The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз OpenSSH 9.4

10.08.2023 19:31

После пяти месяцев разработки опубликован релиз OpenSSH 9.4, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

Основные изменения:

  • В утилите ssh разрешено перенаправление на другой хост Unix-сокетов, используя команду "ssh -W".
  • В файл конфигурации ssh_config добавлена директива "Tag" и операция сопоставления "Match tag", позволяющие использовать теги для определения условий выбора определённого блока конфигурации.
    
       Match Address 192.168.0.*
    	 Tag trusted
       Match Group wheel
    	 Tag trusted
       Match Tag trusted
      	 AllowTcpForwarding yes
    
  • В ssh добавлена операция сопоставления "Match localnetwork" для привязки к адресам локальных сетевых интерфейсов.
  • В ssh, sshd и ssh-keygen добавлена возможность подключения расширений в формате KRL. Сами расширения на данном этапе разработки ещё недоступны.
  • В sshd в директивах AuthorizedPrincipalsCommand и AuthorizedKeysCommand реализована поддержка %-подстановок: "%D" для подстановки адреса шлюза, через который маршрутизируется текущий сеанс, и "%C" для подстановки адресов и номеров портов локальной и удалённой стороны соединения.
  • В утилите ssh-keygen по умолчанию на 50% увеличено число раундов в функции bcrypt при генерации ключей симметричного шифрования файлов с ключами, защищёнными паролем.
  • Прекращена поддержка старых версий библиотеки libcrypto. Для сборки теперь требуется наличие как минимум версии LibreSSL 3.1.0 или OpenSSL 1.1.1.
  • В качестве дополнительного пути блокирования уязвимости, связанной с возможностью загрузки модулей PKCS#11 в ssh-agent, запрещено указание относительных и неполных путей к модулям (ранее функция dlopen производила поиск модуля по имени в каталоге с библиотеками).


  1. Главная ссылка к новости (https://lists.mindrot.org/pipe...)
  2. OpenNews: Удалённо эксплуатируемая уязвимость в OpenSSH ssh-agent
  3. OpenNews: Обновление OpenSSH 9.3 с устранением проблем с безопасностью
  4. OpenNews: Прогресс в создании эксплоита для OpenSSH 9.1
  5. OpenNews: Выпуск OpenSSH 9.2 с устранением уязвимости, проявляющейся на этапе до аутентификации
  6. OpenNews: В OpenBSD для sshd применена перекомпоновка во время загрузки
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59579-openssh
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Anonimowitch (ok), 19:40, 10/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –37 +/
    Парадигма SSH давным-давно устарела.
     
     
  • 2.3, scriptkiddis (?), 19:46, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Но про альтернативу ты не расскажешь.
     
  • 2.5, pfg21 (ok), 19:47, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    расскажи ~~новый смысл бытия~~ новую парадигму :)
     
     
  • 3.12, Аноним (12), 20:03, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • –20 +/
    RDP
     
     
  • 4.19, Аноним (19), 20:50, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Чтоб в консоль зайти?
     
     
  • 5.22, Аноним (22), 21:16, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И факлики скопировать) Причём если в это время попытаться скопировать какой-нибудь текст в буфер обмена - начинай сначала)
     
  • 4.20, Аноним (22), 21:14, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • +9 +/
    жрёт как не в себя, не переживает плохих каналов связи
    rdpclip до сих пор регулярно душится при копировании в буфер
    jump не умеет в принципе
    проброс портов во все стороны - тоже
    авторизации по ключам, считай, что нет ин масс
    за более чем 2 сессии нужно платить, плюс если тыкаться не в сервер из коробки вообще не рабочий
    при некоторых обновлениях на одной из сторон можно получить полностью недоступный сервак
    дыры прям регулярно
    в макосях сделать его дефолтным вместо VNC - отдельный квест
    в виндах... не будет у тебя скоро нормальных винд

    Отличный выбор, если ты ПК видел только в школе

     
     
  • 5.23, penetrator (?), 21:22, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    аналог seek - отсутствует, sftp с докачкой и/или паралельной загрузкой тоже невозможно
     
  • 5.31, Аноньимъ (ok), 02:04, 11/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ssh тоже не переживает плохих каналов связи.

    А то как он клёво отваливается это вообще сказка, всё повисло и непонятно что делать.
    На контрл+с может не реагировать. Жесть вообще.

    Приложение на сервере может сдохнуть сразу, а может и нет.
    Какого черта вообще консоль на сервере дохнет при отключении клиента?

     
     
  • 6.36, Аноним. (?), 06:00, 11/08/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    mosh и tmux решает этот сценарий. А так да, без интернета соединение по интернету не работает.
     
     
  • 7.41, Аноньимъ (ok), 12:06, 11/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > mosh и tmux решает этот сценарий. А так да, без интернета соединение
    > по интернету не работает.

    Мы не о соединении говорим, а о программе, которая проблемы с соединением, которые неизбежны всегда, тупо игнорирует и намертво виснет.

     
     
  • 8.42, аНОНИМ (?), 16:08, 11/08/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Выставьте ServerAliveInterval и ServerAliveCountMax и хватит уже по-ламерски пла... текст свёрнут, показать
     
     
  • 9.44, Аноньимъ (ok), 18:29, 11/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это то решит проблему, без шуток, будет подвисать всего на минуту или сколько... текст свёрнут, показать
     
  • 6.45, Аноним (45), 21:30, 11/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А то как он клёво отваливается это вообще сказка, всё повисло и непонятно что делать.
    > На контрл+с может не реагировать. Жесть вообще.

    Читайте маны:
    -e escape_char
          Sets the escape character for sessions
          with a pty (default: '~' ) .  The escape
          character is only recognized at the
          beginning of a line.  The escape
          character followed by a dot ('.') closes
          the connection; followed by control-Z
          suspends the connection; and followed by
          itself sends the escape character once.
          Setting the character to ''none''
          disables any escapes and makes the
          session fully transparent.

     
  • 6.48, pfg21 (ok), 11:37, 21/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > ssh тоже не переживает плохих каналов связи.
    > А то как он клёво отваливается это вообще сказка, всё повисло и
    > непонятно что делать.
    > На контрл+с может не реагировать. Жесть вообще.

    control-c отправляется удаленному покдлючению, а оно не работает, и естевтенно оно не работает.    
    на локалке control-c не обрабатывается бай дефаулт. выключи окно кнопочкой мыши.

    > Приложение на сервере может сдохнуть сразу, а может и нет.
    > Какого черта вообще консоль на сервере дохнет при отключении клиента?

    а что с ней делать если подключение сломалось ??  
    открой для себя параметр    
    ClientAliveInterval 60    
    в /etc/ssh/sshd_config :)

     
     
  • 7.49, Аноньимъ (ok), 12:38, 21/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >а что с ней делать если подключение сломалось ??

    Подождать клиента восстанавливающего подключение?

     
     
  • 8.50, pfg21 (ok), 17:05, 28/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    и сколько ждать 10 секунд минуту полчаса ... текст свёрнут, показать
     
     
  • 9.51, Аноньимъ (ok), 17:54, 28/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Без разницы если восстанавливать подключение ssh не может ... текст свёрнут, показать
     
     
  • 10.52, pfg21 (ok), 16:18, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а как он это поймет мож через пять минут связь восстановится а он уже пере... текст свёрнут, показать
     
     
  • 11.53, Аноньимъ (ok), 16:26, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема решаема, есть разные подходы к её решению Конкретно ssh никак её не ре... текст свёрнут, показать
     
     
  • 12.54, pfg21 (ok), 17:30, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    аффтар жги хочу знать все а ssh и не должна ее решать проблема рваной сет... текст свёрнут, показать
     
     
  • 13.55, Аноньимъ (ok), 19:47, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Выше в обсуждении например mosh предлагают Но вы врёте, ничего вы знать не хоти... текст свёрнут, показать
     
  • 4.25, Аноним (25), 21:56, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Туннелировать умеет?
     
  • 2.9, Элита_Южного_Бутово (?), 19:58, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Нужна приложуха на электроне, чтоб там были красивые кнопы. А грязным терминалом только посетителей  смузибара пугать.
     
     
  • 3.13, Dzen Python (ok), 20:04, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужна Android JetPack Compose Material You App, в которой запускается App на электроне. 3/4 кнопочек нужно докупать через Google Play In-App Billing, но чтобы отключить рекламу, выскакивающую раз в три минуты - нужно купить подписку за 999,99$/Month <BEST CHOICE!>
     
     
  • 4.32, Аноньимъ (ok), 02:06, 11/08/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы забыли про ИИ обязательный который сам команды писать будет.
    НФТ, блокчейн для хранения ключей.
    Ещё облачный сервер обязательно.
    И логин через метаверс.
     
  • 3.21, Ivan1986 (?), 21:14, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://github.com/Eugeny/tabby

    В лучших традициях жанра, жаль только покупок в приложении не хватает

     
     
  • 4.43, Аноним (-), 17:17, 11/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > https://github.com/Eugeny/tabby
    > В лучших традициях жанра, жаль только покупок в приложении не хватает

    Еще не хватает встроенного майнера коинов. Автоматически заливаемого на управляемый хост, с отчислением процентов автору, чего скромничать то.

     
  • 4.47, Аноним (47), 09:27, 21/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Cпасибо, сейчас заценим! <3
     
  • 2.24, Аноним (24), 21:50, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Живее всех живых, альтернативы фактически нет.
    Есть штуки вроде mosh, но это тоже ssh.
    Честно говоря одна из тех штук которая просто работает. Разве что настраивать и дебажить openssh достаточно проблематично.
     
     
  • 3.40, pfg21 (ok), 09:41, 11/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть штуки вроде mosh, но это тоже ssh.
    > Честно говоря одна из тех штук которая просто работает. Разве что настраивать и дебажить openssh достаточно проблематично.

    вот и выросло поколение воспитанное ютупом :)    
    mosh относится к ssh только тем что использует ssh для запуска mosh сервера :) у mosh полностью свой протокол и своя система связи :)    
    ну а дебаг наверное изза того что прост не разобрался в выхлопе ssh -vvv ??

     
  • 2.37, User (??), 07:13, 11/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "MS-PSRP, я выбираю тебя!" - или что-то еще более другое?
     

  • 1.15, Аноним (15), 20:26, 10/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > расширений в формате KRL. Сами расширения на данном этапе разработки ещё недоступны.

    мало вам было Remote root в Roaming...

     
     
  • 2.18, Аноним (18), 20:32, 10/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Начальство просит исчо.
     

  • 1.27, Ilya Indigo (ok), 01:22, 11/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В утилите ssh разрешено перенаправление на другой хост Unix-сокетов, используя команду "ssh -W".

    Это можно теперь mysql/redis сокеты прокидывать?
    Нужна версия 9.4 и на клиенте и на сервере или только на клиенте?

     
     
  • 2.29, Аноним (29), 01:25, 11/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сокеты там давным давно можно прокидывать. Просто для этого нужно помимо AllowStreamLocalForwarding на сервере нужно разрешить ВНЕЗАПНО AllowTcpForwarding.
     

  • 1.28, Аноним (29), 01:24, 11/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, проверку AllowStreamLocalForwarding отвязали от AllowTcpForwarding, на которую оно завязано через функцию проверки доступа
    open_match в файле channels.c? Нет? Ну ладно, будем закрытия этого бага дальше ждать.
     
  • 1.30, Аноньимъ (ok), 02:00, 11/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Больше сложной запутанной конфигурации для критического инструмента защищённого канала связи.
     
     
  • 2.38, YetAnotherOnanym (ok), 08:17, 11/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошая защита простой не бывает. Ни лобовая броня танка, ни грозозащита трансформаторной подстанции, ни программа для защищённой связи.
     

  • 1.35, Аноним (35), 05:26, 11/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    топовый образчик опенсорс, без сомнения используемый всем серверным миром
     
  • 1.46, Аноним (46), 06:00, 15/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Через QUIC до сих пор не работает, хотя Draft RFC есть уже несколько лет.

    А QUIC очень нужен, потому что пробрасывать UDP сокеты было бы очень полезно.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру