Portable OpenSSH

A Hordozható OpenSSH egy nyílt forráskódú szoftverprojekt, amely az OpenSSH (Open Source Secure Shell) protokollcsalád hordozható verziója, amelyet egyre több ember használja az interneten . Az eltolásból úgy tervezték meg, hogy titkosítsa az összes hálózati forgalmat, beleértve a jelszavakat is, annak érdekében, hogy hatékonyan kiküszöbölhesse azokat az esetleges támadásait, amelyeket nem tud előre jelezni, például a kapcsolódási kísérleteket vagy lehallgatásokat.

A legfontosabb jellemzők közé tartozik a Blowfish, az AES, a 3DES és az Arcfour algoritmusok, az X11 átirányítás az X Window System forgalom titkosítása, a Kerberos hitelesítés, a nyilvános kulcs és az egyszeri jelszó protokollok alapján történő erős hitelesítés port átirányítás a régi protokollok csatornáinak titkosítása révén.

Ezenkívül a szoftvert az SSO (Single-Sign-On) specifikáció, az AFS és a Kerberos jegyletadás, az SFTP (Secure FTP) ügyfél és a kiszolgáló támogatása SSH1 és SSH2 protokollon, adatcsomagoláson , és az interoperabilitás, amely a programnak megfelel az SSH 1.3, 1.5 és 2.0 protokoll szabványoknak.

Mit tartalmaz?

A telepítés után az OpenSSH automatikusan kicseréli a Telnet és a rlogin segédprogramokat az SSH (Secure Shell) programmal, valamint az FTP eszközzel az SFTP és az RCP segítségével. Ezenkívül az SSH démon (sshd) és számos hasznos segédprogram, például ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan és sftp-
A kapucnival és a rendelkezésre állás alatt

Az egész projektet C programozási nyelvben írták le, és azt minden egyes GNU / Linux operációs rendszer univerzális forrást tartalmazó archívumaként terjesztik, lehetővé téve a 32 bites vagy 64 bites (ajánlott) számítógépek telepítését.

Kérjük, vegye figyelembe, hogy a tarball források igénylik, hogy a telepítést megelőzően állítsa be és fordítsa össze a projektet, ezért javasoljuk a végfelhasználóknak, hogy próbálják telepíteni a GNU / Linux operációs rendszer alapértelmezett szoftvercsomagjait.

Újdonság ebben a kiadásban:

• ssh (1), sshd (8): Javítsa ki a fordításokat az OpenSSL által nem támogatott titkosítások automatikus letiltásával. bz # 2466
• misc: A VA_COPY makró definíciójához kapcsolódó AIX fordító néhány verziójának javítása. bz # 2589
• sshd (8): engedélyezzen több architektúrát a seccomp-bpf homokdoboz engedélyezéséhez. bz # 2590
• ssh-agent (1), sftp-server (8): A folyamatkövetés kikapcsolása a Solaris rendszeren a setpflag (__ PROC_PROTECT, ...) használatával. bz # 2584
• sshd (8): A Solaris-ban ne hívja a Solaris setproject () -ot UsePAM-vel = igen, ez a PAM felelőssége. bz # 2425

Újdonság a verzióban:

• ssh (1), sshd (8) automatikusan letiltja az OpenSSL által nem támogatott titkosítókat. bz # 2466
• misc: A VA_COPY makró definíciójához kapcsolódó AIX fordító néhány verziójának javítása. bz # 2589
• sshd (8): engedélyezzen több architektúrát a seccomp-bpf homokdoboz engedélyezéséhez. bz # 2590
• ssh-agent (1), sftp-server (8): A folyamatkövetés kikapcsolása a Solaris rendszeren a setpflag (__ PROC_PROTECT, ...) használatával. bz # 2584
• sshd (8): A Solaris-ban ne hívja a Solaris setproject () -ot UsePAM-vel = igen, ez a PAM felelőssége. bz # 2425

Az újdonság a 7.4p1 verzióban:

• ssh (1), sshd (8): OpenSSL. bz # 2466
• misc: A VA_COPY makró definíciójához kapcsolódó AIX fordító néhány verziójának javítása. bz # 2589
• sshd (8): engedélyezzen több architektúrát a seccomp-bpf homokdoboz engedélyezéséhez. bz # 2590
• ssh-agent (1), sftp-server (8): A folyamatkövetés kikapcsolása a Solaris rendszeren a setpflag (__ PROC_PROTECT, ...) használatával. bz # 2584
• sshd (8): A Solaris-ban ne hívja a Solaris setproject () -ot UsePAM-vel = igen, ez a PAM felelőssége. bz # 2425

Újdonság a 7.3p1 verzióban:

• ssh (1), sshd (8): Javítsa ki a fordításokat az OpenSSL által nem támogatott titkosítások automatikus letiltásával. bz # 2466
• misc: A VA_COPY makró definíciójához kapcsolódó AIX fordító néhány verziójának javítása. bz # 2589
• sshd (8): engedélyezzen több architektúrát a seccomp-bpf homokdoboz engedélyezéséhez. bz # 2590
• ssh-agent (1), sftp-server (8): A folyamatkövetés kikapcsolása a Solaris rendszeren a setpflag (__ PROC_PROTECT, ...) használatával. bz # 2584
• sshd (8): A Solaris-ban ne hívja a Solaris setproject () -ot UsePAM-vel = igen, ez a PAM felelőssége. bz # 2425

Az újdonság a 7.2p2-es verzióban:

• ssh (1), sshd (8): kompatibilitási megoldások hozzáadása a FuTTY-hez
• ssh (1), sshd (8): finomítsa a kompatibilitási megoldásokat a WinSCP-hez
• Az ssh (1) és az ssh-keygen (1) számos memóriahibát (dupla mentes, inicializálatlan memóriától stb.) rögzít. Jelentette: Mateusz Kocielski.

Az újdonság a 7.1p1 verzióban:

• Hibajavítások:
• ssh (1), sshd (8): kompatibilitási megoldások hozzáadása a FuTTY-hez
• ssh (1), sshd (8): finomítsa a kompatibilitási megoldásokat a WinSCP-hez
• Az ssh (1) és az ssh-keygen (1) számos memóriahibát (dupla mentes, inicializálatlan memóriától stb.) rögzít. Jelentette: Mateusz Kocielski.


• sshd (8): Format UsePAM beállítás az sshd használata esetén

Újdonság -T, a bz # 2346 része

• Keresse meg a "$ {host} -ar" kifejezést az "ar" előtt, így könnyebbé teheti a kereszthivatkozásokat; bz # 2352.
• Több hordozható kompilaciós javítás: bz # 2402, bz # 2337, bz # 2370
• modulok (5): DH-GEX modul frissítése

Az újdonság a 6.8p1 verzióban:

• Támogatás - nélkül-openssl az idő beállításakor. Letiltja és eltávolítja az OpenSSL függőségét. Számos funkciót, beleértve az 1-es SSH protokollt, nem támogatják, és a kriptográfiai beállítások nagymértékben korlátozottak. Ez csak a natív arc4random vagy / dev / urandom rendszerekkel működik. Nagyon kísérletinek tekinthető most.
• Támogatás - without-ssh1 opció az idő beállításakor. Letiltja az SSH protokoll 1 támogatását.
• sshd (8): Fix összeállítás az IPv6 támogatással rendelkező rendszerek esetén utmpx-ben; bz # 2296
• A súgó egyéni szolgáltatásnevének engedélyezése a Cygwin-on. Lehetővé teszi több sshd futását különböző szolgáltatásnevekkel.

Az újdonság a 6.7p1 verzióban:

• A hordozható OpenSSH most támogatja az épületet a libressl-hordozón.
• A hordozható OpenSSH most openssl 0.9.8f vagy újabb szükséges. Az idősebb verziók már nem támogatottak.
• Az OpenSSL verzióban ellenőrizze a fix verziófrissítéseket (de ne csökkentsék) Debian bug # 748150.
• sshd (8): A Cygwin-nál határozza meg a kiváltságok szétválasztó felhasználóját a futásidő alatt, mivel szükség lehet domainfiókra.
• sshd (8): Ne próbálja meg használni a vhangupot Linuxon. Ez nem működik nem root felhasználók számára, és számukra csak a tty beállításokat rendezi.
• CLOCK_BOOTTIME használata a CLOCK_MONOTONIC előnyben részesítése esetén, ha rendelkezésre áll. Úgy véli, hogy az eltöltött időt felfüggesztették, ezáltal biztosítva, hogy az időtúllépések (pl. bz # 2228
• Az ed25519-nek az opensshd.init init scripthez ad hozzá támogatást.
• sftp-server (8): A támogatható platformokon a prctl () használatával megakadályozzuk, hogy az sftp-server elérje a / proc / self / {mem, maps}

Az újdonság a 6.5p1 verzióban:

• Új funkciók:
• ssh (1), sshd (8): Támogatja a kulcscserét az elliptikus görbe Diffie Hellman segítségével a Daniel Bernstein Curve25519-ben. Ez a kulcscsere módszer az alapértelmezett, ha az ügyfél és a kiszolgáló is támogatja.
• ssh (1), sshd (8): Az Ed25519 támogatása nyilvános kulcstípusként. Az Ed25519 egy elliptikus görbe aláírási rendszer, amely jobb biztonságot nyújt, mint az ECDSA és a DSA, valamint a jó teljesítmény. Használható mind a felhasználói, mind a gazdagulcson.
• Adjon hozzá egy új, titkos kulcsformátumot, amely bcrypt KDF-et használ a pihentető billentyűk jobb védelmére. Ez a formátum feltétel nélkül használható az Ed25519 kulcsokra, de felkérhető más típusú meglévő kulcsok generálására vagy mentésére a -o ssh-keygen (1) opcióval. Az új formátumot a közeljövőben az alapértelmezettre szeretnénk állítani. Az új formátum adatai a PROTOCOL.key fájlban vannak.
• ssh (1), sshd (8): Új szállítási kód hozzáadása "chacha20-poly1305@openssh.com" amely egyesíti a Daniel Bernstein ChaCha20 stream kódolóját és a Poly1305 MAC-t hitelesített titkosítási mód létrehozására. A részletek a PROTOCOL.chacha20poly1305 fájlban vannak.
• ssh (1), sshd (8): Az RSA + MD5 aláírási sémát használó régi védett ügyfelek és kiszolgálók RSA kulcsainak visszautasítása. Ezekkel az ügyfelekkel / kiszolgálókkal továbbra is kapcsolódhat, de csak a DSA kulcsok fogadhatók el, és az OpenSSH teljes mértékben elutasítja a kapcsolatot egy későbbi kiadásban.
• ssh (1), sshd (8): Korlátozza a régi védett ügyfeleket és kiszolgálókat, amelyek gyengébb kulcscsere-hash-számítást használnak.
• ssh (1): növelje az egyes szimmetrikus kulcsméretekhez kért Diffie-Hellman csoport méretét. Új értékek a NIST Special Publication 800-57-től, az RFC4419 által meghatározott felső határig.
• ssh (1), ssh-agent (1): Támogatja a pkcs # 11 tokokat, amelyek nyers nyilvános kulcsok helyett csak az X.509 parancsokat kínálják (bz # 1908).
• ssh (1): Adjon hozzá egy ssh_config (5) "Match & quot; olyan kulcsszó, amely lehetővé teszi a feltételes konfiguráció alkalmazását a hostname, a felhasználó és az önkényes parancsok egyeztetésével.
• ssh (1): Az ügyféloldali gazdanév-kanonizálás támogatása a ssh_config (5) DNS-utótagjai és szabályai alapján. Ez lehetővé teszi, hogy a nem minősített neveket a teljesen minősített domainnevekhez canonicalizálják, ezzel kiküszöbölve a kétértelműséget, amikor felkeresi a known_hosts kulcsokat, vagy ellenőrzi a gazda tanúsítványneveit.
• sftp-server (8): Hozzáadhatja a névjegyzék engedélyezésének engedélyezését és / vagy a fekete lista sftp protokollkéréseket.
• sftp-server (8): Adjon hozzá egy sftp "fsync@openssh.com" hogy támogassa az fsync (2) hívását egy nyitott fájllal.
• sshd (8): Adjon hozzá egy ssh_config (5) PermitTTY-t a TTY elosztás letiltásához, tükrözve a régebbi, engedélyezett-pty-engedély nélküli opciót.
• ssh (1): Adjon hozzá egy ssh_config ProxyUseFDPass opciót, amely támogatja a ProxyCommands használatát, amely létrehozza a kapcsolatot, majd továbbítja a csatlakoztatott fájlleíró vissza az ssh (1) -be. Ez lehetővé teszi a ProxyCommand számára a kilépéshez, és nem az adatátvitelhez.
• Bugfixek:
• ssh (1), sshd (8): Beágyazott tanúsítványok által okozott potenciális stack kimerülés.
• ssh (1): bz # 1211: a BindAddress a UsePrivilegedPort használatával dolgozik.
• sftp (1): bz # 2137: rögzíti az előrehaladási számlálót a folytatott átvitelhez.
• ssh-add (1): bz # 2187: ne kérje az intelligens kártya PIN-kódját, amikor eltávolítja a kulcsokat az ssh-agentből.
• sshd (8): bz # 2139: fix re-exec backback, ha az eredeti sshd bináris nem hajtható végre.
• ssh-keygen (1): A relatív megadott tanúsítvány lejárati idejét az aktuális időhöz képest, és nem az érvényesség kezdési idejéhez.
• sshd (8): bz # 2161: javítsa ki az AuthorizedKeysCommand egy Match blokk belsejében.
• sftp (1): bz # 2129: egy fájllal való szimbolikus összekapcsolása helytelenül kánonizálná a célt.
• ssh-agent (1): bz # 2175: a PKCS # 11 ügynök segédprogram végrehajtható használatának utólagos feloldása.
• sshd (8): A munkamenetek naplózásának javítása a felhasználói név, a távoli gép és a port, a munkamenet típusa (shell, parancs stb.) és a hozzárendelt TTY (ha van ilyen)
• sshd (8): bz # 1297: mondja el az ügyfelet (hibakeresési üzenet útján), amikor a szerver GatewayPorts beállítása felülírta az előnyben részesített hallgatási címet.
• sshd (8): bz # 2162: jelentési portot tartalmaz a rossz protokoll banner üzenetben.
• sftp (1): bz # 2163: fix hiba a memóriában a do_readdir () függvényében.
• sftp (1): bz # 2171: ne szivassa le a fájlleírást hiba miatt.
• sshd (8): Adja meg a helyi címet és portot a következő helyen: & quot; Kapcsolat -ból ... & quot; üzenet (csak a loglevel & gt; = verbose alatt látható).
• Hordozható OpenSSH:
• Kérjük, vegye figyelembe, hogy ez az utolsó olyan verziója a Portable OpenSSH-nek, amely támogatja az OpenSSL verzióját a 0.9.6 előtt. A támogatás (azaz SSH_OLD_EVP) a 6.5p1 kiadás után lesz eltávolítva.
• A hordozható OpenSSH megpróbálja összeállítani és összekapcsolni a Linux, az OS X és az OpenBSD pozíció független végrehajthatóságát a legutóbbi gcc-szerű fordítókkal kapcsolatban. Egyéb platformok és régebbi / egyéb fordítók kérhetik ezt a --with-pie configure zászló használatával.
• Számos más eszköztárhoz kapcsolódó kikeményítési opciót használnak automatikusan, ha rendelkezésre állnak, beleértve a -ftrapv-ot az aláírt teljes egész szám túlcsordulásának megszakításához és a dinamikus összekapcsolási információk írásvédelméhez. Ezeknek a beállításoknak a használata nem engedélyezhető a "without-hardening configure" jelző használatával.
• Ha az eszköztár támogatja, az egyik -fstack-protector-strong, -fstack-protector-all vagy -fstack-protector kompilációs zászló arra szolgál, hogy őröket csatoljon a támadások enyhítésére a verem túlcsordulásai alapján. Ezeknek a beállításoknak a használata a --without-stackprotect configure opcióval kikapcsolható.
• sshd (8): A FreeBSD 10-ben bevezetett Capsicum API használatával támogatást nyújt az előhitelesítési homokozóhoz.
• Váltson egy ChaCha20 alapú arc4random () PRNG-re olyan platformokra, amelyek nem adják meg a sajátjukat.
• sshd (8): bz # 2156: visszaállítja a Linux oom_adj beállítást a SIGHUP kezelésénél, hogy viselkedjen a retart alatt.
• sshd (8): bz # 2032: használja a helyi felhasználónevet a krb5_kuserok csekk helyett a teljes ügyfélnevet, amely a felhasználó @ REALM lehet.
• ssh (1), sshd (8): Ellenőrizze mind az ECC NID számok jelenlétét az OpenSSL-ben, és hogy ténylegesen működnek. A Fedora (legalábbis) rendelkezik NID_secp521r1 megoldással, amely nem működik.
• bz # 2173: használja a pkg-config --libs-et a helyes -L helyhez a libedithez.

Az újdonság a 6.4p1 verzióban:

• Ez a kiadás biztonsági hibát javít: sshd (8) : javítson ki egy memóriahiba problémát, amelyet az AES-GCM titkosítás kiválasztásakor váltott ki. A sérülékenység részletes részletei a következő címen érhetők el: http://www.openssh.com/txt/gcmrekey.adv

Az újdonság a 6.3p1 verzióban:

• Jellemzők:
• sshd (8): adj hozzá ssh-agent (1) támogatást sshd (8); lehetővé teszi a titkosított host kulcsokat vagy host kulcsokat az intelligens kártyákon.
• ssh (1) / sshd (8): engedélyezheti az opcionális időalapú újraindítást egy másik argumentumon keresztül a meglévő RekeyLimit opcióhoz. A RekeyLimit az sshd_config alatt és az ügyfélen is támogatott.
• sshd (8): szabványosítja az adatok naplózását a felhasználói hitelesítés során.
• A bemutatott kulcs / cert és a távoli felhasználónév (ha van) bejelentkezett a hitelesítő siker / hibaüzenetben ugyanazon a naplósoron, mint a helyi felhasználónév, a távoli gazdagép / port és a protokoll. A tanúsítványok tartalma és az aláíró CA kulcs ujjlenyomatja is naplózva van.
• Az egyetlen vonalra vonatkozó összes releváns információ magában foglalja a naplóelemzést, mivel többé nem szükséges a több naplóbejegyzésen szétszórt információk összekapcsolása.
• ssh (1): adja hozzá a lekérdezés képességét, amely a binárisan támogatja a kódolást, a MAC algoritmusokat, a kulcsfajtákat és a kulcscsere módokat.
• ssh (1): support ProxyCommand = - támogatás olyan esetekben, ahol a stdin és a stdout már megmutatja a proxyt.
• ssh (1): allow IdentityFile = nincs
• ssh (1) / sshd (8): add -E opció az ssh és sshd fájlokhoz a hibakeresési naplók hozzáadásához egy megadott fájlhoz stderr vagy syslog helyett.
• sftp (1): a részleges letöltések folytatásának támogatása a & quot; reget & quot; parancsot és az sftp parancssoron vagy a & quot; get & quot; commandline a & quot; -a & quot; (függelék) lehetőséget.
• ssh (1): adj hozzá egy & quot; IgnoreUnknown & quot; konfigurációs lehetőség az ismeretlen konfigurációs irányelvekből eredő hibák szelektív elfojtására.
• sshd (8): a hitelesítési módszerek által felsorolt ​​hitelesítési módokhoz csatolt részmódszerek támogatása.
• Bugfixek:
• sshd (8): a tanúsítvány elfogadásának megtagadása abban az esetben, ha a CA kulcs másik típusának kulcsa az engedélyezett kulcsok megjelenésekor megjelenik a CA kulcs előtt.
• ssh (1) / ssh-agent (1) / sshd (8): Használjon monoton időforrást az időzítők számára,
• sftp (1): a progressmeter frissítése az adatok nyugtázásakor, nem pedig elküldéskor. bz # 2108
• ssh (1) / ssh-keygen (1): hibaüzenetek javítása, ha az aktuális felhasználó nem létezik / etc / passwd; bz # 2125
• ssh (1): állítsa vissza a nyilvános kulcsokat a részleges hitelesítési siker után
• ssh-agent (1): a SIGINT-et követően tisztítsa meg a socket fájlokat hibakeresési módban; bz # 2120
• ssh (1) és mások: ne tévesszen el hibaüzenetet törött rendszervezérlő konfigurációk esetén; bz # 2122
• ssh (1): állítsa be a TCP nodelay-t a -N-vel indított kapcsolatokhoz; bz # 2124
• ssh (1): helyes kéziköny a engedélyezési követelményekhez ~ / .ssh / config; bz # 2078
• ssh (1): javítsa ki a ControlPersist időtúllépését, amely nem indít el olyan esetekben, amikor a TCP kapcsolatok felfüggesztésre kerültek. bz # 1917
• ssh (1): megfelelő ControlPersist mester felügyelete a vezérlő terminálról.
• sftp (1): elkerülje a lebegés összeomlását, ha többbájtos karaktert támogat. bz # 1990
• sshd (8): az sshd -D futtatásakor zárja be a stderr parancsot, hacsak nem kifejezetten kértük a stderr naplózását. bz # 1976
• ssh (1): fix incomplete bzero; bz # 2100
• sshd (8): naplóz és hiba, és kilép, ha a ChrootDirectory van megadva és gyökér jogosultság nélkül fut.
• A regressziós tesztcsomag számos fejlesztése. Különösen a naplófájlok mentése az ssh és az sshd mentése után hibák.
• Számos memória szivárgást javít. bz # 1967 bz # 2096 és mások
• sshd (8): javítsa a nyilvános kulcsú hitelesítést, ha a: stílus csatolt a kért felhasználónévhez.
• ssh (1): ne fáradtan lépjen ki a multiplexelés által létrehozott, nem teljesen megnyíló csatornák megtisztításakor. bz # 2079
• Hordozható OpenSSH:
• A contrib / cygwin / README főbb felújítása
• Az umac.c fájlba rendezett, nem igazított hozzáférések szigorú beállítási architektúrákhoz. bz # 2101
• Engedélyezi -Wsizeof-pointer-memaccess, ha a fordító támogatja. bz # 2100
• Fix hibás parancssori hibák javítása. bz # 1448
• Csak az SHA256 és az ECC alapú kulcscsere módszereit használja, ha a libcrypto rendelkezik a szükséges támogatási eszközökkel.
• A SOCKS5 dinamikus továbbítási kódjának szigorú illesztési architektúrákkal való ütközésének javítása.
• Számos hordozhatósági javítás az Android számára: * Ne próbálja meg használni az utolsó naplót az Androidon; bz # 2111 * Visszatér az openssl DES_crypt függvényére olyan platormoknál, amelyeknek nincs natív crypt () függvényük; bz # 2112 * Ellenőrizze az fd_mask, howmany és NFDBITS teszteket, nem pedig azon tömbök számát, amelyek nem rendelkeznek velük. bz # 2085 * Az S_IWRITE helyettesítést, amely nem szabványosított, az S_IWUSR, azaz a. bz # 2085 * Adja hozzá az endgrent null implementációját olyan platformokhoz, amelyeknek nincsen (pl. Android) bz # 2087 * Támogató platformok, például Android, amelyek nem rendelkeznek a passwd.pw_gecos struktúrával. bz # 2086

Az újdonság a 6.2p2 verzióban:

• sshd (8): A Linux seccomp- ahol a rendszermag támogatja.
• sshd (8): A seccomp-szűrő homokozó nem lesz engedélyezve, ha a rendszerfejlécek fordítási időben támogatják azt, függetlenül attól, hogy engedélyezhető-e ezután. Ha a futásidejű rendszer nem támogatja a seccomp-szűrőt, az sshd vissza fog térni az rlimit ál-homokozóhoz.
• ssh (1): Ne hivatkozzon a Kerberos könyvtárakban. Nem szükséges az ügyfélnél, csak az sshd (8) esetén. bz # 2072
• Javítsa a GSSAPI-kapcsolatot a Solaris rendszeren, amely más néven ismert GSSAPI-könyvtárat használ. bz # 2073
• Fix összeállítás az openssl-1.0.0-fips rendszereken.
• Számos hiba javítása az RPM spec fájlokban

Az újdonság a 5.8p1 verzióban:

• Hordozható OpenSSH hibajavítások:
• Javítsa a kompilációs hibát a SELinux támogatás engedélyezésekor.
• Ne próbálja meg felhívni a SELinux funkciókat, ha az SELinux le van tiltva. bz # 1851
22 Jun 18