openssh

Проект OpenSSH в особых представленях не нуждается. Любой системный администратор или пользователей Linux/UNIX с ним сталкивался.

Вчера вышла новая версия реализации клиента и сервера для работы по защищённому протоколу SSH.

Изменений много, как водится. Вот наиболее интересные из них:

• Появление нового режима для "песочницы" под названием "UsePrivilegeSeparation=sandbox". Предназначен для организации мандатного доступа к коду вызываемого на стадии находящейся непосредственно перед аутентификацией, работающего с использованием системного вызова privsep. Доступно три его реализации с использованием systrace, seatbelt и rlimit, которые используются в зависимости от имеющейся платформы;
• Добавлены новые HMAC-режимы с использованием хэша SHA256 предназначенных для проверки целостности;
• ssh теперь предупреждает об отказе в форвардинге X11;
• Опция AuthorizedKeysFile в конфигурационном файле sshd_config теперь позволяет указывать несколько путей разделённых пробелами, где могут находиться ключи доступа;
• Опция Host теперь поддерживает проверку на совпадение с заданным хостом с использованием операции отрицания;
• Команда ssh-add теперь поддерживает стандартный ввод с использованием каналов для указания пути расположения ключей. Т.е. теперь стало можно использовать конструкции вида "ssh-add - < /path/to/key";
• В ssh-keygen добавлена опция "-A", позволяющая автоматическим образом добавлять недостающие ключи с указанием парметров по умолчанию и пустым паролем.;
• Реализована возможность приёма мультиплексированных соединений без обрыва уже имеющихся;

Помимо нововведений, исправлено множество ошибок, устранены проблемы со сборкой, поправлены .speс файлы для сборки rpm-пакетов;

Вчера был выпущен кроссплатформенный ssh-сервер OpenSSH версии 5.4/5.4p1.

Изменения с версии 5.3:
* После 10 лет поддержки отключен по умолчанию SSHv1. Теперь для его включения нужно принудительно прописывать его в конфигурационном файле или при запуске с командной строки;
* Удалён базирующийся на libsectok/OpenSC код для смарткарт, добавлена поддержка токенов PKCS#11. Данная возможность включена по умолчанию для всех платформ. Подробности в документации доступной по команде man ssh или man ssh-add.
* Добавлена поддержка авторизации пользователей и хостов с помощью новых сертификатов OpenSSH (не x.509);
* Добавлен новый "netcat mode" доступный по "ssh -W host:port" Это, к примеру, позволяет подключаться к OpenSSH через промежуточные серверы;
* Появилась возможность отзывать сертификаты в sshd(8) и ssh(1). Ключи пользователей могут быть отозваны с помощью новой опции "RevokedKeys" в конфигурационном файле sshd_config. Ключи для хостов отзываются через файл known_hosts. после этого их нельзя использовать для авторизации и при попытке это сделать будет выдаваться предупреждение;
* Переписана поддержка мультиплексирования для поддержки работы в неблокирующем режиме. Повышена устойчивость основного сервера при попытке послать ему специально сформированные сообщения от ведомого сервера. Добавлена поддержка запроса форвардинга портов через протокол мультиплексирования. Данный режим поддерживает работу и через "netcat mode" описанный выше. Подробности об этом есть в файле PROTOCOL.mux идущем в поставке;
* Добавлен режим "только для чтения" для sftp сервера. По умолчанию в нём запрещены все операции связанные изменением данных в удалённой файловой системе;
* Разрешена явная настройка umask для пользователя через командную строку sftp-сервера, отличных от значений по умолчанию;
* Большое количество изменений и улучшений клиента для sftp сделанных в рамках Google Summer Of Code:
- Поддержка флага -h (human readable) для команды просмотра каталогов ls.
- Добавлено автодополнение имён файлов или команд по нажатию клавиши tab на локальных или удалённых файловых системах
- Добавлена поддержка большинства аргументов командной строки scp.
- Добавлена поддержка рекурсивной передачи для команд get/put и через командную строку;
* Новые публичные RSA-ключи теперь генерируются с помощью алгоритма RSA_F4 == (2**16)+1 == 65537 вместо предыдущего значения 35;
* Пароль для доступа к секретным ключам SSH 2 теперь шифруется при помощи AES-128 вместо 3DES. Старые ключи будут в этом случае перешифрованы (то есть надо будет менять пароль);
* Множество исправлений ошибок. Подоробности в информации о релизе.

Скачать релиз.