Portable OpenSSH

Portable OpenSSH to projekt oprogramowania typu open source, przenośna wersja pakietu protokołów OpenSSH (Open Source Secure Shell) narzędzi sieciowych, które są obecnie używane w Internecie przez coraz większą liczbę osób . Został zaprojektowany z przesunięciem w celu zaszyfrowania całego ruchu sieciowego, w tym haseł, w celu skutecznego wyeliminowania potencjalnych ataków, których nie można przewidzieć, takich jak próby przejęcia połączenia lub podsłuchiwanie.

Najważniejsze funkcje obejmują silne szyfrowanie oparte na algorytmach Blowfish, AES, 3DES i Arcfour, przekazywanie X11 przez szyfrowanie ruchu w systemie X Window, silne uwierzytelnianie oparte na protokołach uwierzytelniania Kerberos, klucza publicznego i hasła jednorazowego, a także przekierowanie portów przez szyfrowanie kanałów dla starszych protokołów.

Ponadto oprogramowanie obsługuje przekazywanie agentów w oparciu o specyfikację SSO (Single-Sign-On), przekazywanie biletów AFS i Kerberos, obsługę klienta i serwera SFTP (Secure FTP) zarówno w protokołach SSH1, jak i SSH2, kompresję danych oraz interoperacyjność, która sprawia, że ​​program jest zgodny ze standardami protokołu SSH 1.3, 1.5 i 2.0.

Co zawiera rsquo?

Po zainstalowaniu OpenSSH automatycznie zastąpi narzędzia Telnet i rlogin programem SSH (Secure Shell), a także narzędziem FTP z SFTP i RCP z SCP. Dodatkowo zawiera demona SSH (sshd) i różne użyteczne narzędzia, takie jak ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan i sftp-server.

Cały projekt jest napisany w języku programowania C i jest dystrybuowany jako uniwersalne archiwum źródłowe dla wszystkich systemów operacyjnych GNU / Linux, umożliwiając instalację na 32-bitowych lub 64-bitowych (zalecanych) komputerach.

Pamiętaj, że archiwum źródeł wymaga skonfigurowania i skompilowania projektu przed instalacją, dlatego zdecydowanie zalecamy użytkownikom końcowym, aby spróbowali zainstalować go z domyślnych repozytoriów oprogramowania systemu operacyjnego GNU / Linux.

Co nowego w tej wersji:

• ssh (1), sshd (8): Napraw kompilację, automatycznie wyłączając szyfry nie obsługiwane przez OpenSSL. bz # 2466
• misc: Napraw błędy kompilacji w niektórych wersjach kompilatora AIX związanego z definicją makra VA_COPY. bz # 2589
• sshd (8): Dodaj więcej białek do architektury, aby włączyć sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Wyłącz śledzenie procesu w systemie Solaris za pomocą setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): W systemie Solaris nie wywołuj zestawu Solaris setproject () z UsePAM = yes, to odpowiedzialność PAM. bz # 2425

Co nowego w wersji:

• ssh (1), sshd (8): Napraw kompilację według automatyczne wyłączanie szyfrów nieobsługiwanych przez OpenSSL. bz # 2466
• misc: Napraw błędy kompilacji w niektórych wersjach kompilatora AIX związanego z definicją makra VA_COPY. bz # 2589
• sshd (8): Dodaj więcej białek do architektury, aby włączyć sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Wyłącz śledzenie procesu w systemie Solaris za pomocą setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): W systemie Solaris nie wywołuj zestawu Solaris setproject () z UsePAM = yes, to odpowiedzialność PAM. bz # 2425

Co nowego w wersji 7.4p1:

• ssh (1), sshd (8): Napraw kompilację przez automatyczne wyłączenie szyfrów nieobsługiwanych przez OpenSSL. bz # 2466
• misc: Napraw błędy kompilacji w niektórych wersjach kompilatora AIX związanego z definicją makra VA_COPY. bz # 2589
• sshd (8): Dodaj więcej białek do architektury, aby włączyć sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Wyłącz śledzenie procesu w systemie Solaris za pomocą setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): W systemie Solaris nie wywołuj zestawu Solaris setproject () z UsePAM = yes, to odpowiedzialność PAM. bz # 2425

Co nowego w wersji 7.3p1:

• ssh (1), sshd (8): Napraw kompilację, automatycznie wyłączając szyfry nie obsługiwane przez OpenSSL. bz # 2466
• misc: Napraw błędy kompilacji w niektórych wersjach kompilatora AIX związanego z definicją makra VA_COPY. bz # 2589
• sshd (8): Dodaj więcej białek do architektury, aby włączyć sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Wyłącz śledzenie procesu w systemie Solaris za pomocą setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): W systemie Solaris nie wywołuj zestawu Solaris setproject () z UsePAM = yes, to odpowiedzialność PAM. bz # 2425

Co nowego w wersji 7.2p2:

• Poprawki:
• ssh (1), sshd (8): dodaj obejścia kompatybilności dla FuTTY
• ssh (1), sshd (8): udoskonalenie obejść zgodności dla WinSCP
• Napraw kilka błędów pamięci (podwójnie wolne, bez niezainicjowanej pamięci itd.) w ssh (1) i ssh-keygen (1). Zgłoszony przez Mateusza Kocielskiego.

Co nowego w wersji 7.1p1:

• Poprawki:
• ssh (1), sshd (8): dodaj obejścia kompatybilności dla FuTTY
• ssh (1), sshd (8): udoskonalenie obejść zgodności dla WinSCP
• Napraw kilka błędów pamięci (podwójnie wolne, bez niezainicjowanej pamięci itd.) w ssh (1) i ssh-keygen (1). Zgłoszony przez Mateusza Kocielskiego.

Co nowego w wersji 6.9p1:

• sshd (8): Formatowanie ustawienia UsePAM podczas używania sshd -T, część bz # 2346
• Poszukaj '$ {host} -ar' przed 'ar', ułatwiając kompilację; bz # 2352.
• Kilka przenośnych poprawek kompilacji: bz # 2402, bz # 2337, bz # 2370
• moduli (5): zaktualizuj moduły DH-GEX

Co nowego w wersji 6.8p1:

• Wsparcie - bez-openssl w czasie konfiguracji. Wyłącza i usuwa zależność od OpenSSL. Wiele funkcji, w tym protokół SSH 1, nie jest obsługiwanych, a zestaw opcji kryptograficznych jest znacznie ograniczony. Będzie działać tylko w systemach z natywnym arc4random lub / dev / urandom. Na razie uważany za wysoce eksperymentalny.
• Wsparcie - bez opcji -ssh1 w czasie konfiguracji. Umożliwia wyłączenie obsługi protokołu SSH 1.
• sshd (8): Naprawianie kompilacji w systemach z obsługą IPv6 w utmpx; bz # 2296
• Zezwalaj na niestandardową nazwę usługi dla sshd na Cygwin. Zezwala na używanie wielu sshd działających z różnymi nazwami usług.

Co nowego w wersji 6.7p1:

• Portable OpenSSH teraz obsługuje budowanie przeciwko libressl-portable.
• Przenośny OpenSSH wymaga teraz programu openssl 0.9.8f lub nowszego. Starsze wersje nie są już obsługiwane.
• W sprawdzaniu wersji OpenSSL, zezwól na aktualizację wersji poprawek (ale nie obniżaj wersji, błąd Debiana # 748150.
• sshd (8): W Cygwin określ użytkownika podziału uprawnień w środowisku wykonawczym, ponieważ może to być konto domeny.
• sshd (8): Nie próbuj używać vhangup w systemie Linux. To nie działa dla użytkowników niebędących administratorami, a dla nich po prostu przestawia ustawienia tty.
• Użyj CLOCK_BOOTTIME zamiast CLOCK_MONOTONIC, gdy jest on dostępny. Uwzględnia czas zawieszony, dzięki czemu czasy oczekiwania (np. Na wygasanie kluczy agentów) są odpowiednio uruchamiane. bz # 2228
• Dodaj obsługę ed25519 do skryptu startowego opensshd.init.
• sftp-server (8): na platformach, które go obsługują, użyj prctl (), aby uniemożliwić serwerowi sftp dostęp do / proc / self / {mem, maps}

Co nowego w wersji 6.5p1:

• Nowe funkcje:
• ssh (1), sshd (8): Dodaj obsługę wymiany kluczy za pomocą krzywej eliptycznej Diffie Hellman w Curve25519 Daniela Bernsteina. Ta metoda wymiany kluczy jest domyślna, gdy zarówno klient, jak i serwer ją obsługują.
• ssh (1), sshd (8): Dodaj obsługę Ed25519 jako typ klucza publicznego. Ed25519 to eliptyczny schemat podpisu krzywej, który oferuje lepsze zabezpieczenia niż ECDSA i DSA oraz dobrą wydajność. Może być używany zarówno dla kluczy użytkownika, jak i hosta.
• Dodaj nowy format klucza prywatnego korzystającego z bcrypt KDF, aby lepiej chronić klucze w spoczynku. Ten format jest używany bezwarunkowo dla kluczy Ed25519, ale może być wymagany podczas generowania lub zapisywania istniejących kluczy innych typów za pomocą opcji -o ssh-keygen (1). Zamierzamy uczynić nowy format domyślnym w najbliższej przyszłości. Szczegóły nowego formatu znajdują się w pliku PROTOCOL.key.
• ssh (1), sshd (8): Dodaj nowy szyfr transportowy "chacha20-poly1305@openssh.com" która łączy szyfr strumienia ChaCha20 Daniela Bernsteina i Poly1305 MAC w celu zbudowania uwierzytelnionego trybu szyfrowania. Szczegóły znajdują się w pliku PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): Odrzuca klucze RSA ze starych zastrzeżonych klientów i serwerów, które używają przestarzałego schematu podpisu RSA + MD5. Nadal będzie możliwe łączenie się z tymi klientami / serwerami, ale tylko klucze DSA będą akceptowane, a OpenSSH całkowicie odmówi połączenia w przyszłej wersji.
• ssh (1), sshd (8): Odrzuć starych firmowych klientów i serwery, które używają słabszego obliczania wartości mieszania wymiany kluczy.
• ssh (1): Zwiększ rozmiar żądanych grup Diffiego-Hellmana dla każdego rozmiaru klucza symetrycznego. Nowe wartości ze specjalnej publikacji NIST 800-57 z górnym limitem określonym przez RFC4419.
• ssh (1), ssh-agent (1): obsługuje pkcs # 11, które zapewniają tylko certyfikaty X.509 zamiast surowych kluczy publicznych (wymagane jako bz # 1908).
• ssh (1): Dodaj ssh_config (5) "Dopasuj" słowo kluczowe, które umożliwia zastosowanie konfiguracji warunkowej poprzez dopasowanie nazwy hosta, użytkownika i wyniku arbitralnych poleceń.
• ssh (1): Dodaj obsługę kanonizacji nazwy hosta po stronie klienta, używając zestawu sufiksów i reguł DNS w ssh_config (5). Pozwala to na kanonizację niekwalifikowanych nazw w pełni kwalifikowanych nazw domen w celu wyeliminowania niejednoznaczności podczas wyszukiwania kluczy w known_hosts lub sprawdzania nazw certyfikatów hosta.
• sftp-server (8): Dodaj możliwość dodawania do białej listy i / lub czarnej listy żądań protokołu sftp według nazwy.
• sftp-server (8): Dodaj sftp & quot; fsync@openssh.com" do obsługi wywoływania fsync (2) na uchwycie otwartego pliku.
• sshd (8): Dodaj ssh_config (5) PermitTTY, aby uniemożliwić przydzielanie TTY, odzwierciedlając długoterminową opcję authorized_keys no-pty.
• ssh (1): Dodaj opcję ssh_config ProxyUseFDPass, która obsługuje użycie ProxyCommands, które ustanawia połączenie, a następnie przekazuje połączony deskryptor pliku z powrotem do ssh (1). Dzięki temu ProxyCommand może raczej opuścić dane niż pozostać w pobliżu, aby przesłać dane.
• Poprawki błędów:
• ssh (1), sshd (8): Napraw potencjalne wyczerpanie stosu spowodowane przez certyfikaty zagnieżdżone.
• ssh (1): bz # 1211: make BindAddress działa z UsePrivilegedPort.
• sftp (1): bz # 2137: napraw wskaźnik postępu dla wznowień transferu.
• ssh-add (1): bz # 2187: nie żądaj PIN karty inteligentnej podczas usuwania kluczy z ssh-agent.
• sshd (8): bz # 2139: naprawienie zastępczego exec, gdy oryginalny plik binarny sshd nie może zostać wykonany.
• ssh-keygen (1): Ustaw względne czasy ważności certyfikatu względem bieżącego czasu, a nie czasu rozpoczęcia ważności.
• sshd (8): bz # 2161: Napraw AuthorizedKeysCommand wewnątrz bloku dopasowania.
• sftp (1): bz # 2129: dowiązanie symboliczne do pliku spowoduje niepoprawne kanonowanie ścieżki docelowej.
• ssh-agent (1): bz # 2175: popraw plik use-after-free w pliku wykonywalnym agenta dla agentów PKCS # 11.
• sshd (8): Popraw rejestrowanie sesji, aby zawierał nazwę użytkownika, zdalny host i port, typ sesji (powłoka, polecenie itd.) i przydzielony TTY (jeśli jest).
• sshd (8): bz # 1297: powiadom klienta (za pośrednictwem komunikatu debugowania), gdy preferowany adres nasłuchiwania został nadpisany przez ustawienie GatewayPorts serwera.
• sshd (8): bz # 2162: dołącz port raportu w komunikacie z błędem protokołu.
• sftp (1): bz # 2163: napraw wyciek pamięci w ścieżce błędu w do_readdir ().
• sftp (1): bz # 2171: nie przeciekaj deskryptora pliku w przypadku błędu.
• sshd (8): włącz adres lokalny i port w polu "Połączenie z ..." wiadomość (wyświetla się tylko w loglevel & gt; = verbose).
• Przenośny OpenSSH:
• Należy pamiętać, że jest to ostatnia wersja Portable OpenSSH, która będzie obsługiwać wersje OpenSSL przed wersją 0.9.6. Wsparcie (tj. SSH_OLD_EVP) zostanie usunięte po wydaniu wersji 6.5p1.
• Przenośny OpenSSH spróbuje skompilować i połączyć jako samodzielny plik wykonywalny pozycji w systemach Linux, OS X i OpenBSD na najnowszych kompilatorach podobnych do GCC. Inne platformy i starsze / inne kompilatory mogą żądać tego przy użyciu flagi --with-pie configure.
• Wiele innych opcji hartowania związanych z toolchainami jest używanych automatycznie, jeśli są dostępne, włączając w to opcję -ftrapv, aby przerwać nadpisane całkowite przepełnienie i opcje ochrony przed dynamicznym łączeniem zapisu. Użycie tych opcji może zostać wyłączone przy użyciu flagi konfiguracyjnej --without-hardening.
• Jeśli obsługuje go toolchain, jedna z flag kompilacji -fstack-protector-strong, -fstack-protector-all lub -fstack-protector jest używana do dodawania osłon, aby łagodzić ataki oparte na przepełnieniach stosu. Użycie tych opcji może zostać wyłączone za pomocą opcji konfiguracyjnej --without-stackprotect.
• sshd (8): Dodaj obsługę wstępnej piaskownicy z uwierzytelnianiem za pomocą interfejsu Capsicum API wprowadzonego w FreeBSD 10.
• Przejdź na platformę arc4random () PRNG opartą na ChaCha20 dla platform, które nie udostępniają własnych.
• sshd (8): bz # 2156: przywracanie ustawienia Linux oom_adj podczas pracy z SIGHUP w celu zachowania zachowania nad retartem.
• sshd (8): bz # 2032: użyj lokalnej nazwy użytkownika w krb5_kuserok, a nie pełnej nazwy klienta, która może być użytkownikiem formularza @ REALM.
• ssh (1), sshd (8): Przetestuj obecność numerów NID ECC w OpenSSL i faktycznie działają. Fedora (przynajmniej) ma NID_secp521r1, która nie działa.
• bz # 2173: użyj pkg-config --libs, aby dołączyć poprawną lokalizację -L dla libedit.

Co nowego w wersji 6.4p1:

• Ta wersja naprawia błąd bezpieczeństwa: sshd (8) : napraw problem uszkodzenia pamięci wyzwalany podczas ponownego logowania po wybraniu szyfru AES-GCM. Pełne informacje na temat tej luki można znaleźć pod adresem: http://www.openssh.com/txt/gcmrekey.adv

Co nowego w wersji 6.3p1:

• Funkcje:
• sshd (8): dodaj obsługę ssh-agent (1) do sshd (8); umożliwia szyfrowanie kluczy hostów lub kluczy hosta na kartach inteligentnych.
• ssh (1) / sshd (8): zezwala na opcjonalne ponowne tworzenie kluczy za pomocą drugiego argumentu do istniejącej opcji RekeyLimit. RekeyLimit jest teraz obsługiwany w sshd_config, a także na kliencie.
• sshd (8): standaryzacja rejestrowania informacji podczas uwierzytelniania użytkownika.
• Prezentowany klucz / cert i nazwa użytkownika zdalnego (jeśli są dostępne) są teraz rejestrowane w komunikacie o powodzeniu / niepowodzeniu uwierzytelnienia w tej samej linii dziennika, co lokalna nazwa użytkownika, zdalny host / port i używany protokół. Zawartość certyfikatów i kluczowy odcisk palca podpisującego urzędu certyfikacji są również rejestrowane.
• Uwzględnienie wszystkich istotnych informacji w jednym wierszu upraszcza analizę logów, ponieważ nie jest już konieczne powiązanie informacji rozproszonych w wielu wpisach dziennika.
• ssh (1): dodaj możliwość sprawdzania, które algorytmy, algorytmy MAC, typy klawiszy i metody wymiany kluczy są obsługiwane w pliku binarnym.
• ssh (1): obsługa ProxyCommand = - umożliwia obsługę zgłoszeń serwisowych, w których stdin i stdout już wskazują na serwer proxy.
• ssh (1): allow IdentityFile = none
• ssh (1) / sshd (8): dodaj opcję -E do ssh i sshd, aby dołączyć dzienniki debugowania do określonego pliku zamiast stderr lub syslog.
• sftp (1): dodaj obsługę dla wznowienia częściowych pobrań za pomocą polecenia "reget". polecenie i w wierszu poleceń sftp lub w polu "get" wiersz polecenia za pomocą znaku "-a" (dopisz) opcję.
• ssh (1): dodaj "IgnoreUnknown" opcja konfiguracji do selektywnego eliminowania błędów wynikających z nieznanych dyrektyw konfiguracyjnych.
• sshd (8): dodaj obsługę podtrybów, które mają być dołączone do wymaganych metod uwierzytelniania wymienionych za pomocą metody uwierzytelniania.
• Poprawki błędów:
• sshd (8): popraw odmowę akceptacji certyfikatu, jeśli klucz klucza innego typu niż klucz CA pojawił się w authorized_keys przed kluczem CA.
• ssh (1) / ssh-agent (1) / sshd (8): Użyj monotonicznego źródła czasu dla liczników czasu, aby rzeczy takie jak keepalives i ponowne generowanie kluczy działały poprawnie w stosunku do kroków zegara.
• sftp (1): aktualizuje progressmeter po potwierdzeniu danych, a nie po wysłaniu. bz # 2108
• ssh (1) / ssh-keygen (1): poprawianie komunikatów o błędach, gdy bieżący użytkownik nie istnieje w / etc / passwd; bz # 2125
• ssh (1): zresetuj kolejność testowania kluczy publicznych po częściowym uwierzytelnieniu.
• ssh-agent (1): czyść pliki gniazd po SIGINT w trybie debugowania; bz # 2120
• ssh (1) i inne: unikaj mylących komunikatów o błędach w przypadku awarii konfiguracji systemu; bz # 2122
• ssh (1): ustaw węzeł TCP dla połączeń rozpoczynających się od -N; bz # 2124
• ssh (1): poprawna instrukcja dla wymagań uprawnień dla ~ / .ssh / config; bz # 2078
• ssh (1): Napraw limit czasu ControlPersist nie wyzwalający w przypadku zawieszonych połączeń TCP. bz # 1917
• ssh (1): poprawnie opróżnij wzorzec ControlPersist ze swojego kontrolującego terminalu.
• sftp (1): unika awarii w bibliotece libedit, gdy została skompilowana z obsługą znaków wielobajtowych. bz # 1990
• sshd (8): podczas uruchamiania sshd -D, zamknij stderr, chyba że wyraźnie zażądaliśmy logowania do stderr. bz # 1976,
• ssh (1): napraw niekompletne bzero; bz # 2100
• sshd (8): loguj i błąd, a następnie zakończ jeśli ChrootDirectory jest określone i działa bez uprawnień root'a.
• Wiele ulepszeń pakietu testów regresji. W szczególności pliki dziennika są teraz zapisywane z ssh i sshd po awariach.
• Napraw kilka wycieków pamięci. bz # 1967 bz # 2096 i inne
• sshd (8): popraw uwierzytelnianie klucza publicznego, gdy: styl zostanie dołączony do żądanej nazwy użytkownika.
• ssh (1): nie kończ się fatalnie podczas próby oczyszczenia utworzonych przez multipleksowanie kanałów, które nie zostały całkowicie otwarte. bz # 2079
• Przenośny OpenSSH:
• Poważny przegląd contrib / cygwin / README
• Napraw nieuzależnione dostępy w umac.c dla architektury wyrównania ścisłego. bz # 2101
• Włącz -Wizeize-pointer-memaccess, jeśli obsługuje go kompilator. bz # 2100
• Napraw błędy w nieprawidłowych błędach raportowania w wierszach poleceń. bz # 1448
• Uwzględnij tylko metody wymiany kluczy SHA256 i ECC, jeśli libcrypto ma wymagane wsparcie.
• Napraw awarię w dynamicznym kodowaniu przekierowania SOCKS5 w architekturze ścisłego wyrównania.
• Wiele poprawek przenośności dla Androida: * Nie próbuj używać Lastlog na Androidzie; bz # 2111 * Wróciliśmy do korzystania z funkcji DES_crypt openssl na platormach, które nie mają natywnej funkcji crypt (); bz # 2112 * Testuj fd_mask, howmany i NFDBITS zamiast próbować wyliczyć te, które ich nie mają. bz # 2085 * Zastąp S_IWRITE, który nie jest standaryzowany, z S_IWUSR, który jest. bz # 2085 * Dodaj zerową implementację endgrentu dla platform, które go nie mają (np. Android) bz # 2087 * Platformy wsparcia, takie jak Android, które nie posiadają struct passwd.pw_gecos. bz # 2086

Co nowego w wersji 6.2p2:

• sshd (8): Sandbox seccomp-filtra Linuksa jest teraz obsługiwany w ARM platformy, na których obsługuje je jądro.
• sshd (8): Sandbox seccomp-filter nie zostanie włączony, jeśli nagłówki systemu obsługują go w czasie kompilacji, niezależnie od tego, czy można je włączyć. Jeśli system wykonawczy nie obsługuje seccomp-filter, sshd powróci do pseudo-piaskownicy rlimit.
• ssh (1): nie łącz w bibliotekach protokołu Kerberos. Nie są konieczne na kliencie, tylko na sshd (8). bz # 2072
• Naprawianie łączenia GSSAPI w systemie Solaris, które korzysta z inaczej nazwanej biblioteki GSSAPI. bz # 2073
• Napraw kompilację na systemach z openssl-1.0.0-fips.
• Napraw kilka błędów w plikach specyfikacji RPM.

Co nowego w wersji 5.8p1:

• Przenośne poprawki błędów OpenSSH:
• Naprawianie niepowodzenia kompilacji podczas włączania obsługi SELinux.
• Nie próbuj wywoływać funkcji SELinux, gdy wyłączony jest SELinux. bz # 1851