The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск SSH-сервера Dropbear 2020.79

17.06.2020 16:50

Представлен новый выпуск Dropbear 2020.79, компактного сервера и клиента SSH, распространяемого под лицензией MIT и применяемого преимущественно на встраиваемых системах, таких как беспроводные маршрутизаторы. Dropbear отличается низким потреблением памяти (при статическом связывании с uClibc занимает всего 110kB), возможностью отключения лишней функциональности на этапе сборки и поддержкой сборки клиента и сервера в одном исполняемом файле по аналогии с busybox. Dropbear поддерживает перенаправление X11, совместим с файлом ключей OpenSSH (~/.ssh/authorized_keys) и может создавать мультисоединения с пробросом через транзитный хост.

В новом выпуске:

  • Добавлена поддержка алгоритма цифровой подписи Ed25519 в hostkeys и authorized_keys.
  • Добавлена поддержка протокола аутентификации на основе алгоритмов потокового шифра ChaCha20 и аутентификации сообщений Poly1305, разработанных Дэниэлом Бернштейном.
  • Добавлена поддержка формата цифровых подписей rsa-sha2, который в связи с прекращением поддержки sha-1 скоро будет обязателен для OpenSSH (существующие RSA-ключи смогут работать с новым форматом без изменения hostkeys/authorized_keys).
  • Реализация curve25519 заменена на более компактный вариант от проекта TweetNaCl.
  • Добавлена поддержка AES GCM (отключена по умолчанию).
  • Отключены по умолчанию CBC-шифры, 3DES, hmac-sha1-96 и перенаправление x11.
  • Решены проблемы с совместимостью с ОС IRIX.
  • Добавлен API для указания открытых ключей напрямую вместо использования authorized_keys.
  • В SCP устранена уязвимость CVE-2018-20685, допускающая изменение прав доступа на целевой каталог при отдаче сервером каталога с пустыми именем или точкой. При получении от сервера команды "D0777 0 \n" или "D0777 0 .\n" клиент применял изменение прав доступа к текущему каталогу.


  1. Главная ссылка к новости (https://lists.ucc.gu.uwa.edu.a...)
  2. OpenNews: Ещё одна уязвимость в OpenSSH, позволяющая определить наличие пользователей
  3. OpenNews: Выпуск Minibase, минимального статически собранного окружения Linux
  4. OpenNews: Выпуск Mosh 1.3, альтернативы SSH
  5. OpenNews: SSH2 сервер Dropbear
  6. OpenNews: Реализация DDIO в чипах Intel допускает сетевую атаку по определению нажатий клавиш в сеансе SSH
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53172-dropbear
Ключевые слова: dropbear, ssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Повидло19 (?), 16:54, 17/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Я его преимущественно применяю на удаленном сервере для разблокировки корневой ФС по SSH.
     
     
  • 2.5, Аноним (5), 18:35, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Почему его, а не какой-либо другой sshd сидящий на tmpfs ?
     
     
  • 3.9, Аноним (9), 20:07, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    наверное потому что он должен быть легковесным для встраивания в initrd
     
  • 2.17, Аноним (17), 23:46, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Правильный ответ Clevis and Tang Server.
     

  • 1.2, Пажылая рыба (?), 16:55, 17/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +9 +/
    IRIX пацаны! 2020 год! ИРИКС!
     
     
  • 2.3, Корец (?), 17:01, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• +6 +/
    Это красноречиво показывает, что при разработке по есть смысл поддерживать древние технологии, т.к. ими всё ещё где-то пользуются, а не стараться закапать всё подряд.
     
     
  • 3.4, mos87 (ok), 17:34, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• –6 +/
    закопать всякую ОС-экзотику как раз таки надо.
    тем более оставшуюся в наследство от Unix Wars
     
  • 3.6, Заноним (?), 19:04, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Напуркуа этот abadonware нужен. Ему место в музее.
     
     
  • 4.18, topin89 (ok), 23:53, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Предположительно, или сам автор пользуется, или  кто-то сделал PR и автор не стал отказывать.

    Во всех случаях это значит, что кто-то ещё пользуется. Может банки. Или правительства какие, кто их знает, в США вон до сих пор на COBOL'е сидят.

     
  • 2.8, Stax (ok), 20:00, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Больше доставляет что поддержка Ed25519 только в середине 2020 появилась. Мда...
     
     
  • 3.10, anonymous (??), 20:31, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Значит раньше кому-то было не настолько нужно, чтобы взять да и добавить (или проспонсировать).
    Все-таки количество разработчиков (и спонсоров) явно поменьше чем у OpenSSH.
     
  • 3.12, Аноним (12), 20:58, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    ну так белки-истерички ведь не умеют кодить, а тем кто умеет - оно ненужно, модными никем не верифицированными кривыми обмазываться.

    Вот irix сломали - а он как раз был нужен, и тот кто пользовался irix - быстренько починил себе и другим.

     
  • 3.13, Кирилл (??), 21:39, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• +5 +/
    Если бы Влад Гришенко не запилил по фану - так бы и не было поддержки.
    Это опенсорс.
     
     
  • 4.14, Аноним (14), 22:36, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Более того, он ещё не поленился и успешно бэкпортнул в openwrt.
     
  • 2.15, Онаним (?), 23:26, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Выпуск под PCDOS-совместимые планируется?
     
     
  • 3.23, Аноним (23), 07:55, 19/06/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Сравнил иуху с носорогом...
     
  • 2.19, Аноним (19), 07:02, 18/06/2020 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Если звезды зажигают — значит это кому-нибудь нужно.
     
  • 2.21, Erley (ok), 20:13, 18/06/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Да, это реально нечто :)
    Хотел бы я посмотеть/пообщаться с этими людьми...
     

  • 1.7, Аноним (-), 19:42, 17/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >  Реализация curve25519 заменена на более компактный вариант от проекта TweetNaCl.

    И правда компактная штука.

     
     
  • 2.11, Аноним (11), 20:46, 17/06/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    x448/ed448 бы еще к tweetnacl приделать, но чот лень
     

  • 1.16, Q2W (?), 23:38, 17/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Отключены по умолчанию CBC-шифры

    Но зачем?

     
     
  • 2.20, Сейд (ok), 12:30, 18/06/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Режим сцепления блоков шифротекста подвержен атакам на целостность данных. Пользуйся Galois/Counter Mode.
     
     
  • 3.22, Аноним (11), 01:45, 19/06/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    gcm очень тяжелый без аппаратной акселерации (и ghash, и подразумеваемый aes), chacha20-poly1305 может оказаться раза в 2-3 быстрее aes256-gcm в зависимости от платформы, при той длине ключа.
     
     
  • 4.24, Сейд (ok), 02:39, 20/06/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    belt-datawrap, пожалуй, ещё быстрее будет.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру