Релиз OpenSSH 5.4

08.03.2010 20:20

Увидел свет релиз OpenSSH 5.4, открытой реализации клиента и сервера для работы по протоколу SSH версии 1.3, 1.5 и 2.0.

Кроме исправления более 30 ошибок в новой версии представлены следующие новшества:

По умолчанию отключена поддержка протокола SSH 1. Для работы устаревших клиентов (OpenSSH более 10 лет поддерживал SSH 1 как дань обратной совместимости) необходимо вручную включить поддержку SSH 1 в файле конфигурации;
В sftp-сервер добавлена поддержка режима "только для чтения", при котором запрещены все связанные с модификацией содержимого команды. Также в sftp-сервер добавлена возможность переопределения локального для пользователя значения umask;
Много улучшений добавлено в код sftp-клиента: поддержка автодополнения команд по нажатию клавиши "табуляция"; опция "-h" для вывода списка файлов в ls в более читаемом виде; поддержка всех доступных в scp опций (sftp может выступать как замена scp); поддержка рекурсивной загрузки дерева директорий через PUT/GET или "-r" в командной строке;
Добавлен режим работы в стиле netcat (ssh -W host:port ...), при котором входной поток с машины клиента перенаправляется на указанный порт сервера;
Добавлена поддержка аутентификации пользователей и хостов с использованием нового минималистичного формата сертификатов OpenSSH, отличающегося от X.509. Сертификаты содержат в себе публичный ключ, идентификационную информацию и список ограничений области действия. Для подписи ключа используется стандартная утилита ssh-keygen. Ключи сопоставленные с заданным удостоверяющим центром (CA) могут быть помечены как доверительные в файле authorized_keys, через опцию конфигурации TrustedUserCAKeys или в файле known_hosts;
Добавлена возможность отзывать ключи в sshd и ssh. Аннулирование ключей можно производить через директиву "RevokedKeys" файла конфигурации sshd_config или через указание специальной конструкции в файле known_hosts;
С целью обеспечения работы в неблокирующем режиме переписан код, связанный с мультиплексированием соединений в ssh;
Удален код для работы со смарт-картами, основанный на libsectok/OpenSC, вместо него для осуществления аутентификации с использованием смарт-карт добавлена поддержка криптографического стандарта PKCS #11;
Пароль для доступа к секретным ключам SSH 2 теперь шифруется при помощи AES-128 вместо 3DES.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/25714-openssh

Ключевые слова: openssh, ssh

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (10)

1.1, Tav (ok), 20:55, 08/03/2010 [ответить]	+/–
Вот только поддержку жестких ссылок до сих пор не добавили. Патчи уже давно в багтрекере (https://bugzilla.mindrot.org/show_bug.cgi?id=1555) и никакого движения. С этими патчами можно было бы полноценно использовать sshfs.

2.2, PereresusNeVlezaetBuggy (ok), 21:47, 08/03/2010 [^] [^^] [^^^] [ответить]	+/–
Хм. Если вам интересно, напишите лично разработчикам OpenSSH, например, Damien Miller <djm@mindrot.org>. Вообще странно, конечно, что ответов нет.

1.3, Анонима (?), 21:49, 08/03/2010 [ответить]	+1 +/–
А рациональ для введения своего формата сертов есть?

2.4, PereresusNeVlezaetBuggy (ok), 21:56, 08/03/2010 [^] [^^] [^^^] [ответить]

–1 +/–

>А рациональ для введения своего формата сертов есть?

Читайте описание коммита (там были и другие, корректирующие и дополняющие, но основное здесь), выводы делайте сами:

CVSROOT:        /cvs
Module name:    src
Changes by:     djm@cvs.openbsd.org     2010/02/26 13:29:54

Modified files:
        usr.bin/ssh : PROTOCOL PROTOCOL.agent addrmatch.c
         auth-options.c auth-options.h auth.h
         auth2-pubkey.c authfd.c dns.c dns.h hostfile.c
         hostfile.h kex.h kexdhs.c kexgexs.c key.c key.h
         match.h monitor.c myproposal.h servconf.c
         servconf.h ssh-add.c ssh-agent.c ssh-dss.c
         ssh-keygen.1 ssh-keygen.c ssh-rsa.c ssh.1 ssh.c
         ssh2.h sshconnect.c sshconnect2.c sshd.8 sshd.c
         sshd_config.5
Added files:
        usr.bin/ssh : PROTOCOL.certkeys

Log message:
Add support for certificate key types for users and hosts.

OpenSSH certificate key types are not X.509 certificates, but a much
simpler format that encodes a public key, identity information and
some validity constraints and signs it with a CA key. CA keys are
regular SSH keys. This certificate style avoids the attack surface
of X.509 certificates and is very easy to deploy.

Certified host keys allow automatic acceptance of new host keys
when a CA certificate is marked as trusted in ~/.ssh/known_hosts.
see VERIFYING HOST KEYS in ssh(1) for details.

Certified user keys allow authentication of users when the signing
CA key is marked as trusted in authorized_keys. See "AUTHORIZED_KEYS
FILE FORMAT" in sshd(8) for details.

Certificates are minted using ssh-keygen(1), documentation is in
the "CERTIFICATES" section of that manpage.

Documentation on the format of certificates is in the file
PROTOCOL.certkeys

feedback and ok markus@

1.5, maotm (ok), 09:21, 09/03/2010 [ответить]	+/–
>По умолчанию отключена поддержка протокола SSH 1. Для работы устаревших клиентов (OpenSSH более 10 лет поддерживал SSH 1 как дань обратной совместимости) необходимо вручную включить поддержку SSH 1 в файле конфигурации; А что, разве в конфиге до этого SSH1 был раньше включен??

2.6, PereresusNeVlezaetBuggy (ok), 10:06, 09/03/2010 [^] [^^] [^^^] [ответить]	+/–
>>По умолчанию отключена поддержка протокола SSH 1. Для работы устаревших клиентов (OpenSSH более 10 лет поддерживал SSH 1 как дань обратной совместимости) необходимо вручную включить поддержку SSH 1 в файле конфигурации; > >А что, разве в конфиге до этого SSH1 был раньше включен?? Да, fallback-режимом. То есть по возможности использовался SSH2, но если это не было возможно, происходил откат на SSH1.

1.7, livello (?), 16:56, 09/03/2010 [ответить]	+/–
А как сделать обратное подключение в SSH? Чтобы клиент подключился к серверу и предоставил свою консоль ему, а не наоборот, как это традиционно бывает. К примеру, я хочу порулить компом пользователя, который за NAT, а сам имею внешний IP-адрес.

2.8, PereresusNeVlezaetBuggy (ok), 17:04, 09/03/2010 [^] [^^] [^^^] [ответить]

+/–

>А как сделать обратное подключение в SSH?
>Чтобы клиент подключился к серверу и предоставил свою консоль ему, а не
>наоборот, как это традиционно бывает.
>К примеру, я хочу порулить компом пользователя, который за NAT, а сам
>имею внешний IP-адрес.

Через форвардинг портов. Пример: Имеем машины someclient (за NAT'ом) и someserv (с "белым" IP-адресом).

1. На обеих машинах запускаем SSH-сервера. На someserv должен быть разрешён форвардинг портов (по умолчанию в OpenSSH, но политика может быть другой в ОС).

2. С someclient подключаемся к someserv по SSH, включив форвардинг удалённого порта:

someclient$ ssh -R 23452:127.0.0.1:22 -N someserv

3. С someserv подключаемся к SSH-серверу someserv через проброшенный туннель:

someserv$ ssh -p 23452 127.0.0.1

3.10, livello (?), 15:10, 10/03/2010 [^] [^^] [^^^] [ответить]	+/–
Спасибо за развернутый ответ!

2.9, Аноним (-), 17:26, 09/03/2010 [^] [^^] [^^^] [ответить]	–1 +/–
От клиента к серверу подключаете перенаправление порта (ssh server -R 2222:localhost:22) и потом через него подключаетесь с сервера к клиенту (ssh -p2222 localhost).

Добавить комментарий

Текст: