The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

03.04.2018 11:57  Релиз OpenSSH 7.7

После шести месяцев разработки представлен релиз OpenSSH 7.7, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

Основные новшества:

  • В ssh и sshd прекращена поддержка некоторых старых реализаций SSH, включая выпуски оригинального SSH от ssh.com до версий 2.* включительно и выпусков OpenSSH до 3.* включительно, выпущенных до 2001 года и включающих реализации протокола до формирования официального RFC;
  • Добавлена экспериментальная поддержка ключей PQC XMSS (Extended Hash- Based Signatures);
  • Добавлена директива RDomain для разрешения размещения аутентифицированного сеанса в заданном домене маршрутизации (Routing Domain), пока поддерживаемая только в OpenBSD и Linux. Также добавлены сопутствующие опции "rdomain" в директивах Match и ListenAddress для варьирования настроек в зависимости от домена маршрутизации и разрешения приёма соединений через разные домены маршрутизации;
  • Добавлена опция "expiry-time" для задания времени жизни ключей в файле authorized_keys;
  • Обеспечена возможность обращения к ресурсам ssh, scp и sftp через URI (например ssh://user@host или sftp://user@host/path);
  • Для ssh реализована директива BindInterface, позволяющая явно определить сетевой интерфейс для инициирования исходящих соединений (ранее допускалась только привязка по IP-адресу (BindAddress), а не имени интерфейса);
  • В ssh добавлен флаг подстановки %T для вывода устройства, заготовленного для перенаправления через tun/tap, при формировании команды в LocalCommand (например, можно использовать для запуска скрипта для предварительной подготовки сетевого интерфейса). В sshd подобное устройство выводится через переменную окружения SSH_TUNNEL;
  • В sftp разрешено выполнение команд "cd" и "lcd" без аргументов, в этом случае будет обеспечен переход в домашнюю (для "cd") и начальную ("lcd") директории;
  • Удалена поддержка операционной системы UNICOS;
  • Добавлена возможность сборки и связывания с флагами "retpoline" для защита от второго варианта уязвимости Spectre;
  • Обеспечено добавление в Makefile автоматически генерируемой информации о зависимостях.


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: Атака на OpenSSH sftp, осуществляемая при некорректной настройке chroot
  3. OpenNews: Релиз OpenSSH 7.6
  4. OpenNews: Из OpenSSH удалена поддержка протокола SSH1
  5. OpenNews: Релиз OpenSSH 7.5
  6. OpenNews: DoS-уязвимость в OpenSSH
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssh, ssh, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Crazy Alex (ok), 12:05, 03/04/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +15 +/
    Если б они ещё порт стандартным манером понимали... ну, то есть ssh user@host:port/dir - удобно же, нахрена его в отдельный ключ пихать?
     
     
  • 2.2, eisaev (?), 12:17, 03/04/2018 [^] [ответить]    [к модератору]
  • +23 +/
    Неистово плюсую! Особенно бодрит "-p" у ssh и при этом "-P" у scp.
     
     
  • 3.5, Аноним (-), 12:32, 03/04/2018 [^] [ответить]    [к модератору]
  • +/
    Привыкли уже. А разбор схемы это время, ресурсы и дополнительная сложность, так что допускаю идеологические причины (конечно, не аргумент).
     
     
  • 4.57, Аноним (-), 18:46, 04/04/2018 [^] [ответить]    [к модератору]
  • +/
    > дополнительная сложность

    А тебя тоже сахритку покусал? Жлобишься отдать 0.000000001 сек процессорного времени на парсинг схемы?

     
  • 3.8, tensor (?), 13:03, 03/04/2018 [^] [ответить]    [к модератору]
  • +8 +/
    Особенно бодрит rsync over ssh на нестандартном порту.
     
     
  • 4.15, Diozan (??), 14:08, 03/04/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    А что с ним не так? Никогда не держу SSH на стандартном порту. Каких-либо трудностей ни с VNC ни с rsync замечено не было...
     
  • 4.17, lucentcode (ok), 14:30, 03/04/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    А rsync -e 'ssh -P $port_number' разве у вас не работает?
     
     
  • 5.61, pauc (ok), 22:18, 05/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Не работает. Ибо '-p', а не '-P'. А с ':' такой ошибки бы не совершили.
     
  • 4.21, Аноним (-), 15:08, 03/04/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    В ряде случаев удобней

    export RSYNC_RSH="ssh -p12345"
    rsync ..

     
  • 3.13, Доктор (??), 13:59, 03/04/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Зато память развивает и деменцию отдаляет. Следи за собой, будь осторожен.
     
     
  • 4.53, Ан (??), 10:58, 04/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Для этой цели можно и список редакций офтопика с особенностями лицензирования учить =)
    Что? неужели вам это не интересно?
     
  • 2.3, onanimous (?), 12:30, 03/04/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > нахрена его в отдельный ключ пихать?

    Пропиши порты в ~/.ssh/config

     
     
  • 3.6, Crazy Alex (ok), 12:36, 03/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Если часто куда-то ломишься - ясное дело, но не для однократных входов же
     
     
  • 4.10, Аноним (-), 13:35, 03/04/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    onanimous настолько суров что правит /etc/ssh/ssh_config до и после ssh-сессии по два раза
     
  • 2.4, Аноним (-), 12:32, 03/04/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Сами же понимаете, что возникает неоднозначность 171 хост порт 187 или 17... весь текст скрыт [показать]
     
     
  • 3.7, Crazy Alex (ok), 12:37, 03/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну так в URI они это тоже не добавили
     
     
  • 4.24, Аноним (-), 15:15, 03/04/2018 [^] [ответить]     [к модератору]  
  • +/
    В URI это есть по определению ... весь текст скрыт [показать]
     
     
  • 5.44, Crazy Alex (ok), 17:02, 03/04/2018 [^] [ответить]    [к модератору]  
  • +/
    а, ну тогда гуд.
     
  • 3.51, Аноним (-), 05:40, 04/04/2018 [^] [ответить]    [к модератору]  
  • +/
    > Сами же понимаете, что возникает неоднозначность: «хост:порт» или «хост:каталог»?

    Каталог начинается с тильды или слеша. Или ещё есть варианты с цифры?

     
  • 2.9, alex (??), 13:32, 03/04/2018 [^] [ответить]    [к модератору]  
  • +/
    а зачем собстенно ссш на нестандартный порт пихать?
     
     
  • 3.11, Адекват (ok), 13:42, 03/04/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > а зачем собстенно ссш на нестандартный порт пихать?

    Чтобы боты логи не забивали спамом.

     
     
  • 4.50, Аноним (-), 00:37, 04/04/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Ну да, на случайный порт они, конечно, никогда не зайдут. Или для вас принципиально, чтобы пароль пытались не 937 китайских вируса и один умный хакер, а 184 китайских вируса и один умный хакер?
     
     
  • 5.54, АнонИМышь (?), 13:28, 04/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну да, на стандартном порту сотни попыток в день, на случайном порту ни разу за 10 лет.
    Никакой разница, да.
     
     
  • 6.56, _ (??), 18:09, 04/04/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    ДДддд Это потому что ты nach никому кроме ботов не нужен Слегка апнутый б... весь текст скрыт [показать]
     
  • 6.62, Аноним (-), 00:01, 06/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Верите, нет 8212 нормальные люди не мас молятся на логи SSH, а делают так,... весь текст скрыт [показать]
     
  • 3.16, Diozan (??), 14:10, 03/04/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    > а зачем собстенно ссш на нестандартный порт пихать?

    Посмотри tspdump-ом, что на стандартном твориться, если он в Интернет светит...

     
     
  • 4.18, alex (??), 14:33, 03/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    и они прям перестанут ломиться на нестандартном?
    ограничить кол-во подключений в секунду файерволом и удалять старые логи - не так уж сложно
     
     
  • 5.22, Аноним (-), 15:12, 03/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Прям перестанут.
    Конфиг в студию, поржём.
     
     
  • 6.26, Аноним (-), 15:19, 03/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Конфиг в студию, поржём.

    apt-get install fail2ban
    Конфиг по дефолту.
    И да, мне не жалко сотни строчек в логе. А если сильно захотят поломать, то найдут SSH, на какой бы порт ты его ни засунул.

     
     
  • 7.29, Аноним (-), 15:25, 03/04/2018 [^] [ответить]    [к модератору]  
  • +/
    С хабра?
    Если захотят поломать, то ломать будут с ботнета, против которого fail2ban не поможет.
    И да, целевые и нецелевые атаки надо уметь различать.
     
     
  • 8.45, Аноним (-), 20:15, 03/04/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Нет Почему тебя это волнует Я и не говорил, что поможет хотя на самом деле и ... весь текст скрыт [показать]
     
  • 7.49, Аноним (-), 22:25, 03/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > А если сильно захотят поломать, то найдут SSH, на какой бы порт ты его ни засунул.

    apt-cache search knockd

     
  • 7.60, Аноним (-), 17:15, 05/04/2018 [^] [ответить]    [к модератору]  
  • +/
    apt-get install sshguard
     
  • 4.20, alex (??), 15:04, 03/04/2018 [^] [ответить]    [к модератору]  
  • +/
    и заодно - а как вы запоминаете на какой порт заходить? если в конфиг не записывать
     
     
  • 5.25, Аноним (-), 15:17, 03/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Бессмысленно помнить ip-адреса или имена сотен серверов В любом случае будет ко... весь текст скрыт [показать]
     
     
  • 6.48, Diozan (??), 21:14, 03/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Карандаш и блокнот изобрели ещё в древнем Египте...
     
  • 4.36, Аноним (-), 15:43, 03/04/2018 [^] [ответить]    [к модератору]  
  • +/
    fail2ban
    С ограничением 20 переборов в неделю и временем бана месяц.
     
  • 3.43, Crazy Alex (ok), 17:01, 03/04/2018 [^] [ответить]    [к модератору]  
  • +/
    например - потому что форвардится ssh-доступ на несколько машин за nat. Или потому что ssh используется как протокол-носитель для сервиса, мимо основного ssh
     
     
  • 4.46, Аноним (-), 20:21, 03/04/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    code -J user host port Connect to the target host by firs... весь текст скрыт [показать]
     
  • 3.64, Ананас (?), 10:01, 10/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Чтобы не отсвечивать.
     
  • 2.58, ig0r (??), 01:03, 05/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Host *:*
        ProxyCommand nc $(echo %h | sed 's/:.*//') $(echo %h | sed 's/.*://' )
     
  • 1.52, бедный буратино (ok), 06:12, 04/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    только собирался переходить на UNICOS
     
  • 1.55, Аноним (-), 14:48, 04/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Expiry для authorized_keys звучит интересно.
     
     
  • 2.59, mj (??), 16:07, 05/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Интересно, да. А что будет если это поле перетереть)
     
  • 1.63, adolfus (ok), 09:52, 07/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Слово "directory" переводится, как "каталог". Слова "директория" в русском нет -- это старый допапочный сленг мелкомягких.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor