The OpenNET Project
 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

18.03.2015 10:11  Выпуск OpenSSH 6.8

Доступен выпуск OpenSSH 6.8 - открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP. Из наиболее важных улучшений можно отметить возможность сборки без OpenSSL, проведение внутреннего рефакторинга, возможность автозамены ключей хоста на стороне клиента, встроенную реализацию списков отозванных сертификатов, изменение формата отпечатков ключей.

Основные улучшения:

  • Переработана значительная часть внутреннего кода с целью выноса базовых частей OpenSSH в отдельную библиотеку. Несмотря на то, что связанные с рефакторингом изменения не заметны пользователям, они позволили существенно улучшить тестируемость кода и оптимизировать внутреннюю структуру проекта;
  • В ssh и sshd добавлена опция FingerprintHash, через которую можно управлять выбором алгоритма для создания fingerprint-отпечатков ключей. По умолчанию отпечатки теперь создаются с использованием хэша SHA256 и формата base64, вместо ранее применяемого шестнадцатеричного вывода MD5. Кроме того, строка с отпечатком теперь содержит явное указание алгоритма хэширования, например, "SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE";
  • Экспериментальная поддержка автозамены ключей хоста. Реализовано специальное расширение протокола "hostkeys@openssh.com", позволяющее серверу после прохождения аутентификации информировать клиента о всех доступных ключах хоста. Клиент может отразить эти ключи в своём файле ~/.ssh/known_hosts, что позволяет организовать обновление ключей хоста и упрощает смену ключей на сервере. На стороне клиента обновление ключей хоста можно разрешить воспользовавшись опцией UpdateHostkeys (по умолчанию значение "no").

    В качестве примера можно привести переход от ключей DSA, для работы с которыми требуется OpenSSL/LibreSSL, на интегрированную в OpenSSH реализацию цифровой подписи с открытым ключом Ed25519. При использовании новой функции, sshd отправит клиенту все имеющиеся на сервере открытые ключи узла. В свою очередь, клиент осуществит замену всех имеющихся ключей доверяемого узла на предоставленные таким образом новые ключи. Для инициирования замены ключей на сервере, необходимо в sshd_config одновременно указать как старые, так и новые ключи, добавив дополнительные секции HostKey;

  • Переносимая версия OpenSSH избавлена от привязки к OpenSSL и теперь может быть собрана без OpenSSL/LibreSSL. При сборке с опцией "--without-openssl" вместо OpenSSL будет использован только внутренний набор алгоритмов (curve25519, aes-ctr, chacha20+poly1305 и ed25519), применяемых при использовании протокола SSH-2, а протокол SSH-1 поддерживаться не будет. Работа без OpenSSL пока возможна только на системах, предоставляющих механизмы arc4random или /dev/urandom для доступа к генераторам псевдослучайных чисел;
  • Реализована встроенная поддержка списков отозванных ключей KRL (Key Revocation List) в ssh-keygen и sshd, не требующая сборки с OpenSSL;
  • Параметр UseDNS по умолчанию теперь принимает значение 'no', что потребует явного указания "UseDNS yes" для конфигураций в которых в sshd_config или authorized_keys применяется сопоставление по именам клиентских хостов;
  • В ssh и ssh-keysign обеспечена возможность использования ключей ed25519 для аутентификации в привязке к хосту (Host-based Authentication);
  • В sshd обеспечено запоминание уже использованного для аутентификации открытого ключа и отвержение попыток указания того же ключа при аутентификации по двум ключам. Иными словами, если в настройках указано "AuthenticationMethods=publickey,publickey", то пользователь теперь должен использовать два разных ключа;
  • В sshd_config добавлены опции HostbasedAcceptedKeyTypes и PubkeyAcceptedKeyTypes, позволяющие определить допустимые типы открытых ключей. По умолчанию разрешены все типы ключей. В свою очередь для клиента в ssh_config добавлена опция HostbasedKeyType, дающая возможность указать допустимые типы открытых ключей хоста;
  • В ssh добавлена опция RevokedHostKeys, позволяющая подключить список отозванных ключей хоста в форме текстового файла или KRL;
  • В ssh-keygen и sshd добавлена поддержка отзыва сертификатов по их порядковому номеру или идентификатору ключа, не вдаваясь в подробности привязки к CA;
  • В ssh добавлена опция "-G", в которой по аналогии с "sshd -T" производится разбор конфигурации и её дамп в стандартный выходной поток;
  • В ssh реализована поддержка операции отрицания в блоках Match. Например, "Match !host";
  • В ssh и sshd устранены проблемы с обрывом соединения при предоставлении нескольких ECDSA-ключей разного размера;
  • В переносимую версию OpenSSH добавлена опция "--without-ssh1", позволяющая собрать пакет без поддержки первой версии протокола SSH;
  • При работе в окружении Cygwin для sshd реализована возможность указанием собственных имён сервисов, что позволяет запустить несколько экземпляров sshd с разными именами сервисов.


  1. Главная ссылка к новости (http://lists.mindrot.org/pipermail/opens...)
  2. OpenNews: В OpenSSH 6.8 появится поддержка автозамены ключей на Ed25519
  3. OpenNews: Выпуск OpenSSH 6.7
  4. OpenNews: Разработка OpenSSL, OpenSSH и NTP будет профинансирована Фондом поддержки ключевых открытых проектов
  5. OpenNews: OpenSSL исключен из числа обязательных зависимостей OpenSSH
  6. OpenNews: Выпуск OpenSSH 6.6
Тип: Программы
Ключевые слова: openssh, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
Обсуждение Линейный вид (Ajax) | Показать все | RSS
 
  • 1.1, makky, 12:31, 18/03/2015 [ответить] [смотреть все]
  • +16 +/
    >>>> UseDNS по умолчанию теперь принимает значение 'no',

    Ах ты ж! Пропадет 100500 одинаковых вопросов про тормоза ssh (:

     
     
  • 2.5, Pahanivo, 15:44, 18/03/2015 [^] [ответить] [смотреть все]
  • +3 +/
    да ваще капец - взяли и лишили форумы поцеентов.
     
     
  • 3.13, PnDx, 11:14, 19/03/2015 [^] [ответить] [смотреть все]
  • +1 +/
    Теперь сразу про "не стартующий" mc будут спрашивать, ага.
     
  • 2.14, анон, 11:19, 19/03/2015 [^] [ответить] [смотреть все]
  • +/
    Я даже не джва, а лет 15 ждал этого момента.
     
  • 1.3, Чаёвник, 14:35, 18/03/2015 [ответить] [смотреть все]
  • +4 +/
    >> возможность автозамены ключей хоста на стороне клиента

    Интересно было бы глянуть на детали настройки и реализации получения клиентом старого ключа, а потом обновления до нового. Но гораздо интереснее было бы узнать, как автоматом менять старый ключ из authorized_keys на новый.

     
  • 1.4, Нанобот, 15:12, 18/03/2015 [ответить] [смотреть все]  
  • +5 +/
    >Переработана значительная часть внутреннего кода

    обычно именно так начинается внесение новых ошибок :)

     
  • 1.6, Аноним, 15:50, 18/03/2015 [ответить] [смотреть все]  
  • –2 +/
    Выпуск OpenSSH 6.8... весь текст скрыт [показать]
     
  • 1.7, Ilya Indigo, 17:14, 18/03/2015 [ответить] [смотреть все]  
  • +/
    >Переносимая версия OpenSSH избавлена от привязки к OpenSSL и теперь может быть собрана без OpenSSL/LibreSSL. При сборке с опцией "--without-openssl" вместо OpenSSL будет использован только внутренний набор алгоритмов (curve25519, aes-ctr, chacha20+poly1305 и ed25519), применяемых при использовании протокола SSH-2, а протокол SSH-1 поддерживаться не будет.

    Так это великолепно! И с конфигом париться меньше и для ленивых по дефолту более безопасная конфигурация.
    Но вот, например, filezilla по sftp к серверу не сможет подключиться.

     
     
  • 2.9, Stax, 00:02, 19/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Почему? sftp обслуживается тем же ssh2 сервером, с точки зрения хендшейка ничем не отличается от ssh-сессии туда же.
     
     
  • 3.11, Ilya Indigo, 05:04, 19/03/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    > Почему?

    1 Filezilla не putty.exe, она умеет только sftp.
    2 Filezilla не умеет использовать новые алгоритмы.

     
     
  • 4.15, Crazy Alex, 11:32, 19/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну так пусть проходит лесом, делов-то
     
  • 4.16, Аноним, 16:47, 20/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Какой из вышеупомянутых алгоритмов вы а называете новым б какой из них _по-им... весь текст скрыт [показать]
     
  • 1.8, lucentcode, 19:34, 18/03/2015 [ответить] [смотреть все]  
  • –1 +/
    Хороший список изменений.
     

    Ваш комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:
     
    Навигация
     
     Новости для экспорта XML
     В социальных сетях:  twitter  
     Сводные | за день | мини-новости
     Разделы новостей
     Что нового на OpenNet
     Поиск в новостях
     Новые комментарии
     Добавить свою новость

    Важное
    - 25.03 Релиз GNOME 3.16. Обзор новшеств (124 +50)

    Советы
    - 18.03 Подготовка качественных GIF-файлов из видео при помощи FFmpeg
    - 13.03 Обновление Debian Wheezy до Debian Jessie, не дожидаясь официального релиза
    - 12.03 Подавление шумов средствами PulseAudio
    - 23.02 Создание интерактивных графических моделей в CAS MAXIMA при использовании ОС GNU Linux
    - 05.02 Мониторинг температуры в Zabbix с использованием Digitemp

    Обсуждаемые новости
    - 23:06 Выпуск открытого медиацентра Kodi 14.2 (бывший XBMC)  (16)
    - 22:42 Космическое агентство NASA открыло код платформы для создани (20)
    - 22:35 Релиз Samba 4.2.0. Прекращение поддержки Samba 3 (80)
    - 22:31 На GitHub обрушилась необычная DDoS-атака, проведённая через (110)
    - 20:24 Второй кандидат в релизы инсталлятора Debian 8.0 (52)
    - 20:10 Новая версия легковесного Linux дистрибутива antiX 14.4 (33)
    - 20:00 Доступна финальная бета-версия Ubuntu 15.04, ознаменовавшая  (157)
    - 18:26 Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4 (13)


      Закладки на сайте
      Проследить за страницей
    Created 1996-2015 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList
    п╡п╣я│п╣п╩я▀п╣ п╨п╟я─я┌п╦п╫п╨п╦ я─п╟п╥п╡п╩п╣п╨п╟я┌п╣п╩я▄п╫я▀п╣ пЁп╦я└п╨п╦ п╦п╫я┌я─п╣я│п╫я▀п╣ я└п╟п╨я┌я▀ я│п╪п╣я┬п╫я▀п╣ п╡п╦п╢п╣п╬ я│п╪п╣я┬п╫я▀п╣ п╦я│я┌п╬я─п╦п╦ п╦п╥ я│п╬я├я│п╣я┌п╣п╧