OpenSSH

OpenSSH on vapaasti hajautettu ja avoimen lähdekoodin ohjelmistoprojekti, kirjasto- ja komentoriviohjelma, joka toimii GNU / Linux-käyttöjärjestelmän taustalla ja joka suojaa koko verkkoasi tunkeilijoilta ja hyökkääjiltä. Se on SSH (Secure Shell) -sovelluksen avoimen lähdekoodin versio, joka on erityisesti suunniteltu

OpenSSH on avoimen lähdekoodin projekti, joka on jaettu vapaalla lisenssillä. Se tarjoaa vahvan todentamisen, joka perustuu julkisen avaimen, Kerberos-todennus- ja kertaluontoisen salasanan standardeihin, vahvaan AES-, Blowfish-, Arcfour- ja 3DES-algoritmeihin perustuvaan salaukseen. X11-välitys tukee koko X Window System -liikennettä sekä AFS: ää ja Kerberos lipun kulku.

Lisäksi ohjelmistotoimintojen porttitoimitustuki salaamalla kanavat vanhoihin protokolliin, tietojen pakkaustukeen, agentin edelleenlähetyskäyttöön SSO-todennusstandardin ja SFTP (Secure FTP) -palvelimen ja asiakastuen avulla joko SSH2- tai SSH1-protokollia.

Toinen mielenkiintoinen piirre on yhteentoimivuus, mikä tarkoittaa, että projekti noudattaa alkuperäisen SSH (Secure Shell) -protokollan versioita 1.3, 1.5 ja 2.0. Asennuksen jälkeen OpenSSH korvaa automaattisesti tavalliset FTP-, Telnet-, RCP- ja rlogin-ohjelmat turvallisilla versioilla, kuten SFTP, SCP ja SSH.

OpenSSH-projekti on kirjoitettu kokonaan C-ohjelmointikielellä. Se koostui pääasiallisesta SSH-toteutuksesta ja SSH-demosta, joka toimii taustalla. Ohjelmistoja levitetään pääasiassa yleislähteiden arkistona, joka toimii kaikilla GNU / Linux-käyttöjärjestelmillä sekä 32- että 64-bittisissä arkkitehtuureissa.

OpenSSH-protokollan kannettava versio on myös ladattavissa ilmaiseksi Softowareen, nimeltään Portable OpenSSH. Tämä on avoimen lähdekoodin toteutus SSH: n version 1 ja SSH: n version 2 protokollille Linux-, BSD- ja Solaris-käyttöjärjestelmille.

Uutta tässä versiossa:

• Mahdolliset yhteensopimattomat muutokset:
• Tämä julkaisu sisältää useita muutoksia, jotka voivat vaikuttaa olemassa oleviin kokoonpanoihin:
• Tämä julkaisu poistaa SSH v.1 -protokollan palvelintuen.
• ssh (1): Poista 3des-cbc asiakkaan oletushakemuksesta. 64-bittiset salasanat eivät ole turvallisia vuonna 2016, emmekä halua odottaa, kunnes SWEET32-hyökkäykset laajennetaan SSH: hen. Koska 3des-cbc oli SSH: n RFC: ssä ainoa pakollinen salaus, tämä voi aiheuttaa ongelmia vanhempien laitteiden yhdistämisessä oletusasetusten avulla, mutta on erittäin todennäköistä, että tällaiset laitteet tarvitsevat jo nyt nimenomaisen määrityksen avainvaihto- ja pääkäyttäjäalgoritmeille. sshd (8): Poista tuen ennaltavalidointikompressiota varten. Pöytäkirjan alussa tapahtuva pakkaaminen näytti kohtuulliselta 1990-luvulla, mutta tänään se on selvästi huono ajatus sekä salaustekniikasta (esim. Moninkertaiset kompression orakkipistoolit TLS: ssä) että hyökkäyspinnalla. Ennakkomuotoinen pakkaustuki on oletusarvoisesti poistettu käytöstä yli 10 vuotta. Tuki jää asiakkaalle. ssh-agentti kieltäytyy lataamasta PKCS # 11 -moduulia oletusarvoisesti luotettujen polkujen sallittujen luettelojen ulkopuolelle. Valitun polun luettelo voidaan määritellä ajon aikana.
• sshd (8): Kun pakko-komento näkyy sekä sertifikaatissa että valtuutetuilla avaimilla / periaatteilla command = restriction, sshd kieltäytyy hyväksymästä varmentaa, elleivät ne ole identtisiä. Edellisen (dokumentoidun) käyttäytymisen, jolla todistuksen pakko-komento ohittaa toisen, voi olla vähän hämmentävä ja virheellinen. sshd (8): Poista UseLogin-konfigurointidirektiivi ja tuki käyttäjätunnuksen / bin / login hallintaan.
• Muutokset OpenSSH: n 7.3 jälkeen:
• Suojaus:
• ssh-agentti (1): Kieltäytyy nyt lataamasta PKCS # 11 -moduuleita luotettavien sallittujen luettelon ulkopuolella olevilta poluilta (ajoaika konfiguroitavissa). Moduulien lataamista koskevat pyynnöt voitaisiin siirtää asiamiehen välityksellä ja hyökkääjä voisi yrittää ladata vihamielisen PKCS # 11 -moduulin eteenpäin lähetetyn agentin kanavalle: PKCS # 11 -moduulit ovat jaettuja kirjastoja, joten tämä johtaisi koodin suorittamiseen ssh: n - agentti, jos hyökkääjällä on ohjattu siirretty agentti-liitäntä (sshd-palvelimen käynnissä olevassa isännässä) ja kyky kirjoittaa isäntäkoneen käynnissä olevan ssh-agentin tiedostojärjestelmään (yleensä ssh-asiakkaan käynnissä oleva isäntä). Raportoi Project Zero Jann Hornilta.
• sshd (8): Kun etuoikeuden erottaminen on poistettu käytöstä, eteenpäin lähettämät Unix-verkkotunnukset luodaan sshd: llä (8), jolla on oikeudet "root" -toiminnon sijaan todennettu käyttäjä. Tämä julkaisu kieltää Unix-verkkotunnuksen välityspalvelun, kun etuoikeuden erottaminen on poistettu käytöstä (Etuoikeuserotus on otettu käyttöön oletuksena 14 vuoden ajan). Raportoi Project Zero Jann Hornilta.
• sshd (8): Vältä isännän yksityisen avainmateriaalin teoreettista vuotamista etuoikeutetun lapsiprosessin kautta realloc () -näppäimellä lukemalla avaimia. Normaalikokoisille avaimille ei ole havaittavissa tällaista vuotoa, eikä myöskään lapsiin kohdistuva vuoto tekisi suoraan avainmateriaalia haavoittuville käyttäjille. Raportoi Project Zero Jann Hornilta.
• sshd (8): Ennakointitoimintatyökalun käyttämää jaettua muistihallintaohjelmaa varten oli joitain optimointikääntäjät, jotka voisivat vetää ne pois. Lisäksi tämä muistienhallinta oli virheellisesti saavutettavissa, kun ennalta tunnistetiedoston pakkaus poistettiin käytöstä. Tämä voisi mahdollisesti sallia hyökkäykset etuoikeutetun valvontaprosessin aikana sandboxed-etuoikeuden erottamisprosessista (jälkimmäisen kompromissi vaaditaan ensin). Tämä julkaisu poistaa tuen ennaltavalidointikompressiota sshd: ltä (8). Raportoi Guido Vranken Stackin epävakaa optimointitunnistustyökalu (http://css.csail.mit.edu/stack/)
• sshd (8): Korjaa palvelunestohyökkäys, jossa hyökkääjä, joka lähettää useita KEXINIT-viestejä, voi kuluttaa jopa 128 Mt / yhteys. Ilmoittanut Shi Lei Gear Teamista, Qihoo 360.
• sshd (8): Vahvista AllowUser- ja DenyUsers-ohjeiden osoitealueet määritysten latausaikana ja kieltäydy hyväksymästä virheellisiä. Aiemmin oli mahdollista määritellä virheelliset CIDR-osoitealueet (esim. User@127.1.2.3/55), ja ne vastaisivat aina, mikä todennäköisesti johtaisi siihen, että käyttöoikeus ei ole tarkoitettu. Raportoi Laurence Parry.
• Uudet ominaisuudet:
• ssh (1): Lisää välityspalvelimen multipleksointitila ssh: lle (1), jonka innoittamana on Simon Tathamin PuTTY -versio. Tämä mahdollistaa multipleksointiasiakkaan kommunikoinnin isäntäprosessin kanssa käyttäen SSH-paketin osajoukkoa ja kanavan protokollaa Unix-verkkotunnuksen kautta, jolloin pääprosessi toimii välityspalvelimena, joka kääntää kanava-ID: t. Tämä mahdollistaa multipleksointitilan suorittamisen järjestelmät, joilta puuttuu tiedosto-kuvaaja (nykyinen multipleksointikoodi) ja mahdollisesti yhdessä Unix-verkkotunnuksen välityksen kanssa asiakkaan ja multipleksoinnin master-prosessin kanssa eri koneissa. Multiplexing proxy -toimintoa voidaan kutsua käyttämällä "ssh -O proxy ..."
• sshd (8): Lisää sshd_config DisableForwarding -toiminto, joka poistaa X11-, agentti-, TCP-, tunneli- ja Unix-verkkotunnuksen välityspalvelun käytöstä sekä mitä tahansa muuta, jota voisimme toteuttaa tulevaisuudessa. Kuten "rajoittaa" valtuutettu_keys-lippua, sen on tarkoitus olla yksinkertainen ja tulevaisuudensuojain tapa rajoittaa tiliä.
• sshd (8), ssh (1): Tuki "curve25519-sha256" avaimenvaihtomenetelmä. Tämä on sama kuin tällä hetkellä tuettu menetelmä, jonka nimi on & quot; curve25519-sha256@libssh.org & quot ;.
• sshd (8): Paranna SIGHUPin käsittelyä tarkistamalla, onko sshd jo demonisoitu käynnistettäessä ja jättäen soiton diemoniin (3), jos se on. Tämä varmistaa, että sshd (8): n SIGHUP-uudelleenkäynnistys säilyttää saman prosessin tunnuksen kuin alkuperäinen toteutus. sshd (8) myös purkaa PidFilen ennen SIGHUP-uudelleenkäynnistystä ja luo sen uudelleen onnistuneen uudelleenkäynnistyksen jälkeen sen sijaan, että jäisi pysyvä tiedosto konfigurointivirheen tapauksessa. BZ # 2641
• sshd (8): Salli ClientAliveInterval ja ClientAliveCountMax -direktiivit näkyviin sshd_config Match -lohkoissa.
• sshd (8): Lisää% -kohteita valtuutettuunPrincipalsCommandiin vastaamaan niitä, joita valtuutettuKeysCommand tukee (avain, avainlaji, sormenjälki jne.) ja muutama tarjota tarjotun todistuksen sisältöä.
• Lisätty regressiotestit merkkijonon hakuun, osoiteosoitteisiin ja merkkijonoihin.
• Parannettiin avaimen vaihto-anturin valjaita.
• Bugikorjauksia:
• ssh (1): Salli IdentityFile ladata ja käyttää varmennetta, jolla ei ole vastaavaa paljasta julkista avainta. bz # 2617 todistus id_rsa-cert.pub (ja ei id_rsa.pub).
• ssh (1): Korjaa julkisen avaimen todennus, kun useampi todennus on käytössä ja publickey ei ole vain ensimmäinen menetelmä yritetty. BZ # 2642
• regressi: Anna PuTTY-interop testit toimimaan valvomatta. BZ # 2639
• ssh-agentti (1), ssh (1): parantaa raportointia, kun yritetään ladata avaimia PKCS # 11 -koodista, joissa on vähemmän hyödyttömiä lokiviestejä ja tarkempia virheviesteissä. BZ # 2610
• ssh (1): Kun reititetään ControlMaster-yhteydet, älä saastuta stderr-arvoa, kun LogLevel = hiljainen.
• sftp (1): On ^ Z odottaa, että ssh (1) keskeyttää ennen sftp (1) keskeyttämistä varmistaakseen, että ssh (1) palauttaa päätemoodin oikein, jos se keskeytetään salasanan aikana.
• ssh (1): Vältä varattu-odota, kun ssh (1) on jäädytetty salasanapyynnön aikana.
• ssh (1), sshd (8): Ilmoita väärin virheiden aikana lähetettyjen ext-info-viestien lähettämisestä.
• sshd (8): Korjaa NULL-deref crash, jos sshd (8) sai uuden sekvenssin NEWKEYS viestin.
• sshd (8): Virheellinen luettelo tuetuista allekirjoitusalgoritmeista, jotka on lähetetty palvelin-sig-algs -laajennuksessa. BZ # 2547
• sshd (8): Korjaa sähköpostiviestin lähettäminen, jos privsep on poistettu käytöstä.
• sshd (8): tarkennetaan tarkemmin todentamisessa käytettävien etuoikeuserotusmonitorien odotetut tilaukset ja sallitaan vain, kun niiden todennusmenetelmät ovat käytössä kokoonpanossa
• sshd (8): Korjaa uninitialised optlen getsockopt () -puhelimeen; harmittavasti Unix / BSD: lle, mutta Cygwin voi mahdollisesti kaatua.
• Korjaa virheellisiä positiivisia raportteja, joita explicit_bzero (3) aiheuttaa, koska sitä ei tunnisteta muistin alustimeksi, kun se on koottu -fsanitize-muistiin. sshd_config (5): Käytä 2001: db8 :: / 32, virallista IPv6-aliverkkoa kokoonpanoesimerkkeihin.
• siirrettävyys:
• Turkkilaisille alueille määritellyissä ympäristöissä palaa C / POSIX-tilaan, jotta vältettäisiin virheiden määrittämisessä esiintyvät virheet, jotka johtuvat kyseisen maan paikallisen kirjaimen "i" ja "I" käsittelystä. BZ # 2643
• sftp-server (8), ssh-agentti (1): Deny ptrace OS X: ssä ptrace (PT_DENY_ATTACH, ..)
• ssh (1), sshd (8): Poista AES-CTR-salakirjoitukset vanhalla (~ 0.9.8) OpenSSL: llä.
• Kiinnitä kokoelma libcryptoon, joka on koottu ilman RIPEMD160-tukea.
• contrib: Lisää gnome-ssh-askpass3 GTK + 3-tuki. bz # 2640 sshd (8): Paranna PRNG-reseediä etuoikeuserotuksen ja voiman libcrypto-mallin avulla saadaksesi laadukkaita siemeniä ennen chroot- tai hiekkalaatikkoa.
• Kaikki: Testaa eksplisiittisesti rikkoutuneita strnvis-arvoja. NetBSD lisäsi strnvisin ja valitettavasti teki sen yhteensopimattomaksi olemassa olevan OpenBSD: n ja Linuxin libbsdin kanssa (entinen on ollut olemassa yli kymmenen vuotta). Yritä tunnistaa tämä sotku ja olettaa vain turvallisen vaihtoehdon, jos risteytämme.