distanță și protocolul utilizat. Sunt înregistrate conținutul certificatului și amprenta cheie a certificatului de semnare.
• Includerea tuturor informațiilor relevante pe o singură linie simplifică analiza jurnalului, deoarece nu mai este necesar să se raporteze informații împrăștiate prin mai multe intrări în jurnal.
• ssh (1): adăugați capacitatea de a interoga care sunt chei, algoritmi MAC, tipuri de chei și metode de schimb de taste în binar.
• ssh (1): suport ProxyCommand = - pentru a permite cazuri de suport în care stdin și stdout indică deja proxy-ul.
• ssh (1): permite IdentityFile = none
• ssh (1) / sshd (8): adăugați opțiunea -E la ssh și sshd pentru a adăuga jurnalele de depanare la un fișier specificat în loc de stderr sau syslog.
• sftp (1): adăugați suport pentru reluarea descărcărilor parțiale folosind "reget" comandă și pe linia de comandă sftp sau pe linia de comandă "get" linia de comandă utilizând secțiunea "-a" (adăugați).
• ssh (1): adăugați un "IgnoreUnknown" de configurare pentru a suprima selectiv erorile generate de directivele de configurare necunoscute.
• sshd (8): adăugați suport pentru submetodele care urmează să fie adăugate la metodele de autentificare cerute listate prin AuthenticationMethods.
• Corecții ale erorilor:
• sshd (8): remediați refuzul de a accepta un certificat dacă o tastă de tip diferit de cheia CA a apărut în cheile autorizate înainte de cheia CA.
• ssh (1) / ssh-agent (1) / sshd (8): Folosiți o sursă de timp monotonă pentru cronometrele astfel încât lucrurile precum keepalives și rekeying să funcționeze corespunzător.
• sftp (1): actualizați progresmetrul atunci când datele sunt confirmate, nu când este trimis. bz # 2108
• ssh (1) / ssh-keygen (1): îmbunătățirea mesajelor de eroare atunci când utilizatorul curent nu există în / etc / passwd; bz # 2125
• ssh (1): resetați ordinea în care cheile publice sunt încercate după un succes parțial de autentificare.
• ssh-agent (1): curățarea fișierelor socket după SIGINT atunci când este în modul de depanare; bz # 2120
• ssh (1) și altele: evitați confundarea mesajelor de eroare în cazul configurațiilor de rezolvare a unui sistem defect; bz # 2122
• ssh (1): setați nodelay TCP pentru conexiunile începute cu -N; bz # 2124
• ssh (1): manual corect pentru cerințele de permisiune pentru ~ / .ssh / config; bz # 2078
• ssh (1): fixarea timeout-ului ControlPersist nu declanșează în cazurile în care conexiunile TCP au fost atinse. bz # 1917
• ssh (1): ștergeți corespunzător un master ControlPersist de la terminalul său de control.
• sftp (1): evitați accidentele în libedit când a fost compilat cu suport multi-byte caracter. bz # 1990
• sshd (8): când executați sshd -D, închideți stderr dacă nu am solicitat în mod explicit logarea la stderr. bz # 1976
• ssh (1): fixați incomplet bzero; bz # 2100
• sshd (8): log și eroare și ieșire dacă ChrootDirectory este specificat și rulează fără privilegii root.
• Multe îmbunătățiri ale suitei de testare pentru regresie. În special, fișierele jurnal sunt salvate acum din ssh și sshd după eșecuri.
• Remediați un număr de scurgeri de memorie. bz # 1967 bz # 2096 și altele
• sshd (8): reparați autentificarea cheii publice atunci când un stil: este atașat la numele de utilizator solicitat.
• ssh (1): nu ieșiți fatal atunci când încercați să curățați canalele create de multiplexare care sunt incomplet deschise. bz # 2079
• OpenSSH portabil:
• Revizuirea majoră a contribuției / cygwin / README
• Fixați accesările nealiniate în umac.c pentru arhitecturile de aliniere strictă. bz # 2101
• Activați -Wsizeof-pointer-memaccess dacă compilatorul îl acceptă. bz # 2100
• Remediați erorile eronate de raportare incorectă a liniei bz # 1448
• includeți numai metode de schimb de chei SHA256 și ECC dacă libcrypto are suportul necesar.
• Remedierea unui cod de redirecționare dinamic SOCKS5 pe arhitecturi de aliniere strictă
• O serie de remedii de portabilitate pentru Android: * Nu încercați să utilizați ultimlog pe Android; bz # 2111 * Reveniți la utilizarea funcției DES_crypt a openssl pe platormele care nu au o funcțiune nativă crypt (); bz # 2112 * Testați fd_mask, howmany și NFDBITS mai degrabă decât încercarea de a enumera plafoanele care nu le au. bz # 2085 * Înlocuiți S_IWRITE, care nu este standardizat, cu S_IWUSR, care este. bz # 2085 * Adăugați o implementare nulă a endgrenului pentru platforme care nu o au (de exemplu, Android) bz # 2087 * Platforme de suport, cum ar fi Android, care nu au struct passwd.pw_gecos. bz # 2086

Ce este nou în versiunea 6.2p2:

• sshd (8) platformele unde suportă kernelul.
• sshd (8): Nisipul de filtrare seccomp nu va fi activat dacă antetele sistemului îl acceptă la timpul de compilare, indiferent dacă acesta poate fi activat atunci. Dacă sistemul run-time nu suportă seccomp-filter, sshd va reveni la pseudo-sandbox rlimit.
• ssh (1): Nu se leagă în bibliotecile Kerberos. Ele nu sunt necesare pe client, doar pe sshd (8). bz # 2072
• Fixați linkul GSSAPI pe Solaris, care utilizează o bibliotecă GSSAPI diferită. bz # 2073
• Fixați compilația pe sisteme cu openssl-1.0.0-fips.
• Remediați un număr de erori în fișierele spec. RPM.

Ce este nou în versiunea 5.8p1:

• Eroare la compilație la activarea suportului SELinux.
• Nu încercați să apelați funcțiile SELinux când SELinux este dezactivat. bz # 1851