The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выпуск OpenSSH 6.8"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск OpenSSH 6.8"  +/
Сообщение от opennews (ok) on 18-Мрт-15, 12:31 
Доступен (http://lists.mindrot.org/pipermail/openssh-unix-announce/201...) выпуск OpenSSH 6.8 (http://www.openssh.com/) - открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP. Из наиболее важных улучшений можно отметить возможность сборки без OpenSSL, проведение внутреннего рефакторинга, возможность автозамены ключей хоста на стороне клиента, встроенную реализацию списков отозванных сертификатов, изменение формата отпечатков ключей.

Основные улучшения:

-  Переработана значительная часть внутреннего кода с целью выноса базовых частей OpenSSH в отдельную библиотеку. Несмотря на то, что связанные с рефакторингом изменения не заметны пользователям, они позволили существенно улучшить тестируемость кода и оптимизировать внутреннюю структуру проекта;
-  В ssh и sshd добавлена опция FingerprintHash, через которую можно управлять выбором алгоритма для создания fingerprint-отпечатков ключей. По умолчанию отпечатки теперь создаются с использованием хэша SHA256 и формата base64, вместо ранее применяемого шестнадцатеричного вывода MD5. Кроме того, строка с отпечатком теперь содержит явное указание алгоритма хэширования, например, "SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE";

-  Экспериментальная поддержка автозамены (http://www.opennet.ru/opennews/art.shtml?num=41584) ключей хоста. Реализовано специальное расширение протокола "hostkeys@openssh.com", позволяющее серверу после прохождения аутентификации информировать клиента  о всех доступных ключах хоста. Клиент может отразить эти ключи в своём файле ~/.ssh/known_hosts, что позволяет организовать обновление ключей хоста и упрощает смену ключей на сервере. На стороне клиента обновление ключей хоста можно разрешить воспользовавшись опцией UpdateHostkeys (по умолчанию значение "no").

В качестве примера можно привести переход от ключей DSA, для работы с которыми требуется OpenSSL/LibreSSL, на интегрированную в OpenSSH реализацию цифровой подписи с открытым ключом Ed25519. При использовании новой функции, sshd отправит клиенту все имеющиеся на сервере открытые ключи узла. В свою очередь, клиент осуществит замену всех имеющихся ключей доверяемого узла на предоставленные таким образом новые ключи. Для инициирования замены ключей на сервере, необходимо в sshd_config одновременно указать как старые, так и новые ключи, добавив дополнительные секции HostKey;

-  Переносимая версия OpenSSH избавлена от привязки к OpenSSL и теперь может быть собрана без  OpenSSL/LibreSSL. При сборке с опцией "--without-openssl" вместо OpenSSL будет использован только внутренний набор алгоритмов (curve25519 (http://cr.yp.to/ecdh.html), aes-ctr (http://bxr.su/OpenBSD/usr.bin/ssh/cipher-aesctr.c), chacha20+poly1305 (http://cr.yp.to/chacha.html) и ed25519 (http://ed25519.cr.yp.to/)), применяемых при использовании протокола SSH-2, а протокол SSH-1 поддерживаться не будет. Работа без OpenSSL пока возможна только на системах, предоставляющих механизмы  arc4random или /dev/urandom для доступа к генераторам псевдослучайных чисел;
-  Реализована встроенная поддержка списков отозванных ключей KRL (Key Revocation List) в  ssh-keygen и sshd, не требующая сборки с OpenSSL;
-  Параметр UseDNS по умолчанию теперь принимает значение 'no', что потребует явного указания "UseDNS yes" для конфигураций в которых в sshd_config или authorized_keys применяется сопоставление по именам клиентских хостов;


-  В ssh и ssh-keysign обеспечена возможность использования ключей ed25519 для аутентификации в привязке к хосту (Host-based Authentication);


-  В sshd обеспечено запоминание уже использованного для аутентификации открытого ключа и отвержение попыток указания того же ключа при аутентификации по двум ключам. Иными словами, если в настройках указано "AuthenticationMethods=publickey,publickey", то пользователь теперь должен использовать два разных ключа;

-  В  sshd_config добавлены опции HostbasedAcceptedKeyTypes и
   PubkeyAcceptedKeyTypes, позволяющие определить допустимые типы открытых ключей. По умолчанию разрешены все типы ключей. В  свою очередь для клиента в ssh_config добавлена опция  HostbasedKeyType, дающая возможность указать допустимые типы открытых ключей хоста;

-  В ssh добавлена опция RevokedHostKeys, позволяющая подключить список отозванных ключей хоста в форме текстового файла или KRL;

-  В  ssh-keygen и sshd добавлена поддержка отзыва сертификатов по их порядковому номеру или идентификатору ключа, не вдаваясь в подробности привязки к CA;

-  В ssh добавлена опция "-G", в которой по аналогии с "sshd -T" производится разбор конфигурации и её дамп в стандартный выходной поток;
-  В ssh реализована поддержка операции отрицания в блоках  Match. Например, "Match !host";

-  В  ssh и sshd устранены проблемы с обрывом соединения при предоставлении нескольких ECDSA-ключей разного размера;


-  В переносимую версию OpenSSH добавлена опция "--without-ssh1", позволяющая собрать пакет без поддержки первой версии протокола SSH;
-  При работе в окружении Cygwin для sshd реализована возможность указанием собственных имён сервисов, что позволяет запустить несколько экземпляров sshd с разными именами сервисов.

URL: http://lists.mindrot.org/pipermail/openssh-unix-announce/201...
Новость: http://www.opennet.ru/opennews/art.shtml?num=41866

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск OpenSSH 6.8"  +16 +/
Сообщение от makky email(ok) on 18-Мрт-15, 12:31 
>>>> UseDNS по умолчанию теперь принимает значение 'no',

Ах ты ж! Пропадет 100500 одинаковых вопросов про тормоза ssh (:

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выпуск OpenSSH 6.8"  +3 +/
Сообщение от Pahanivo (ok) on 18-Мрт-15, 15:44 
да ваще капец - взяли и лишили форумы поцеентов.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Выпуск OpenSSH 6.8"  +1 +/
Сообщение от PnDx (ok) on 19-Мрт-15, 11:14 
Теперь сразу про "не стартующий" mc будут спрашивать, ага.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Выпуск OpenSSH 6.8"  +/
Сообщение от анон on 19-Мрт-15, 11:19 
Я даже не джва, а лет 15 ждал этого момента.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск OpenSSH 6.8"  +4 +/
Сообщение от Чаёвник on 18-Мрт-15, 14:35 
>> возможность автозамены ключей хоста на стороне клиента

Интересно было бы глянуть на детали настройки и реализации получения клиентом старого ключа, а потом обновления до нового. Но гораздо интереснее было бы узнать, как автоматом менять старый ключ из authorized_keys на новый.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Выпуск OpenSSH 6.8"  +5 +/
Сообщение от Нанобот (ok) on 18-Мрт-15, 15:12 
>Переработана значительная часть внутреннего кода

обычно именно так начинается внесение новых ошибок :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Выпуск OpenSSH 6.8"  –2 +/
Сообщение от Аноним (??) on 18-Мрт-15, 15:50 
> Переносимая версия OpenSSH избавлена от привязки к OpenSSL и теперь может быть собрана без OpenSSL/LibreSSL. При сборке с опцией "--without-openssl" вместо OpenSSL будет использован только внутренний набор алгоритмов (curve25519, aes-ctr, chacha20+poly1305 и ed25519), применяемых при использовании протокола SSH-2, а протокол SSH-1 поддерживаться не будет.
> В переносимую версию OpenSSH добавлена опция "--without-ssh1", позволяющая собрать пакет без поддержки первой версии протокола SSH
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Выпуск OpenSSH 6.8"  +/
Сообщение от Ilya Indigo (ok) on 18-Мрт-15, 17:14 
>Переносимая версия OpenSSH избавлена от привязки к OpenSSL и теперь может быть собрана без OpenSSL/LibreSSL. При сборке с опцией "--without-openssl" вместо OpenSSL будет использован только внутренний набор алгоритмов (curve25519, aes-ctr, chacha20+poly1305 и ed25519), применяемых при использовании протокола SSH-2, а протокол SSH-1 поддерживаться не будет.

Так это великолепно! И с конфигом париться меньше и для ленивых по дефолту более безопасная конфигурация.
Но вот, например, filezilla по sftp к серверу не сможет подключиться.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выпуск OpenSSH 6.8"  +1 +/
Сообщение от Stax (ok) on 19-Мрт-15, 00:02 
Почему? sftp обслуживается тем же ssh2 сервером, с точки зрения хендшейка ничем не отличается от ssh-сессии туда же.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Выпуск OpenSSH 6.8"  –1 +/
Сообщение от Ilya Indigo (ok) on 19-Мрт-15, 05:04 
> Почему?

1 Filezilla не putty.exe, она умеет только sftp.
2 Filezilla не умеет использовать новые алгоритмы.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Выпуск OpenSSH 6.8"  +1 +/
Сообщение от Crazy Alex (ok) on 19-Мрт-15, 11:32 
Ну так пусть проходит лесом, делов-то
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Выпуск OpenSSH 6.8"  +/
Сообщение от Аноним (??) on 20-Мрт-15, 16:47 
Какой из вышеупомянутых алгоритмов вы:
а) называете новым
б) какой из них _по-именно_ не понимает файлзилла?

ЫгсперДы жгудьЪ(С)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

8. "Выпуск OpenSSH 6.8"  –1 +/
Сообщение от lucentcode (ok) on 18-Мрт-15, 19:34 
Хороший список изменений.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру