Portable OpenSSH

Prenosný OpenSSH je otevřený zdrojový software, přenosná verze sady protokolů OpenSSH (Open Source Secure Shell), které jsou dnes využívány na internetu rostoucím počtem lidí . Byl navržen tak, aby šifroval veškerý síťový provoz, včetně hesel, aby bylo možné účinně eliminovat potenciální útoky, které nelze předvídat, jako jsou například pokusy o spojení nebo odposlouchávání.

Mezi klíčové funkce patří silné šifrování založené na algoritmech Blowfish, AES, 3DES a Arcfour, přesměrování X11 šifrováním provozu X Window System, silná autentizace založená na protokolech Kerberos Authentication, Public Key a One-Time Password, stejně jako přesměrování portů šifrováním kanálů pro starší protokoly.

Software je dodáván s předáváním agentů na základě specifikace SSO (Single Sign-On), AFS a Kerberos předávání lístků, podpora SFTP (Secure FTP) klienta a serveru v obou protokolech SSH1 a SSH2, komprese dat , a interoperability, což činí program v souladu s normami protokolů SSH 1.3, 1.5 a 2.0.

Co je zahrnuto?

Po instalaci nástroj OpenSSH automaticky nahradí nástroje Telnet a rlogin programem SSH (Secure Shell) a nástrojem FTP se SFTP a RCP se systémem SCP. Dále obsahuje SSH démon (sshd) a různé užitečné nástroje, jako jsou ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan a sftp-server.
Pod kapotou a dostupností

Celý projekt je napsán v programovacím jazyce C a je distribuován jako univerzální archiv zdrojů pro všechny operační systémy GNU / Linux a umožňuje jej instalovat na 32bitové nebo 64bitové (doporučené) počítače.

Vezměte prosím na vědomí, že zdroje tarball vyžadují, abyste nakonfigurovali a kompilovali projekt před instalací, proto důrazně doporučujeme, aby se koncoví uživatelé pokusili nainstalovat z výchozích softwarových úložišť svého operačního systému GNU / Linux.

Co je nového v této verzi:

• ssh (1), sshd (8): Oprava kompilace pomocí automatického vypnutí šifrování, které nejsou podporovány OpenSSL. bz # 2466
• misc: Opravy selhání kompilace u některých verzí kompilátoru AIX vztahující se k definici makra VA_COPY. bz # 2589
• sshd (8): Umožňuje vytvářet další architektury, které umožňují vytvoření sekundárního sandboxu seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Zakázání trasování procesu na Solaris pomocí setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): Na Solaris nevolte Solaris setproject () s UsePAM = ano, je to odpovědnost PAM. bz # 2425



Co je nového ve verzi:

• ssh (1), sshd automaticky zakázat šifry nepodporované OpenSSL. bz # 2466
• misc: Opravy selhání kompilace u některých verzí kompilátoru AIX vztahující se k definici makra VA_COPY. bz # 2589
• sshd (8): Umožňuje vytvářet další architektury, které umožňují vytvoření sekundárního sandboxu seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Zakázání trasování procesu na Solaris pomocí setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): Na Solaris nevolte Solaris setproject () s UsePAM = ano, je to odpovědnost PAM. bz # 2425

Co je nového ve verzi 7.4p1:

• ssh (1), sshd (8): Oprava kompilace OpenSSL. bz # 2466
• misc: Opravy selhání kompilace u některých verzí kompilátoru AIX vztahující se k definici makra VA_COPY. bz # 2589
• sshd (8): Umožňuje vytvářet další architektury, které umožňují vytvoření sekundárního sandboxu seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Zakázání trasování procesu na Solaris pomocí setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): Na Solaris nevolte Solaris setproject () s UsePAM = ano, je to odpovědnost PAM. bz # 2425

Co je nového ve verzi 7.3p1:

• ssh (1), sshd (8): Oprava kompilace pomocí automatického vypnutí šifrování, které nejsou podporovány OpenSSL. bz # 2466
• misc: Opravy selhání kompilace u některých verzí kompilátoru AIX vztahující se k definici makra VA_COPY. bz # 2589
• sshd (8): Umožňuje vytvářet další architektury, které umožňují vytvoření sekundárního sandboxu seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Zakázání trasování procesu na Solaris pomocí setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): Na Solaris nevolte Solaris setproject () s UsePAM = ano, je to odpovědnost PAM. bz # 2425

Co je nového ve verzi 7.2p2:

• ssh (1), sshd (8): přidat řešení kompatibility pro FuTTY
• ssh (1), sshd (8): vylepšení řešení kompatibility pro WinSCP
• V systémech ssh (1) a ssh-keygen (1) opravte několik chyb paměti (dvojité, bez neinicializované paměti atd.). Nahlášil Mateusz Kocielski.

Co je nového ve verzi 7.1p1:

• Opravy chyb:
• ssh (1), sshd (8): přidat řešení kompatibility pro FuTTY
• ssh (1), sshd (8): vylepšení řešení kompatibility pro WinSCP
• V systémech ssh (1) a ssh-keygen (1) opravte několik chyb paměti (dvojité, bez neinicializované paměti atd.). Nahlášil Mateusz Kocielski.

Co je nového ve verzi 6.9p1:

-T, část bz # 2346

Co je nového ve verzi 6.8p1:

• Podpora - bez otevření v době konfigurace. Zakáže a odstraňuje závislost na OpenSSL. Mnoho funkcí, včetně SSH protokolu 1, není podporováno a sada možností kryptografie je značně omezena. To bude pracovat pouze na systémech s nativním arc4random nebo / dev / urandom. Prozatím je považován za vysoce experimentální.
• Podpora - bez možnosti ssh1 v době konfigurace. Umožňuje zakázání podpory SSH protokolu 1.
• sshd (8): Oprava kompilace na systémech s podporou IPv6 v utmpx; bz # 2296
• Povolte vlastní název služby pro sshd v programu Cygwin. Umožňuje použití vícenásobného spuštění sshd s různými názvy služeb.

Co je nového ve verzi 6.7p1:

• Přenosný OpenSSH nyní podporuje budování proti libressl-přenosnému.
• Přenosný OpenSSH nyní vyžaduje openssl 0.9.8f nebo vyšší. Starší verze již nejsou podporovány.
• V verifikaci verze OpenSSL povolte opravy verzí opravy (nikoliv však downgrady. Debian bug # 748150.
• sshd (8): Na službě Cygwin určte uživatele při rozdělování oprávnění, protože může být třeba účet domény.
• sshd (8): Nepoužívejte vhangup v Linuxu. Nepracuje pro uživatele bez oprávnění root a pro ně to jednoduše vylepšuje nastavení tty.
• Pokud je k dispozici, použijte CLOCK_BOOTTIME přednostně k CLOCK_MONOTONIC. Zvažuje dobu strávenou pozastavením, čímž je zajištěno, že vypršení časového limitu (např. Pro klíče s vypršením agenta) vyhoří správně bz # 2228
• Přidejte podporu pro ed25519 do skriptu init skriptu opensshd.init.
• sftp-server (8): Na platformách, které ji podporují, použijte prctl () pro zabránění přístupu serveru sftp / proc / self /

Co je nového ve verzi 6.5p1:

• Nové funkce:
• ssh (1), sshd (8): Přidejte podporu pro výměnu klíčů pomocí eliptické křivky Diffie Hellman v Curve25519 od Daniel Bernstein. Tato metoda výměny klíčů je výchozí, pokud ji klient i server podporují.
• ssh (1), sshd (8): Přidejte podporu pro Ed25519 jako veřejný klíč. Ed25519 je schéma eliptického křivky, které nabízí lepší zabezpečení než ECDSA a DSA a dobrý výkon. Může být použita jak pro uživatelské, tak pro hostitelské klávesy.
• Přidejte nový formát soukromého klíče, který používá bcrypt KDF k lepší ochraně klíčů v klidu. Tento formát je bezpodmínečně použit pro klávesy Ed25519, ale může být požadován při generování nebo ukládání existujících klíčů jiných typů pomocí volby -o ssh-keygen (1). V blízké budoucnosti hodláme nový formát nastavit jako výchozí. Podrobnosti o novém formátu naleznete v souboru PROTOCOL.key.
• ssh (1), sshd (8): Přidat novou přepravní šifru "chacha20-poly1305@openssh.com" který kombinuje proudovou šifru ChaCha20 od společnosti Daniel Bernstein a MAC Poly1305 pro vytvoření ověřeného šifrovacího režimu. Podrobnosti jsou v souboru PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): Odmítněte klíče RSA od starých proprietárních klientů a serverů, které používají zastaralý schéma podpisu RSA + MD5. Bude stále možné spojit se s těmito klienty / servery, ale budou akceptovány pouze klíče DSA a OpenSSH zcela odmítne připojení v budoucí verzi.
• ssh (1), sshd (8): Odmítnout staré proprietární klienty a servery, které používají výpočet hash slabších klíčů.
• ssh (1): Zvětšete velikost skupin Diffie-Hellman požadovaných pro každou velikost symetrického klíče. Nové hodnoty z NIST Special Publication 800-57 s horní hranicí specifikovanou RFC4419.
• ssh (1), ssh-agent (1): Podpora pkcs # 11 tokes, které poskytují pouze X.509 certs místo syrových veřejných klíčů.
• ssh (1): Přidat ssh_config (5) "Match" klíčové slovo, které umožňuje použití podmíněné konfigurace odpovídajícím názvem hostitele, uživatelem a výsledkem libovolných příkazů.
• ssh (1): Přidejte podporu pro canonicalisation na straně klienta pomocí sady přípon DNS a pravidel v ssh_config (5). To umožňuje, aby nekvalifikovaná jména byla kanonizována na plně kvalifikovaná jména domén, aby se vyloučila nejednoznačnost při vyhledávání klíčů v known_hosts nebo při kontrole jména hostitelských certifikátů.
• sftp-server (8): Přidejte požadavek protokolů sftp protokolu whitelist a / nebo blacklist podle názvu.
• sftp-server (8): Přidat sftp "fsync@openssh.com" k podpoře volání fsync (2) na otevřeném souboru.
• sshd (8): Přidejte ssh_config (5) PermitTTY, abyste zakázali alokaci TTY, zrcadlovali tu dlouhou možnost ne-pty authorized_keys.
• ssh (1): Přidejte možnost ssh_config ProxyUseFDPass, která podporuje použití ProxyCommands, které vytvoří spojení a pak předá připojený deskriptor souboru zpět do ssh (1). To umožňuje proxyCommand opustit spíše než zůstat kolem pro přenos dat.
• Opravy chyb:
• ssh (1), sshd (8): Oprava potenciálního vyčerpání zásobníku způsobeného vnořenými certifikáty.
• ssh (1): bz # 1211: Make BindAddress pracovat s UsePrivilegedPort.
• sftp (1): bz # 2137: Opravte měřič pokroku pro obnovený přenos.
• ssh-add (1): bz # 2187: při odebírání klíče od ssh-agentu nepožadujte PIN čipové karty.
• sshd (8): bz # 2139: oprava záložního operačního systému v případě, že původní binární sshd nelze spustit.
• ssh-keygen (1): Ukončení doby vypršení platnosti certifikátu vztaženo k aktuálnímu času a nikoliv ke spuštění platnosti.
• sshd (8): bz # 2161: Opravte autorizovanýKeysCommand uvnitř bloku Match.
• sftp (1): bz # 2129: symbolický odkaz na soubor by nesprávně kanonizoval cílovou cestu.
• ssh-agent (1): bz # 2175: oprava v programu pomocníka agenta PKCS # 11 opravit.
• sshd (8): Zlepšete protokolování relací tak, aby obsahovalo uživatelské jméno, vzdálený hostitel a port, typ relace (shell, příkaz atd.) a přidělené TTY.
• sshd (8): bz # 1297: informujte klienta (pomocí zprávy o ladění), kdy byla přednostní adresa posloupnosti přepsána nastavením brány GatewayPorts.
• sshd (8): bz # 2162: zahrnout port zprávy ve zprávě o chybném protokolu.
• sftp (1): bz # 2163: oprava nevracení paměti v cestě chyb v souboru do_readdir ().
• sftp (1): bz # 2171: při popisu chyby netrpí popisovač souboru.
• sshd (8): Zahrnout místní adresu a port v části "Připojení z ..." zpráva (zobrazí se pouze u loglevel & gt; = verbose).
• Přenosný OpenSSH:
• Vezměte prosím na vědomí, že jde o poslední verzi Portable OpenSSH, která bude podporovat verze OpenSSL před 0.9.6. Podpora (tj. SSH_OLD_EVP) bude odstraněna po vydání verze 6.5p1.
• Portable OpenSSH se pokusí kompilovat a propojit jako nezávislý spustitelný soubor na platformách Linux, OS X a OpenBSD na nedávných kompilátorech typu gcc. Jiné platformy a starší / další překladače mohou o to požádat pomocí příznaku --with-pie configure.
• K dispozici je řada dalších možností kalení souvisejících s nástroji, je-li k dispozici, včetně možnosti -ftrapv, aby se zrušilo přepsání celočíselného přepsání a možnosti zápisu do dynamické vazby. Použití těchto voleb může být zakázáno pomocí příznaku --without-hardening configure.
• Je-li to nástrojová řada podporována, použije se jeden z příznaků -fstack-protector-strong, -fstack-protector-all nebo -fstack-protector compilation, který přidá stráže pro zmírnění útoků založených na přetečení zásobníku. Použití těchto možností může být zakázáno pomocí volby --without-stackprotect configure.
• sshd (8): Přidejte podporu pro předběžné autentizační pískování pomocí API Capsicum, které bylo zavedeno ve FreeBSD 10.
• Přepněte na arc4random () PRNG založený na ChaCha20 pro platformy, které neposkytují jejich vlastní.
• sshd (8): bz # 2156: obnovení nastavení Linux oom_adj při manipulaci se SIGHUP pro udržení chování přes retart.
• sshd (8): bz # 2032: použijte místní jméno uživatele v příkazu krb5_kuserok a nikoli úplný název klienta, který může mít formu user @ REALM.
• ssh (1), sshd (8): Otestujte jak přítomnost čísel ECC NID v OpenSSL, tak skutečně fungují. Fedora (alespoň) má NID_secp521r1, která nefunguje.
• bz # 2173: použijte pkg-config - libs pro zahrnutí správné polohy -L pro libedit.

Co je nového ve verzi 6.4p1:

: opravit problém s poškozením paměti spuštěným během rekeingu, když je vybrána šifra AES-GCM. Podrobnosti o této chybě zabezpečení jsou k dispozici na adrese: http://www.openssh.com/txt/gcmrekey.adv

Co je nového ve verzi 6.3p1:

• Funkce:
• sshd (8): přidání podpory ssh-agent (1) sshd (8); umožňuje šifrované hostkeys nebo hostkeys na čipových kartách.
• ssh (1) / sshd (8): umožňují volitelnou časovou rekeying přes druhý argument k existující volbě RekeyLimit. RekeyLimit je nyní podporován v souboru sshd_config i v klientovi.
• sshd (8): standardizovat protokolování informací během ověřování uživatele.
• Přidané klíčové / certové a vzdálené uživatelské jméno (je-li k dispozici) je nyní zaznamenáno ve zprávě o úspěšném / neúspěšném ověřování na stejném řádku protokolu jako místní uživatelské jméno, vzdálený hostitel / port a použitý protokol. Obsah certifikátů a klíčový otisk prstu podepisující certifikační autority jsou také zaznamenány.
• Včetně všech relevantních informací na jediném řádku zjednodušuje analýzu protokolu, protože již není nutné spojovat informace rozptýlené v několika položkách protokolu.
• ssh (1): přidat možnost dotazovat, které šifry, MAC algoritmy, typy klíčů a metody výměny klíčů jsou podporovány v binárním.
• ssh (1): podpora ProxyCommand = - povolit případy podpory, kde stdin a stdout již odkazují na proxy.
• ssh (1): povolit IdentityFile = none
• ssh (1) / sshd (8): přidat -E možnost ssh a sshd připojit ladění protokolů do zadaného souboru namísto stderr nebo syslog.
• sftp (1): přidat podporu pro obnovení částečných stahování pomocí příkazu "reget" a na příkazovém řádku sftp nebo na příkazu "get" příkazové řádky pomocí příkazu "-a" (připojit).
• ssh (1): přidat "IgnoreUnknown" volba konfigurace pro selektivní potlačení chyb vyplývajících z neznámých konfiguračních direktiv.
• sshd (8): přidat podporu pro submetody, které mají být připojeny k požadovaným metodám autentizace uvedeným pomocí AuthenticationMethods.
• Opravy chyb:
• sshd (8): Opravte odmítnutí přijmout certifikát, pokud se před klíčem CA objevil klíč s jiným typem jako klíč CA v autorizovaných klíčích.
• ssh (1) / ssh-agent (1) / sshd (8): Použijte monotónní zdroj času pro časovače,
• sftp (1): aktualizuje měřidlo postupu při potvrzení dat, nikoli při odeslání. bz # 2108
• ssh (1) / ssh-keygen (1): vylepšení chybových zpráv, pokud aktuální uživatel neexistuje v souboru / etc / passwd; bz # 2125
• ssh (1): obnovení pořadí, ve kterém jsou veřejné veřejné klíče vyzkoušeny po částečném ověření.
• ssh-agent (1): vyčištění souborů socketů po SIGINT v režimu ladění; bz # 2120
• ssh (1) a další: vyhnout se chybným chybám při konfliktech přerušených systémových resolverů; bz # 2122
• ssh (1): nastavte TCP nodelay pro spojení spuštěná s -N; bz # 2124
• ssh (1): správná příručka pro požadavky na povolení na ~ / .ssh / config; bz # 2078
• ssh (1): Opravte časový limit ControlPersist neaktivující v případech, kdy bylo zavěšeno připojení TCP. bz # 1917
• ssh (1): správně odložte ovládací prvek ControlPersist z jeho řídicího terminálu.
• sftp (1): vyhnout se zhroucení v libedit, když byl kompilován s vícebajtovou podporou znaků. bz # 1990
• sshd (8): při spuštění sshd -D uzavřete stderr, pokud jsme explicitně nepožádali o protokolování do stderr. bz # 1976,
• ssh (1): oprava nedokončeného bzera; bz # 2100
• sshd (8): protokol a chyba a ukončení, pokud je ChrootDirectory zadán a spuštěn bez oprávnění root.
• Mnoho vylepšení regresní testovací sady. Zvláště soubory protokolu jsou nyní uloženy ze ssh a sshd po selhání.
• Opravte několik úniků paměti. bz # 1967 bz # 2096 a další
• sshd (8): oprava ověření veřejným klíčem, když je k požadovanému uživatelskému jménu připojen styl:
• ssh (1): při pokusu o vyčištění nekompletně otevřených kanálů vytvořených v multiplexu nebuďte smrtelně opuštěni. bz # 2079
• Přenosný OpenSSH:
• Hlavní oprava příspěvku / cygwin / README
• Opravte nezaradené přístupy v umac.c pro architektury přísné zarovnání. bz # 2101
• Povolení -Wsizeof-pointer-memaccess, pokud jej kompilátor podporuje. bz # 2100
• Opravte chybné chybové hlášení chyby příkazového řádku. bz # 1448
• Použijte metodu výměny klíčů SHA256 a ECC, pokud má libcrypto požadovanou podporu.
• Oprava chyby v dynamickém kódu pro předávání kódu SOCKS5 na architekturách přísné orientace
• Některé opravy přenositelnosti pro systém Android: * Nepokoušejte se používat poslední verzi systému Android; bz # 2111 * Použijte funkci openssl DES_crypt na platformách, které nemají funkci nativní krypt (); bz # 2112 * Zkouška pro fd_mask, howmany a NFDBITS spíše než pokoušet se vyčíslit plaformy, které je nemají. bz # 2085 * Nahradit S_IWRITE, který není standardizovaný, S_IWUSR, což je. bz # 2085 * Přidat nulovou implementaci endgrentu pro platformy, které ji nemají (např. Android) bz # 2087 * Podporované platformy, jako je Android, které postrádají struct passwd.pw_gecos. bz # 2086

Co je nového ve verzi 6.2p2:

• sshd (8) platformy, kde jádro podporuje.
• sshd (8): karanténa seccomp-filter nebude povolena, pokud jej záhlaví systému podporují v době kompilace, bez ohledu na to, zda může být povolena. Pokud systém run-time nepodporuje seccomp-filter, sshd se vrátí zpět do pseudo-sandboxu rlimit.
• ssh (1): Nepřipojujte do knihoven Kerberos. Není nutné pro klienta, pouze pro sshd (8). bz # 2072
• Opravte propojení GSSAPI na platformě Solaris, která používá jinou knihovnu GSSAPI. bz # 2073
• Oprava kompilace na systémech s openssl-1.0.0-fips.
• Opravte několik chyb v souborech specifikací RPM.

Co je nového ve verzi 5.8p1:

• Při selhání podpory SELinux opravte chybu při kompilaci
• Nepokoušejte se volat funkce SELinux při vypnutém SELinuxu. bz # 1851