Выпуск SSH-сервера Dropbear 2020.79

17.06.2020 16:50

Представлен новый выпуск Dropbear 2020.79, компактного сервера и клиента SSH, распространяемого под лицензией MIT и применяемого преимущественно на встраиваемых системах, таких как беспроводные маршрутизаторы. Dropbear отличается низким потреблением памяти (при статическом связывании с uClibc занимает всего 110kB), возможностью отключения лишней функциональности на этапе сборки и поддержкой сборки клиента и сервера в одном исполняемом файле по аналогии с busybox. Dropbear поддерживает перенаправление X11, совместим с файлом ключей OpenSSH (~/.ssh/authorized_keys) и может создавать мультисоединения с пробросом через транзитный хост.

В новом выпуске:

Добавлена поддержка алгоритма цифровой подписи Ed25519 в hostkeys и authorized_keys.
Добавлена поддержка протокола аутентификации на основе алгоритмов потокового шифра ChaCha20 и аутентификации сообщений Poly1305, разработанных Дэниэлом Бернштейном.
Добавлена поддержка формата цифровых подписей rsa-sha2, который в связи с прекращением поддержки sha-1 скоро будет обязателен для OpenSSH (существующие RSA-ключи смогут работать с новым форматом без изменения hostkeys/authorized_keys).
Реализация curve25519 заменена на более компактный вариант от проекта TweetNaCl.
Добавлена поддержка AES GCM (отключена по умолчанию).
Отключены по умолчанию CBC-шифры, 3DES, hmac-sha1-96 и перенаправление x11.
Решены проблемы с совместимостью с ОС IRIX.
Добавлен API для указания открытых ключей напрямую вместо использования authorized_keys.
В SCP устранена уязвимость CVE-2018-20685, допускающая изменение прав доступа на целевой каталог при отдаче сервером каталога с пустыми именем или точкой. При получении от сервера команды "D0777 0 \n" или "D0777 0 .\n" клиент применял изменение прав доступа к текущему каталогу.

исправить +14 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/53172-dropbear

Ключевые слова: dropbear, ssh

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (24)

1.1, Повидло19 (?), 16:54, 17/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Я его преимущественно применяю на удаленном сервере для разблокировки корневой ФС по SSH.

2.5, Аноним (5), 18:35, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
Почему его, а не какой-либо другой sshd сидящий на tmpfs ?

3.9, Аноним (9), 20:07, 17/06/2020 [^] [^^] [^^^] [ответить]	+3 +/–
наверное потому что он должен быть легковесным для встраивания в initrd

2.17, Аноним (17), 23:46, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
Правильный ответ Clevis and Tang Server.

1.2, Пажылая рыба (?), 16:55, 17/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+9 +/–
IRIX пацаны! 2020 год! ИРИКС!

2.3, Корец (?), 17:01, 17/06/2020 [^] [^^] [^^^] [ответить]	+6 +/–
Это красноречиво показывает, что при разработке по есть смысл поддерживать древние технологии, т.к. ими всё ещё где-то пользуются, а не стараться закапать всё подряд.

3.4, mos87 (ok), 17:34, 17/06/2020 [^] [^^] [^^^] [ответить]	–6 +/–
закопать всякую ОС-экзотику как раз таки надо. тем более оставшуюся в наследство от Unix Wars

3.6, Заноним (?), 19:04, 17/06/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Напуркуа этот abadonware нужен. Ему место в музее.

4.18, topin89 (ok), 23:53, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
Предположительно, или сам автор пользуется, или кто-то сделал PR и автор не стал отказывать. Во всех случаях это значит, что кто-то ещё пользуется. Может банки. Или правительства какие, кто их знает, в США вон до сих пор на COBOL'е сидят.

2.8, Stax (ok), 20:00, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
Больше доставляет что поддержка Ed25519 только в середине 2020 появилась. Мда...

3.10, anonymous (??), 20:31, 17/06/2020 [^] [^^] [^^^] [ответить]	+3 +/–
Значит раньше кому-то было не настолько нужно, чтобы взять да и добавить (или проспонсировать). Все-таки количество разработчиков (и спонсоров) явно поменьше чем у OpenSSH.

3.12, Аноним (12), 20:58, 17/06/2020 [^] [^^] [^^^] [ответить]

+1 +/–

ну так белки-истерички ведь не умеют кодить, а тем кто умеет - оно ненужно, модными никем не верифицированными кривыми обмазываться.

Вот irix сломали - а он как раз был нужен, и тот кто пользовался irix - быстренько починил себе и другим.

3.13, Кирилл (??), 21:39, 17/06/2020 [^] [^^] [^^^] [ответить]	+5 +/–
Если бы Влад Гришенко не запилил по фану - так бы и не было поддержки. Это опенсорс.

4.14, Аноним (14), 22:36, 17/06/2020 [^] [^^] [^^^] [ответить]	+3 +/–
Более того, он ещё не поленился и успешно бэкпортнул в openwrt.

2.15, Онаним (?), 23:26, 17/06/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Выпуск под PCDOS-совместимые планируется?

3.23, Аноним (23), 07:55, 19/06/2020 [^] [^^] [^^^] [ответить]	+/–
Сравнил иуху с носорогом...

2.19, Аноним (19), 07:02, 18/06/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Если звезды зажигают — значит это кому-нибудь нужно.

2.21, Erley (ok), 20:13, 18/06/2020 [^] [^^] [^^^] [ответить]	+/–
Да, это реально нечто :) Хотел бы я посмотеть/пообщаться с этими людьми...

1.7, Аноним (-), 19:42, 17/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Реализация curve25519 заменена на более компактный вариант от проекта TweetNaCl. И правда компактная штука.

2.11, Аноним (11), 20:46, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
x448/ed448 бы еще к tweetnacl приделать, но чот лень

1.16, Q2W (?), 23:38, 17/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Отключены по умолчанию CBC-шифры Но зачем?

2.20, Сейд (ok), 12:30, 18/06/2020 [^] [^^] [^^^] [ответить]	+/–
Режим сцепления блоков шифротекста подвержен атакам на целостность данных. Пользуйся Galois/Counter Mode.

3.22, Аноним (11), 01:45, 19/06/2020 [^] [^^] [^^^] [ответить]	+/–
gcm очень тяжелый без аппаратной акселерации (и ghash, и подразумеваемый aes), chacha20-poly1305 может оказаться раза в 2-3 быстрее aes256-gcm в зависимости от платформы, при той длине ключа.

4.24, Сейд (ok), 02:39, 20/06/2020 [^] [^^] [^^^] [ответить]	+/–
belt-datawrap, пожалуй, ещё быстрее будет.

Добавить комментарий

Текст: