forum.opennet.ru - "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительными механизмами защиты" (34)

"Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительными механизмами защиты"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительными механизмами защиты"	+/–
Сообщение от opennews (??), 01-Июл-24, 18:34
Опубликован релиз OpenSSH 9.8, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Помимо устранения отдельно анонсированной критической уязвимости (CVE-2024-6387), позволяющей добиться удалённого выполнения кода с правами root на стадии до прохождения аутентификации, в новой версии исправлена ещё одна менее опасная уязвимость и предложено несколько существенных изменений, нацеленных на повышение безопасности... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61473
Ответить \| Правка \| Cообщить модератору

Оглавление

И как таперь к старым linux ам подключаться , Аноним (2), 19:44 , 01-Июл-24, (2)

Я, видимо, пропустил, а где пишут, что старые линуксы не будут работать И что п, Аноним (3), 20:05 , 01-Июл-24, (3) +1
даже к старым линуксам могут подключаться одновременно несколько человек не жад, hshhhhh (ok), 20:39 , 01-Июл-24, (4) +1
По telnet, Аноним (6), 20:54 , 01-Июл-24, (6)
А как сейчас подключаетесь , Омнонном (?), 01:08 , 02-Июл-24, (7)
Используя SHA-1, потому что других алгосов там нет, и старые версии не отличают , Соль земли (?), 09:59 , 02-Июл-24, (16) –1
Используя такой же старый linux , Аноним (-), 06:00 , 03-Июл-24, (32)

А зачем в принципе передавать именно нажатия при авторизации Разве не проще соб, Алкоголизм (?), 03:51 , 02-Июл-24, (8) +1

Потому что помимо ввода пароля существует обычная работа с консолью А там удобн, Аноним (11), 06:47 , 02-Июл-24, (11) +1

Ввод пароля происходит явно ДО открытия сессии, т е это уж точно не обычная р, Ананим.orig (?), 08:01 , 02-Июл-24, (12)

И это не говоря о том, что все время думал что по сети летит хэш, а не сам парол, ананим.orig (?), 08:05 , 02-Июл-24, (13) +2

Зачем хэш, это же закрытыи канал , anonistrambler.ru (?), 09:39 , 02-Июл-24, (14) –2

А зачем слать пароль, если сравнивать все равно будет с хэшем из shadow Плюс , ананим.orig (?), 12:50 , 02-Июл-24, (20)

моя неправда согласно rfc https datatracker ietf org doc html rfc4252 section-, ананим.orig (?), 13:27 , 02-Июл-24, (21)

Какой хэш В зависимости от настроек pam на принимающей стороне может быть разли, _oleg_ (ok), 13:28 , 02-Июл-24, (22)

1 метод хеширования хранится вместе с хэшем в самом его начале, так называемый , ананим.orig (?), 05:27 , 03-Июл-24, (31)

Это просто id хэша, далее там ещё salt идёт Но это здесь не важно Потому как, _oleg_ (ok), 11:48 , 03-Июл-24, (37)

разумеется вы можете использовать все что угодно, хоть свой pam-модуль написатьн, ананим.orig (?), 16:53 , 03-Июл-24, (40)

Он это давно поддерживает - Вряд ли найдётся много современных установок sshd, _oleg_ (ok), 17:27 , 03-Июл-24, (41)

А чего в эту тему не написали ссылку про связи опенбзд с ФБР https www openne, Аноним (11), 06:42 , 02-Июл-24, (10) –1
Вынести бы ещё весь функционал в библиотеку, чтобы отпала необходимость в libssh, Соль земли (?), 10:09 , 02-Июл-24, (17)
Вот красавцы Как к старым коммутаторам подключаться-то Как они задолбали уже с, _oleg_ (ok), 13:30 , 02-Июл-24, (23) +1

Так подключайся к старым коммутаторм старой версией либы Они же не удалили преды, Аноним (-), 15:46 , 02-Июл-24, (25)

Да ты ж моё золото А где взять эту старую версию на новом дистре , _oleg_ (ok), 17:03 , 02-Июл-24, (26)

configuremake, Аноним (27), 20:48 , 02-Июл-24, (27)

Ну я почему-то другого и не ожидал Спасибо, не надо , _oleg_ (ok), 11:07 , 03-Июл-24, (34) +1

Ну, я, помню, какое-то время поддерживал ppa для openssl alpn nginx - пока не по, Аноним (27), 13:00 , 03-Июл-24, (38)

Я уже понял, что не видишь А они есть, между тем Буквально через пару новых ве, _oleg_ (ok), 13:23 , 03-Июл-24, (39)

у системного администратора, Роман (??), 21:19 , 02-Июл-24, (28) +1
Возьми старый дистр Заодно как раз разломают и тебя и коммутатор чтобы 2 раза н, Аноним (-), 21:32 , 02-Июл-24, (30)

Какой старый Куда я тебе его поставлю Как на новые тогда ходить коммутаторы К, _oleg_ (ok), 11:13 , 03-Июл-24, (36)

снимать биометрию пользователя , Аноним (24), 14:23 , 02-Июл-24, (24)
Выглядит как можно заменить на socket activation unit в системд над sshd-sessi, Роман (??), 21:21 , 02-Июл-24, (29)

В опенбсде его нету - так что нате вам с лопаты вон те чудеса вместо этого , Аноним (-), 06:03 , 03-Июл-24, (33)

Сообщения [Сортировка по времени | RSS]

2. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Аноним (2), 01-Июл-24, 19:44

И как таперь к старым linux'ам подключаться?

Ответить | Правка | Наверх | Cообщить модератору

3. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +1 +/–

Сообщение от Аноним (3), 01-Июл-24, 20:05

Я, видимо, пропустил, а где пишут, что старые линуксы не будут работать? И что подразумевается под старостью?

Ответить | Правка | Наверх | Cообщить модератору

4. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +1 +/–

Сообщение от hshhhhh (ok), 01-Июл-24, 20:39

даже к старым линуксам могут подключаться одновременно несколько человек. не жадничайте!

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Аноним (6), 01-Июл-24, 20:54

По telnet

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

7. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Омнонном (?), 02-Июл-24, 01:08

А как сейчас подключаетесь?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

16. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." –1 +/–

Сообщение от Соль земли (?), 02-Июл-24, 09:59

Используя SHA-1, потому что других алгосов там нет, и старые версии не отличают шифрование ключа от алгоса подписи ключа.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

32. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Аноним (-), 03-Июл-24, 06:00

> И как таперь к старым linux'ам подключаться?
Используя такой же старый linux :)

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

8. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +1 +/–

Сообщение от Алкоголизм (?), 02-Июл-24, 03:51

А зачем в принципе передавать именно нажатия при авторизации? Разве не проще собрать строку пароля на стороне клиента и попросту отправить её целиком? Либо, раз уж такая особенность протокола и парольной авторизации, то опять же набирать в буфер и передавать пачкой все нажатия, как какой-нибудь парольный менеждер. Разве остались ситуации, где требуется такой контроль ввода? Даже если подключить OTP, то это всё равно отправка другой такой же строки в большинстве случаев.

Ответить | Правка | Наверх | Cообщить модератору

11. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +1 +/–

Сообщение от Аноним (11), 02-Июл-24, 06:47

Потому что помимо ввода пароля существует обычная работа с консолью. А там удобнее чтобы работало как с обычным терминалом чем присылался текст и не известно как целевая машина будет работать с этим текстом. А тут если сказали ентер значит ентер, а не текст "нажат ентер". Но злые языки конечно знают что первичной целью был конечно же фингерпринтинг.

Ответить | Правка | Наверх | Cообщить модератору

12. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Ананим.orig (?), 02-Июл-24, 08:01

Ввод пароля происходит явно ДО открытия сессии, т.е. это уж точно не "обычная" работа с консолью.

Ответить | Правка | Наверх | Cообщить модератору

13. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +2 +/–

Сообщение от ананим.orig (?), 02-Июл-24, 08:05

И это не говоря о том, что все время думал что по сети летит хэш, а не сам пароль

Ответить | Правка | Наверх | Cообщить модератору

14. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." –2 +/–

Сообщение от anonistrambler.ru (?), 02-Июл-24, 09:39

Зачем хэш, это же закрытыи канал?

Ответить | Правка | Наверх | Cообщить модератору

20. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от ананим.orig (?), 02-Июл-24, 12:50

А зачем слать пароль, если сравнивать все равно будет с хэшем из shadow/..?
Плюс это практика проверенная десятилетиями

Ответить | Правка | Наверх | Cообщить модератору

21. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от ананим.orig (?), 02-Июл-24, 13:27

моя неправда:
согласно rfc https://datatracker.ietf.org/doc/html/rfc4252#section-8
вполне может быть и plaintext
с предварительной конвертацией и нормализацией при необходимости.
> Note that the 'plaintext password' value is encoded in ISO-10646 UTF-8.
в любом случае все это (логин, пароль) уходит одним пакетом, а не по нажатию каждой клавиши (с таймаутaми)
т.е. никакого «передавать именно нажатия при авторизации» не происходит — с чего ветка обсуждения и началась

Ответить | Правка | Наверх | Cообщить модератору

22. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от _oleg_ (ok), 02-Июл-24, 13:28

Какой хэш? В зависимости от настроек pam на принимающей стороне может быть различный способ проверки пароля. /etc/shadow, ldap, свой велосипед и т.д.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

31. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от ананим.orig (?), 03-Июл-24, 05:27

1. метод хеширования хранится вместе с хэшем в самом его начале, так называемый prefix (man 5 crypt).
Формат примерно такой - $y$…………:
$1$: MD5, $5$: SHA-256, $6$: SHA-512 sha512crypt, $gy$: gost-yescrypt, $y$: yescrypt
…
В современных бэкэндах (/etc/shadow, ldap, samba) хэши сохраняются именно в таком формате.
Хранение самого пароля в планарном виде считается моветоном.
2. Так что передавать по сети сам пароль нет необходимости, достаточно договорится о методе хэширования (что обычно и происходит)
3. И да, в ssh может(!) передаваться логин/пароль открыто , о чем я и написал выше в #21.
Но  это не имеет отношения к тому что обсуждали, потому что все равно идет одним пакетом, а не пакет на каждое нажатие клавиши

Ответить | Правка | Наверх | Cообщить модератору

37. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от _oleg_ (ok), 03-Июл-24, 11:48

> 1. метод хеширования хранится вместе с хэшем в самом его начале, так
> называемый prefix (man 5 crypt).
> Формат примерно такой - $y$…………:
> $1$: MD5, $5$: SHA-256, $6$: SHA-512 sha512crypt, $gy$: gost-yescrypt, $y$: yescrypt
  Это просто id хэша, далее там ещё salt идёт. Но это здесь не важно. Потому как это справедливо только для shadow и т.п.
> …
> В современных бэкэндах (/etc/shadow, ldap, samba) хэши сохраняются именно в таком формате.
А в ldap и mysql хранится так, как захочет соответсвующая pam-либа. Там другой формат может быть.

> Хранение самого пароля в планарном виде считается моветоном.
Что такое "планарный вид"? Чистый вид? Никто и не говорит про хранение в таком виде. Речь идёт про передачу внутри защищённого канала во время аутентификации.
> 2. Так что передавать по сети сам пароль нет необходимости, достаточно договорится
> о методе хэширования (что обычно и происходит)
  Не всегда. Есть всякие сложные схемы аутентификации (читай про gssapi и kerberos). И насколько я знаю, ничего такого при передаче пароля не происходит - он идёт чистым по зашифрованному каналу. По крайне мере раньше так было. И это адекватно. Потому как, если я захочу использвать у себя какой-нибудь распоследний blake3 для хранения хэшей паролей, а на машине с ssh-клиентом этого нет, то всё что ли? Финита ля комедия. Зайти не сможем.

Ответить | Правка | Наверх | Cообщить модератору

40. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от ананим.orig (?), 03-Июл-24, 16:53

разумеется вы можете использовать все что угодно, хоть свой pam-модуль написать
но чтобы это работало именно с ssh, нужно чтобы он поддерживал передачу именно пароля
(и была включена поддержка pam - man  sshd_config)
проверить  можно как-то так (во 2 строке - available SSH authentication methods):
> $ ssh -o PreferredAuthentications=none -o NoHostAuthenticationForLocalhost=yes localhost
> test@localhost: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
> или
> $ ssh -p 222 -o PreferredAuthentications=none -o NoHostAuthenticationForLocalhost=yes localhost
> test@localhost: Permission denied (publickey,keyboard-interactive).
> А в ldap и mysql хранится так, как захочет соответсвующая pam-либа. Там другой формат может быть.
не либа, а тот, кто это всё настраивал :D
может, но для этого придется собрать свою, «уникальную» во всех отношениях конфигурацию (аля 90-е)
именно поэтому в samba придумали "samba-tool user getpassword --decrypt-samba-gpg" и с AD это не прокатит - keytab file придумали не просто так.
И вообще, о чем вы спорите то?
> Речь идёт про передачу внутри защищённого канала во время аутентификации
да, если вы так настроите свою систему - свободу творчества никто не отменял

Ответить | Правка | Наверх | Cообщить модератору

41. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от _oleg_ (ok), 03-Июл-24, 17:27

> разумеется вы можете использовать все что угодно, хоть свой pam-модуль написать
> но чтобы это работало именно с ssh, нужно чтобы он поддерживал передачу
> именно пароля
Он это давно поддерживает :-). Вряд ли найдётся много современных установок sshd без UsePAM yes в конфиге. Это просто не удобно. Про передачу пароля - ну об этом, вроде, и речь изначально. Странно было бы обсуждать случай с передачей пароля без активации аутентификации по паролю на стороне sshd, не так ли?
> не либа, а тот, кто это всё настраивал :D
В смысле не либа? А что организует проверку пользователя/пароля на стороне sshd? Различные pam-модули - .so-файлы. Плагины, модули - пофигу как назвать. Это либа, которая связывается налету с программой.
> И вообще, о чем вы спорите то?
О том, что пароль передаётся в чистом виде и уже на стороне sshd проверяется pam'ом по выбранной схеме. Вот о чём. И помоему это очевидно настолько, что не понятно о чём тут спорить. sshd понятия не имеет какая схема хранения паролей и не должен. В этом смысл pam.
В ответ на:
"И это не говоря о том, что все время думал что по сети летит хэш, а не сам пароль"
и
"А зачем слать пароль, если сравнивать все равно будет с хэшем из shadow/..?"

Ответить | Правка | Наверх | Cообщить модератору

10. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." –1 +/–

Сообщение от Аноним (11), 02-Июл-24, 06:42

А чего в эту тему не написали ссылку про связи опенбзд с ФБР? https://www.opennet.ru/opennews/art.shtml?num=28998

Ответить | Правка | Наверх | Cообщить модератору

17. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Соль земли (?), 02-Июл-24, 10:09

Вынести бы ещё весь функционал в библиотеку, чтобы отпала необходимость в libssh/libssh2.

Ответить | Правка | Наверх | Cообщить модератору

23. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +1 +/–

Сообщение от _oleg_ (ok), 02-Июл-24, 13:30

Вот красавцы. Как к старым коммутаторам подключаться-то? Как они задолбали уже со своей псевдозаботой о моей безопасности. Ну выводите вы предупреждение при использовании dsa, но убирать совсем - идиоты.

Ответить | Правка | Наверх | Cообщить модератору

25. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Аноним (-), 02-Июл-24, 15:46

> Вот красавцы. Как к старым коммутаторам подключаться-то? Как они задолбали уже со
> своей псевдозаботой о моей безопасности. Ну выводите вы предупреждение при использовании
> dsa, но убирать совсем - идиоты.
Так подключайся к старым коммутаторм старой версией либы.
Они же не удалили предыдущие версии.
А то тебе послушать - сидели бы до сих пор на первопне

Ответить | Правка | Наверх | Cообщить модератору

26. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от _oleg_ (ok), 02-Июл-24, 17:03

>> Вот красавцы. Как к старым коммутаторам подключаться-то? Как они задолбали уже со
>> своей псевдозаботой о моей безопасности. Ну выводите вы предупреждение при использовании
>> dsa, но убирать совсем - идиоты.
> Так подключайся к старым коммутаторм старой версией либы.
> Они же не удалили предыдущие версии.
> А то тебе послушать - сидели бы до сих пор на первопне
Да ты ж моё золото. А где взять эту старую версию на новом дистре?

Ответить | Правка | Наверх | Cообщить модератору

27. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Аноним (27), 02-Июл-24, 20:48

./configure
make

Ответить | Правка | Наверх | Cообщить модератору

34. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +1 +/–

Сообщение от _oleg_ (ok), 03-Июл-24, 11:07

> ./configure
> make
Ну я почему-то другого и не ожидал. Спасибо, не надо.

Ответить | Правка | Наверх | Cообщить модератору

38. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Аноним (27), 03-Июл-24, 13:00

Ну, я, помню, какое-то время поддерживал ppa для openssl+alpn+nginx - пока не подошел EOL для дистрибутивов, где это было актуально. Можете точно так же поддерживать пакеты для своего любимого дистрибутива.
А если по простому, то не вижу проблем, если make install в какой-нибудь /opt.

Ответить | Правка | Наверх | Cообщить модератору

39. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от _oleg_ (ok), 03-Июл-24, 13:23

> Ну, я, помню, какое-то время поддерживал ppa для openssl+alpn+nginx - пока не
> подошел EOL для дистрибутивов, где это было актуально. Можете точно так
> же поддерживать пакеты для своего любимого дистрибутива.
> А если по простому, то не вижу проблем, если make install в
> какой-нибудь /opt.
Я уже понял, что не видишь. А они есть, между тем. Буквально через пару новых версий gcc/glibc/anylib старые проекты перестают собираться и их приходится править самому и это не всегда тривиально. У меня достаточно плясок с ./configure && make install на разных машинах по различным причинам на регулярной основе и так. Ещё +1 к этому списку никакого желания получать нет.

Ответить | Правка | Наверх | Cообщить модератору

28. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +1 +/–

Сообщение от Роман (??), 02-Июл-24, 21:19

у системного администратора

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

30. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Аноним (-), 02-Июл-24, 21:32

> Да ты ж моё золото. А где взять эту старую версию на новом дистре?
Возьми старый дистр. Заодно как раз разломают и тебя и коммутатор чтобы 2 раза не вставать.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

36. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от _oleg_ (ok), 03-Июл-24, 11:13

> Возьми старый дистр. Заодно как раз разломают и тебя и коммутатор чтобы
> 2 раза не вставать.
Какой старый? Куда я тебе его поставлю? Как на новые тогда ходить коммутаторы? Как их сломают через ssh, когда управление через отдельный vlan?

Ответить | Правка | Наверх | Cообщить модератору

24. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Аноним (24), 02-Июл-24, 14:23

>Данные о нажатиях позволяют
снимать биометрию пользователя.

Ответить | Правка | Наверх | Cообщить модератору

29. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Роман (??), 02-Июл-24, 21:21

> Таким образом исполняемый файл sshd теперь содержит минимальную функциональность, необходимую для приёма нового сетевого соединения и запуска sshd-session для обработки сеанса.
Выглядит как можно заменить на socket activation unit [в системд] над sshd-session, такая же минимальная функциональность. Кто специалист, подскажите, чем отличается?

Ответить | Правка | Наверх | Cообщить модератору

33. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..." +/–

Сообщение от Аноним (-), 03-Июл-24, 06:03

> Выглядит как можно заменить на socket activation unit [в системд] над sshd-session,
> такая же минимальная функциональность. Кто специалист, подскажите, чем отличается?
В опенбсде его нету - так что нате вам с лопаты вон те чудеса вместо этого.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
Сообщение от Аноним (2), 01-Июл-24, 19:44
И как таперь к старым linux'ам подключаться?
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от Аноним (3), 01-Июл-24, 20:05
	Я, видимо, пропустил, а где пишут, что старые линуксы не будут работать? И что подразумевается под старостью?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от hshhhhh (ok), 01-Июл-24, 20:39
	даже к старым линуксам могут подключаться одновременно несколько человек. не жадничайте!
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	6. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (6), 01-Июл-24, 20:54
	По telnet
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	7. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Омнонном (?), 02-Июл-24, 01:08
	А как сейчас подключаетесь?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	16. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	–1 +/–
	Сообщение от Соль земли (?), 02-Июл-24, 09:59
	Используя SHA-1, потому что других алгосов там нет, и старые версии не отличают шифрование ключа от алгоса подписи ключа.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	32. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (-), 03-Июл-24, 06:00
	> И как таперь к старым linux'ам подключаться? Используя такой же старый linux :)
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

8. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
Сообщение от Алкоголизм (?), 02-Июл-24, 03:51
А зачем в принципе передавать именно нажатия при авторизации? Разве не проще собрать строку пароля на стороне клиента и попросту отправить её целиком? Либо, раз уж такая особенность протокола и парольной авторизации, то опять же набирать в буфер и передавать пачкой все нажатия, как какой-нибудь парольный менеждер. Разве остались ситуации, где требуется такой контроль ввода? Даже если подключить OTP, то это всё равно отправка другой такой же строки в большинстве случаев.
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от Аноним (11), 02-Июл-24, 06:47
	Потому что помимо ввода пароля существует обычная работа с консолью. А там удобнее чтобы работало как с обычным терминалом чем присылался текст и не известно как целевая машина будет работать с этим текстом. А тут если сказали ентер значит ентер, а не текст "нажат ентер". Но злые языки конечно знают что первичной целью был конечно же фингерпринтинг.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Ананим.orig (?), 02-Июл-24, 08:01
	Ввод пароля происходит явно ДО открытия сессии, т.е. это уж точно не "обычная" работа с консолью.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+2 +/–
	Сообщение от ананим.orig (?), 02-Июл-24, 08:05
	И это не говоря о том, что все время думал что по сети летит хэш, а не сам пароль
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	–2 +/–
	Сообщение от anonistrambler.ru (?), 02-Июл-24, 09:39
	Зачем хэш, это же закрытыи канал?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от ананим.orig (?), 02-Июл-24, 12:50
	А зачем слать пароль, если сравнивать все равно будет с хэшем из shadow/..? Плюс это практика проверенная десятилетиями
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от ананим.orig (?), 02-Июл-24, 13:27
	моя неправда: согласно rfc https://datatracker.ietf.org/doc/html/rfc4252#section-8 вполне может быть и plaintext с предварительной конвертацией и нормализацией при необходимости. > Note that the 'plaintext password' value is encoded in ISO-10646 UTF-8. в любом случае все это (логин, пароль) уходит одним пакетом, а не по нажатию каждой клавиши (с таймаутaми) т.е. никакого «передавать именно нажатия при авторизации» не происходит — с чего ветка обсуждения и началась
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 02-Июл-24, 13:28
	Какой хэш? В зависимости от настроек pam на принимающей стороне может быть различный способ проверки пароля. /etc/shadow, ldap, свой велосипед и т.д.
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	31. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от ананим.orig (?), 03-Июл-24, 05:27
	1. метод хеширования хранится вместе с хэшем в самом его начале, так называемый prefix (man 5 crypt). Формат примерно такой - $y$…………: $1$: MD5, $5$: SHA-256, $6$: SHA-512 sha512crypt, $gy$: gost-yescrypt, $y$: yescrypt … В современных бэкэндах (/etc/shadow, ldap, samba) хэши сохраняются именно в таком формате. Хранение самого пароля в планарном виде считается моветоном. 2. Так что передавать по сети сам пароль нет необходимости, достаточно договорится о методе хэширования (что обычно и происходит) 3. И да, в ssh может(!) передаваться логин/пароль открыто , о чем я и написал выше в #21. Но это не имеет отношения к тому что обсуждали, потому что все равно идет одним пакетом, а не пакет на каждое нажатие клавиши
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 03-Июл-24, 11:48
	> 1. метод хеширования хранится вместе с хэшем в самом его начале, так > называемый prefix (man 5 crypt). > Формат примерно такой - $y$…………: > $1$: MD5, $5$: SHA-256, $6$: SHA-512 sha512crypt, $gy$: gost-yescrypt, $y$: yescrypt Это просто id хэша, далее там ещё salt идёт. Но это здесь не важно. Потому как это справедливо только для shadow и т.п. > … > В современных бэкэндах (/etc/shadow, ldap, samba) хэши сохраняются именно в таком формате. А в ldap и mysql хранится так, как захочет соответсвующая pam-либа. Там другой формат может быть. > Хранение самого пароля в планарном виде считается моветоном. Что такое "планарный вид"? Чистый вид? Никто и не говорит про хранение в таком виде. Речь идёт про передачу внутри защищённого канала во время аутентификации. > 2. Так что передавать по сети сам пароль нет необходимости, достаточно договорится > о методе хэширования (что обычно и происходит) Не всегда. Есть всякие сложные схемы аутентификации (читай про gssapi и kerberos). И насколько я знаю, ничего такого при передаче пароля не происходит - он идёт чистым по зашифрованному каналу. По крайне мере раньше так было. И это адекватно. Потому как, если я захочу использвать у себя какой-нибудь распоследний blake3 для хранения хэшей паролей, а на машине с ssh-клиентом этого нет, то всё что ли? Финита ля комедия. Зайти не сможем.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от ананим.orig (?), 03-Июл-24, 16:53
	разумеется вы можете использовать все что угодно, хоть свой pam-модуль написать но чтобы это работало именно с ssh, нужно чтобы он поддерживал передачу именно пароля (и была включена поддержка pam - man sshd_config) проверить можно как-то так (во 2 строке - available SSH authentication methods): > $ ssh -o PreferredAuthentications=none -o NoHostAuthenticationForLocalhost=yes localhost > test@localhost: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). > или > $ ssh -p 222 -o PreferredAuthentications=none -o NoHostAuthenticationForLocalhost=yes localhost > test@localhost: Permission denied (publickey,keyboard-interactive). > А в ldap и mysql хранится так, как захочет соответсвующая pam-либа. Там другой формат может быть. не либа, а тот, кто это всё настраивал :D может, но для этого придется собрать свою, «уникальную» во всех отношениях конфигурацию (аля 90-е) именно поэтому в samba придумали "samba-tool user getpassword --decrypt-samba-gpg" и с AD это не прокатит - keytab file придумали не просто так. И вообще, о чем вы спорите то? > Речь идёт про передачу внутри защищённого канала во время аутентификации да, если вы так настроите свою систему - свободу творчества никто не отменял
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 03-Июл-24, 17:27
	> разумеется вы можете использовать все что угодно, хоть свой pam-модуль написать > но чтобы это работало именно с ssh, нужно чтобы он поддерживал передачу > именно пароля Он это давно поддерживает :-). Вряд ли найдётся много современных установок sshd без UsePAM yes в конфиге. Это просто не удобно. Про передачу пароля - ну об этом, вроде, и речь изначально. Странно было бы обсуждать случай с передачей пароля без активации аутентификации по паролю на стороне sshd, не так ли? > не либа, а тот, кто это всё настраивал :D В смысле не либа? А что организует проверку пользователя/пароля на стороне sshd? Различные pam-модули - .so-файлы. Плагины, модули - пофигу как назвать. Это либа, которая связывается налету с программой. > И вообще, о чем вы спорите то? О том, что пароль передаётся в чистом виде и уже на стороне sshd проверяется pam'ом по выбранной схеме. Вот о чём. И помоему это очевидно настолько, что не понятно о чём тут спорить. sshd понятия не имеет какая схема хранения паролей и не должен. В этом смысл pam. В ответ на: "И это не говоря о том, что все время думал что по сети летит хэш, а не сам пароль" и "А зачем слать пароль, если сравнивать все равно будет с хэшем из shadow/..?"
	Ответить \| Правка \| Наверх \| Cообщить модератору

10. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	–1 +/–
Сообщение от Аноним (11), 02-Июл-24, 06:42
А чего в эту тему не написали ссылку про связи опенбзд с ФБР? https://www.opennet.ru/opennews/art.shtml?num=28998
Ответить \| Правка \| Наверх \| Cообщить модератору

17. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
Сообщение от Соль земли (?), 02-Июл-24, 10:09
Вынести бы ещё весь функционал в библиотеку, чтобы отпала необходимость в libssh/libssh2.
Ответить \| Правка \| Наверх \| Cообщить модератору

23. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
Сообщение от _oleg_ (ok), 02-Июл-24, 13:30
Вот красавцы. Как к старым коммутаторам подключаться-то? Как они задолбали уже со своей псевдозаботой о моей безопасности. Ну выводите вы предупреждение при использовании dsa, но убирать совсем - идиоты.
Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (-), 02-Июл-24, 15:46
	> Вот красавцы. Как к старым коммутаторам подключаться-то? Как они задолбали уже со > своей псевдозаботой о моей безопасности. Ну выводите вы предупреждение при использовании > dsa, но убирать совсем - идиоты. Так подключайся к старым коммутаторм старой версией либы. Они же не удалили предыдущие версии. А то тебе послушать - сидели бы до сих пор на первопне
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 02-Июл-24, 17:03
	>> Вот красавцы. Как к старым коммутаторам подключаться-то? Как они задолбали уже со >> своей псевдозаботой о моей безопасности. Ну выводите вы предупреждение при использовании >> dsa, но убирать совсем - идиоты. > Так подключайся к старым коммутаторм старой версией либы. > Они же не удалили предыдущие версии. > А то тебе послушать - сидели бы до сих пор на первопне Да ты ж моё золото. А где взять эту старую версию на новом дистре?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (27), 02-Июл-24, 20:48
	./configure make
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от _oleg_ (ok), 03-Июл-24, 11:07
	> ./configure > make Ну я почему-то другого и не ожидал. Спасибо, не надо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (27), 03-Июл-24, 13:00
	Ну, я, помню, какое-то время поддерживал ppa для openssl+alpn+nginx - пока не подошел EOL для дистрибутивов, где это было актуально. Можете точно так же поддерживать пакеты для своего любимого дистрибутива. А если по простому, то не вижу проблем, если make install в какой-нибудь /opt.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 03-Июл-24, 13:23
	> Ну, я, помню, какое-то время поддерживал ppa для openssl+alpn+nginx - пока не > подошел EOL для дистрибутивов, где это было актуально. Можете точно так > же поддерживать пакеты для своего любимого дистрибутива. > А если по простому, то не вижу проблем, если make install в > какой-нибудь /opt. Я уже понял, что не видишь. А они есть, между тем. Буквально через пару новых версий gcc/glibc/anylib старые проекты перестают собираться и их приходится править самому и это не всегда тривиально. У меня достаточно плясок с ./configure && make install на разных машинах по различным причинам на регулярной основе и так. Ещё +1 к этому списку никакого желания получать нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от Роман (??), 02-Июл-24, 21:19
	у системного администратора
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	30. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (-), 02-Июл-24, 21:32
	> Да ты ж моё золото. А где взять эту старую версию на новом дистре? Возьми старый дистр. Заодно как раз разломают и тебя и коммутатор чтобы 2 раза не вставать.
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору