The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз OpenSSH 4.7

05.09.2007 11:21

Анонсирован выход 4.7, открытой реализации клиента и сервера для работы по протоколу SSH версии 1.3, 1.5 и 2.0.

В новом релизе можно отметить следующие новшества:

  • Исправлена несущественная проблема безопасности, связанная с возможностью использования доверительных X11 cookie, в случае проблем с "untrusted cookie".
  • По умолчанию теперь активен только протокол SSH v2;
  • Более агрессивный режим посылки обновлений о состоянии окна SSH канала, что повышает производительность в сетях с большой задержкой передачи пакетов.
  • Добавлен новый алгоритм расчета кода аутентификации MAC (Message authentication code) теперь рассчитывается по алгоритму UMAC-64 (RFC4418), что дает 20% выигрыш в производительности по сравнению с HMAC-MD5. Для HMAC-MD5 код теперь кешируются между пакетами, что увеличивает производительность на 12-16%;
  • К ssh добавлена опция "-K" для установки "GSSAPIAuthentication=Yes";
  • Новый параметр ExitOnForwardFailure, в случае установки которого ssh завершается с фатальной ошибкой, при проблеме в установке TunnelForward туннеля;
  • Исправлено около 20 различных ошибок, в том числе проблема с SELinux в "permissive" режиме.


  1. Главная ссылка к новости (http://www.openssh.com/txt/rel...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/11901-ssh
Ключевые слова: ssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, close (?), 12:10, 05/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    а опций, подобным LoginGraceTime и AuthInteractiveFailureTimeout в коммерческом SSH.COM, так и не осилили прикрутить. очень жаль, что приходится опять использовать костыли в противодействие DoS-атакам :(
     
     
  • 2.2, Aleksey (??), 12:17, 05/09/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    Да, пусть этим занимается файрвол. Unix-вей знаете ли.
     
     
  • 3.3, Pavel (??), 15:10, 05/09/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    Уж больно на отмазку тянет.
    Тем более что реализовать эти опции очень легко с точки зрения программизма.
     
     
  • 4.4, Aleksey (??), 15:44, 05/09/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    Безусловно стоит тянуть в пакет всякую лажу, которую легко реализовать. Фнукциональность Cron, ну и At, чтобы злоумышленника можно было огрпничивать в определенные часы. Все указанное вами (а при желании и больше) можно реализовать с помощью pf и, подозреваю, других файрволов. А потому не стоит дублировать функциональность, тем более какие-то там ограничения по числу обращений - чисто проблема брандмауэра.
     
     
  • 5.5, stassats (??), 20:31, 05/09/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    > и, подозреваю, других файрволов

    На iptables можно.

     
  • 5.6, Dyr (??), 20:40, 05/09/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну да, ну да. А ещё надо вынести оттуда всю остальную "лажу" с sftp, ListenAddress, Port и тому подобного - ведь это же тоже можно реализовать, настроив брандмауэр.
     
     
  • 6.8, nobody (??), 11:50, 06/09/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    ListenAddress, Port задаются приложением, когда оно создает сокет. брендмауэр сокетов для приложений не создает и не bind'ит их.
     
     
  • 7.11, Dyr (??), 10:28, 07/09/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    >ListenAddress, Port задаются приложением, когда оно создает сокет. брендмауэр сокетов для приложений
    >не создает и не bind'ит их.

    Угу, но он их может прекрасно закрыть - так зачем же тогда их задавать, следуя вышеприведённой логике?

     
  • 5.7, Dyr (??), 20:42, 05/09/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    И кстати, функциональность Time в sshd уже реализована, читайте маны:
    ===
    TIME FORMATS
         sshd(8) command-line arguments and configuration file options that spec-
         ify time may be expressed using a sequence of the form: time[qualifier],
         where time is a positive integer value and qualifier is one of the fol-
         lowing:

               <none>  seconds
               s | S   seconds
               m | M   minutes
               h | H   hours
               d | D   days
               w | W   weeks

         Each member of the sequence is added together to calculate the total time
         value.

         Time format examples:

               600     600 seconds (10 minutes)
               10m     10 minutes
               1h30m   1 hour 30 minutes (90 minutes)
    ===

     

  • 1.9, Moralez (??), 15:44, 06/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Не понимаю... Разрабатывают openssh опенбздишники, как и зачем они проблемы с SELINUX решают?
     
     
  • 2.10, Hety (??), 18:56, 06/09/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    Не проблема с SELinux, а проблема работы openssh в конкретной среде. То, что это не нужно конкретно вам, - не показатель.
     
  • 2.12, ТинПу (?), 02:40, 08/09/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    Потому что они не линуксоиды -> значит не жадные :))))
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру