Portable OpenSSH

Портативният OpenSSH е отворен софтуер, портативна версия на OpenSSH (Open Source Secure Shell) протокол за комунални услуги, които се използват днес в Интернет от все повече хора , Тя е проектирана от офсетовия софтуер, за да шифрова целия мрежов трафик, включително пароли, с цел ефективно да елиминира потенциалните атаки, които не можете да предскажете, като например опити за отвличане на връзки или подслушване.

Основните характеристики включват силно криптиране, базирано на алгоритмите Blowfish, AES, 3DES и Arcfour, пренасочване X11 чрез шифроване на трафика X Window System, силно удостоверяване, базирано на протоколите Kerberos Authentication, Public Key и One-Time Password. пренасочване на портове чрез шифроване на канали за стари протоколи.

Освен това, софтуерът идва с препращане на агент, базирано на спецификацията SSO (Single Sign-On), преминаването на билети за AFS и Kerberos, поддръжка на SFTP (Secure FTP) клиент и сървър в SSH1 и SSH2 протоколи, , и оперативна съвместимост, което прави програмата да отговаря на стандартите SSH 1.3, 1.5 и 2.0.

Какво включваме?

След като бъде инсталиран, OpenSSH автоматично ще замени помощните програми Telnet и rlogin със SSH (Secure Shell) програма, както и инструмента FTP със SFTP и RCP с SCP. Освен това той включва SSH демона (sshd) и различни полезни помощни програми, като ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan и sftp-сървър.
Под капака и наличността

Целият проект е написан на програмния език C и се разпространява като универсален архив за всички операционни системи GNU / Linux, което ви позволява да го инсталирате на 32-битови или 64-битови (препоръчителни) компютри.

Моля, имайте предвид, че източникът на tarball изисква да конфигурирате и компилирате проекта преди инсталирането, затова настоятелно препоръчваме на крайните потребители да се опитат да го инсталират от софтуерните хранилища по подразбиране на тяхната операционна система GNU / Linux.

Какво е новото в това издание:

• ssh (1), sshd (8): Коригирайте компилацията чрез автоматично деактивиране на шифри, които не се поддържат от OpenSSL. BZ # 2466
• misc: Проблеми при компилиране на някои версии на компилатора на AIX, свързани с определението на макроса VA_COPY. BZ # 2589
• sshd (8): Позволява да се създадат други архитектури за активиране на sandbox от seccomp-bpf. BZ # 2590
• ssh-agent (1), sftp-server (8): Забранете проследяването на процесите на Solaris с помощта на setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): На Solaris не се обадете на Solaris setproject () с UsePAM = да, това е отговорност на PAM. BZ # 2425



Какво е новото във версията:

• ssh (1), sshd автоматично деактивиране на шифри, които не се поддържат от OpenSSL. BZ # 2466
• misc: Проблеми при компилиране на някои версии на компилатора на AIX, свързани с определението на макроса VA_COPY. BZ # 2589
• sshd (8): Позволява да се създадат други архитектури за активиране на sandbox от seccomp-bpf. BZ # 2590
• ssh-agent (1), sftp-server (8): Забранете проследяването на процесите на Solaris с помощта на setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): На Solaris не се обадете на Solaris setproject () с UsePAM = да, това е отговорност на PAM. BZ # 2425

Какво е новото във версия 7.4p1: ssh (1), sshd (8): Коригиране на компилацията чрез автоматично деактивиране на шифри, OpenSSL. BZ # 2466

• misc: Проблеми при компилиране на някои версии на компилатора на AIX, свързани с определението на макроса VA_COPY. BZ # 2589
• sshd (8): Позволява да се създадат други архитектури за активиране на sandbox от seccomp-bpf. BZ # 2590
• ssh-agent (1), sftp-server (8): Забранете проследяването на процесите на Solaris с помощта на setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): На Solaris не се обадете на Solaris setproject () с UsePAM = да, това е отговорност на PAM. BZ # 2425

Какво е новото във версия 7.3p1:

• ssh (1), sshd (8): Коригирайте компилацията чрез автоматично деактивиране на шифри, които не се поддържат от OpenSSL. BZ # 2466
• misc: Проблеми при компилиране на някои версии на компилатора на AIX, свързани с определението на макроса VA_COPY. BZ # 2589
• sshd (8): Позволява да се създадат други архитектури за активиране на sandbox от seccomp-bpf. BZ # 2590
• ssh-agent (1), sftp-server (8): Забранете проследяването на процесите на Solaris с помощта на setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): На Solaris не се обадете на Solaris setproject () с UsePAM = да, това е отговорност на PAM. BZ # 2425



Какво е новото във версия 7.2p2:

• ssh (1), sshd (8): добавете разрешения за съвместимост за FuTTY
• ssh (1), sshd (8): прецизирайте разрешенията за съвместимост за WinSCP
• Коригирайте няколко грешки в паметта (двойно-безплатно, без неиниализирана памет и т.н.) в ssh (1) и ssh-keygen (1). Съобщено от Mateusz Kocielski.

Какво е новото във версия 7.1p1:

• Отстранени програмни грешки:
• ssh (1), sshd (8): добавете разрешения за съвместимост за FuTTY
• ssh (1), sshd (8): прецизирайте разрешенията за съвместимост за WinSCP
• Коригирайте няколко грешки в паметта (двойно-безплатно, без неиниализирана памет и т.н.) в ssh (1) и ssh-keygen (1). Съобщено от Mateusz Kocielski.

Какво е новото в версия 6.9p1:

-T, част от bz # 2346

Какво е новото във версия 6.8p1:

• Поддръжка - без отваряне на време за конфигуриране. Деактивира и премахва зависимостта от OpenSSL. Много функции, включително SSH протокол 1, не се поддържат и наборът от крипто опции е силно ограничен. Това ще работи само на системи с нативен arc4random или / dev / urandom. Смята се за силно експериментална за момента.
• Поддръжка - без опция за ssh1 при конфигурирано време. Разрешава изключването на SSH протокол 1.
• sshd (8): Коригиране на компилацията на системи с IPv6 поддръжка в utmpx; BZ # 2296
• Разрешете име на персонализирана услуга за sshd на Cygwin. Разрешава използването на няколко sshd тичащи с различни имена на услуги.

Какво е новото във версия 6.7p1:

• Портативният OpenSSH вече поддържа изграждането срещу libressl-portable.
• Портативният OpenSSH сега изисква openssl 0.9.8f или по-голям. По-старите версии вече не се поддържат.
• В проверката на версията на OpenSSL, позволете надстройки на версиите на версиите (но не и downgrades.) Debian bug # 748150.
• sshd (8): На Cygwin определете потребител за разделяне на привилегии по време на изпълнение, тъй като може да се наложи да е домейн.
• sshd (8): Не се опитвайте да използвате vhangup на Linux. Той не работи за потребители, които не са потребители на root, и за тях просто бърка настройките на tty.
• Използвайте CLOCK_BOOTTIME вместо CLOCK_MONOTONIC, когато е налице. Той отчита времето, прекарано в режим на спиране, като по този начин се гарантира, BZ # 2228
• Добавете поддръжка за ed25519 към скрипта inens от opensshd.init.
• sftp-сървър (8): На платформи, които го поддържат, използвайте prctl (), за да предотвратите достъп до / proc / self / {mem, maps}

Какво е новото във версия 6.5p1:

• Нови функции:
• ssh (1), sshd (8): Добавете поддръжка за обмен на ключове, използвайки елиптично-кривата Diffie Hellman в Curve25519 на Daniel Bernstein. Този метод за обмен на ключ е по подразбиране, когато клиентът и сървърът го поддържат.
• ssh (1), sshd (8): Добавете поддръжка за Ed25519 като тип публичен ключ. Ed25519 е схема за подписване на елиптична крива, която предлага по-добра сигурност от ECDSA и DSA и добра производителност. Той може да се използва както за потребителски, така и за хост клавиши.
• Добавете нов формат на частния ключ, който използва bcrypt KDF, за да защитите по-добре клавишите в покой. Този формат се използва безусловно за клавишите Ed25519, но може да се изисква при генериране или запазване на съществуващи клавиши от други типове чрез опцията -o ssh-keygen (1). Възнамеряваме да направим новия формат по подразбиране в близко бъдеще. Подробности за новия формат са в файла PROTOCOL.key.
• ssh (1), sshd (8): Добавяне на нов транспортен шифър "chacha20-poly1305@openssh.com"; който комбинира шифъра на потока ChaCha20 на Даниел Бърнстейн и Poly1305 MAC за изграждане на автентичен режим на криптиране. Подробностите са в файла PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): Отказвайте RSA ключове от стари патентовани клиенти и сървъри, които използват остарялата схема RSA + MD5. Все още ще е възможно да се свържете с тези клиенти / сървъри, но само DSA ключове ще бъдат приети и OpenSSH ще откаже изцяло връзката в бъдещо издание.
• ssh (1), sshd (8): Отхвърлете старите собствени клиенти и сървъри, които използват изчисление на хеш обмен на по-слаби ключове.
• ssh (1): Увеличете размера на групите Diffie-Hellman, изисквани за всеки симетричен размер на ключа. Нови стойности от Специална публикация NIST 800-57 с горната граница, посочена от RFC4419.
• ssh (1), ssh-agent (1): Поддържат pkcs # 11 tokes, които предоставят само X.509 certs вместо сурови публични ключове.
• ssh (1): Добавете ssh_config (5) "Съвпадение" ключова дума, която позволява условната конфигурация да се прилага чрез съвпадение на име на хост, потребител и резултат от произволни команди.
• ssh (1): Добавете поддръжка за канонилизация на име на хост от страна на клиента, като използвате набор от суфикси и правила на DNS в ssh_config (5). Това позволява неоторизирани имена да бъдат канонизирани до напълно квалифицирани имена на домейни, за да се премахне двусмислеността при търсене на клавиши в known_hosts или проверка на имена на сертификати на хоста.
• sftp-сървър (8): Добавете имената на заявките за протокол sftp към списъка с бели и / или черни списъци.
• sftp-сървър (8): Добавете sftp "fsync@openssh.com"; за поддържане на повикване fsync (2) върху отворен драйвер за файл.
• sshd (8): Добавете ssh_config (5) PermitTTY, за да забраните разпределението на TTY, отразявайки дългогодишната опция pty authorized_keys.
• ssh (1): Добавете опция ssh_config ProxyUseFDPass, която поддържа използването на ProxyCommands, които установяват връзка и след това предава свързания файлов дескриптор обратно към ssh (1). Това позволява на ProxyCommand да излезе, вместо да остане наоколо, за да прехвърля данни.
• Отстранени програмни грешки:
• ssh (1), sshd (8): Коригирайте потенциалното изтощаване на стека, причинено от вложени сертификати.
• ssh (1): bz # 1211: направи BindAddress работа с UsePrivilegedPort.
• sftp (1): bz # 2137: фиксирайте измервателния уред за повторно прехвърляне.
• ssh-add (1): bz # 2187: не изисквайте ПИН на смарткарта, когато премахвате ключовете от ssh-agent.
• sshd (8): bz # 2139: поправете резервното възстановяване, когато оригиналната sshd двоична не може да бъде изпълнена.
• ssh-keygen (1): Направете относително определен срок на изтичане на сертификата спрямо текущото време, а не времето за начало на валидността.
• sshd (8): bz # 2161: fix AuthorizedKeysCommand в блок за съвпадение.
• sftp (1): bz # 2129: синхронизирането на файл може да канонизира неправилно целевата пътека.
• ssh-agent (1): bz # 2175: фиксирайте безплатна употреба в изпълнимия помощен агент на PKCS # 11.
• sshd (8): Подобрете регистрацията на сесиите, за да включите потребителското име, отдалечения хост и порт, типа на сесията (shell, команда и т.н.)
• sshd (8): bz # 1297: Кажете на клиента (чрез съобщение за отстраняване на грешки), когато предпочитаният му адрес за слушане е бил преодолян от настройката на GatewayPorts на сървъра.
• sshd (8): bz # 2162: включване на порт за докладване в лошо протоколно банерно съобщение.
• sftp (1): bz # 2163: поправете изтичането на памет в пътя за грешки в do_readdir ().
• sftp (1): bz # 2171: не пропускайте файловия дескриптор за грешка.
• sshd (8): Включете местния адрес и порт в "Връзка от ..." съобщение (показва се само на loglevel & gt; = verbose).
• Портативен OpenSSH:
• Моля, имайте предвид, че това е последната версия на Portable OpenSSH, която ще поддържа версии на OpenSSL преди 0.9.6. Поддръжката (т.е. SSH_OLD_EVP) ще бъде премахната след пускането на 6.5p1.
• Портативният OpenSSH ще се опита да компилира и да се свърже като независим изпълнител на позицията на Linux, OS X и OpenBSD на последните gcc-подобни компилатори. Други платформи и по-стари / други компилатори може да поискат това, като използват флага за конфигуриране --with-pie.
• Редица други опции за втвърдяване, свързани с инструменталната лента, се използват автоматично, ако са налице, включително -ftrapv, за да се прекрати препълването на цялото цяло число и опциите за запазване на информацията за динамично свързване. Използването на тези опции може да бъде деактивирано, използвайки фрагмента --without-hardening configure.
• Ако инструментът го поддържа, един от флаг-защитник-силен, -fstack-протектор-всички или -fstack-защитник компилация флаг се използват за добавяне на охрана за смекчаване на атаки въз основа на препълване на стека. Използването на тези опции може да бъде деактивирано с помощта на опцията --without-stackprotect configure.
• sshd (8): Добавете поддръжка за sandboxing преди автентикацията, като използвате API на Capsicum, въведена във FreeBSD 10.
• Превключете към arc4random () PRNG, базирано на ChaCha20, за платформи, които не предлагат свои собствени.
• sshd (8): bz # 2156: възстановяване на настройките на Linux oom_adj при работа с SIGHUP, за да поддържате поведението си повторно.
• sshd (8): bz # 2032: използвайте локално потребителско име в krb5_kuserok, а не пълното име на клиент, което може да е с форма на потребител @ REALM.
• ssh (1), sshd (8): Тествайте както наличието на ECC NID номера в OpenSSL, така и те действително работят. Fedora (поне) има NID_secp521r1, което не работи.
• bz # 2173: използвайте pkg-config - libs, за да включите правилното -L място за libedit.



Това ново съобщение във версия 6.4p1:

: коригиране на проблем с корупцията на паметта, задействан при повторно набиране, когато е избран AES-GCM шифър. Пълните подробности за уязвимостта са достъпни на адрес: http://www.openssh.com/txt/gcmrekey.adv

Какво е новото във версия 6.3p1:

• Характеристики:
• sshd (8): добавете ssh-agent (1) поддръжка на sshd (8); позволява шифровани "hostkeys" или "hostkeys" на смарткарти.
• ssh (1) / sshd (8): да се даде възможност за повторно отваряне повторно чрез втория аргумент към съществуващата опция RekeyLimit. RekeyLimit вече се поддържа в sshd_config, както и в клиента.
• sshd (8): стандартизиране на регистрирането на информация по време на удостоверяване от потребителя.
• Представеното ключово / cert и отдалеченото потребителско име (ако има такива) вече се вписват в съобщението за успешно / неуспешно удостоверяване на същия лог за лог с локалното потребителско име, отдалечения хост / порт и използвания протокол. Също се регистрират съдържанията на сертификатите и отпечатъците на ключовете на подписващия орган.
• Включването на цялата подходяща информация на един ред опростява анализа на журнала, тъй като вече не е необходимо да се отнася до информация, разпръснато в няколко записа в дневника.
• ssh (1): добавете способността да зададете кои кодове, MAC алгоритми, типове ключове и методи за обмен на ключове се поддържат в двоичния.
• ssh (1): поддържа ProxyCommand = - за да позволи случаи на поддръжка, където stdin и stdout вече сочат към прокси сървъра.
• ssh (1): разрешете IdentityFile = none
• SSH (1) / SSHD (8). Добави -Е възможност за SSH и SSHD да добави отстраняване на грешки трупи за определен файл вместо STDERR или Syslog
• sftp (1): добавете поддръжка за възобновяване на частични изтегляния, използвайки "reget" на командата sftp или на "get" командната линия, използваща "-а" (добавяне).
• ssh (1): добавете "IgnoreUnknown" конфигурационна опция за избирателно потискане на грешки, произтичащи от неизвестни конфигурационни директиви.
• sshd (8): добавете поддръжка за подметоди, които да бъдат добавени към изискваните методи за удостоверяване, изброени чрез AuthenticationMethods.
• Отстранени програмни грешки:
• SSHD (8):. Поправите отказ да се приемат сертификат ако ключова от различен тип, до ключ Калифорния се появява в authorized_keys преди клавиша Калифорния
• SSH (1) / SSH-агент (1) / SSHD (8):. Използвайте монотонна източник време за таймери, така че неща като keepalives и подмяна на ключа да работят правилно над часовник стъпки
• sftp (1): актуализирайте прогрес метъра, когато данните се потвърждават, а не когато се изпраща. BZ # 2108
• ssh (1) / ssh-keygen (1): подобрете съобщенията за грешки, когато текущият потребител не съществува в / etc / passwd; BZ # 2125
• ssh (1): нулирайте реда, в който се опитват публичните ключове след частичен успех на удостоверяване.
• ssh-agent (1): почистване на сокетните файлове след SIGINT, когато е в режим на отстраняване на грешки; BZ # 2120
• ssh (1) и други: избягвайте объркващи съобщения за грешка в случай на конфигурации на разрушения системен резолтор; BZ # 2122
• ssh (1): задайте TCP nodelay за свързвания, започнати с -N; BZ # 2124
• ssh (1): правилно ръководство за изискванията за разрешение на ~ / .ssh / config; BZ # 2078
• ssh (1): Определяне на Timeout на ControlPersist, което да не се задейства в случаите, когато TCP връзките са били закачени. BZ # 1917
• ssh (1): правилно отстраняване на контрола MasterPerson от неговия контролен терминал.
• sftp (1): избягвайте катастрофи в libedit, когато е компилиран с поддръжка на многобайтови символи. BZ # 1990
• sshd (8): при стартиране на sshd -D затворете stderr, освен ако не сме изрично поискали да се регистрираме в stderr. BZ # 1976,
• ssh (1): фиксирайте непълното брезе; BZ # 2100
• sshd (8): логване и грешка и изход, ако ChrootDirectory е зададен и работи без права на root.
• Много подобрения в пакета за регресионни тестове. По-конкретно лог файловете вече са запазени от ssh и sshd след неуспехи.
• Поправете няколко течове на паметта. bz # 1967 bz # 2096 и други
• sshd (8): поправете удостоверяване с публичен ключ, когато към заявеното потребителско име е добавен стил:
• ssh (1): не излезте фатално, когато се опитвате да изчистите създадените от мултиплексирания канали, които не са напълно отворени. BZ # 2079
• Портативен OpenSSH:
• Основен ремонт на contrib / cygwin / README
• Коригирайте неподходящите достъпни в umac.c архитектури за строго подравняване. BZ # 2101
• Активирайте -Wsizeof-pointer-memaccess, ако компилаторът го поддържа. BZ # 2100
• Коригирайте повредените грешни грешки при докладване на командни линии. BZ # 1448
• Включете SHA256 и ECC-базирани методи за обмен на ключове само ако libcrypto има необходимата поддръжка.
• Коригирайте катастрофата в динамичния код за пренасочване SOCKS5 на архитектури със строго подравняване.
• Няколко поправки за преносимост за Android: * Не се опитвайте да използвате последния за Android; bz # 2111 * Да се ​​върнем към функцията DES_crypt на openssl на пластовете, които нямат функция на родната крипта (); bz # 2112 * Тествайте fd_mask, howmany и NFDBITS, вместо да се опитвате да изброите платната, които нямат такива. bz # 2085 * Заменете S_IWRITE, което не е стандартизирано, със S_IWUSR, което е. bz # 2085 * Добавете null изпълнение на endgrent за платформи, които нямат такъв (напр. Android) bz # 2087 * Платформи за поддръжка, като Android, които нямат struct passwd.pw_gecos. BZ # 2086

Какво е новото във версия 6.2p2:

• sshd (8) платформи, където ядрото я поддържа.
• sshd (8): Симкомпютърната филтърна пясъчна кутия няма да бъде активирана, ако системните заглавки го поддържат при компилиране, независимо дали може да бъде активирана тогава. Ако системата за време на изпълнение не поддържа seccomp-filter, sshd ще се върне обратно в псевдо-пясъчната кутия rlimit.
• ssh (1): Не свързвайте в библиотеките на Kerberos. Те не са необходими на клиента, само на sshd (8). BZ # 2072
• Коригирайте GSSAPI, свързвайки Solaris, който използва библиотека GSSAPI с различна структура. BZ # 2073
• Коригирайте компилацията на системи с openssl-1.0.0-fips.
• Коригирайте редица грешки в спецификационните файлове за RPM.


Новите версии 5.8p1:
• Преносими OpenSSH Bugfixes:
• Поправете компилация, когато активирате поддръжка на SELinux.
• Не се опитвайте да се обаждате на SELinux функции, когато SELinux е деактивиран. BZ # 1851
22 Jun 18