LINUX.ORG.RU
ФорумSecurity

OpenSSH 3.3 has been released.


0

0 

OpenSSH 3.3 has just been released. It will be available from the
mirrors listed at http://www.openssh.com/ shortly.

OpenSSH is a 100% complete SSH protocol version 1.3, 1.5 and 2.0
implementation and includes sftp client and server support.

We would like to thank the OpenSSH community for their continued
support and encouragement.


Changes since OpenSSH 3.2.3:
============================ 

Security Changes:
=================

- improved support for privilege separation:

	privilege separation is now enabled by default

  See UsePrivilegeSeparation in sshd_config(5)
  and http://www.citi.umich.edu/u/provos/ssh/privsep.html for more
  information.
- ssh no longer needs to be installed setuid root for protocol
  version 2 hostbased authentication, see ssh-keysign(8).
  protocol version 1 rhosts-rsa authentication still requires privileges
  and is not recommended.

Other Changes:
==============

- documentation for the client and server configuration options have
  been moved to ssh_config(5) and sshd_config(5).
- the server now supports the Compression option, see sshd_config(5).
- the client options RhostsRSAAuthentication and RhostsAuthentication now
  default to no, see ssh_config(5).
- the client options FallBackToRsh and UseRsh are deprecated.
- ssh-agent now supports locking and timeouts for keys, see ssh-add(1).
- ssh-agent can now bind to unix-domain sockets given on the command line,
  see ssh-agent(1).
- fixes problems with valid RSA signatures from putty clients.

Reporting Bugs:
===============

- please read http://www.openssh.com/report.html
  and http://bugzilla.mindrot.org/

OpenSSH is brought to you by Markus Friedl, Niels Provos, Theo de Raadt,
Kevin Steves, Damien Miller and Ben Lindstrom.
★★★★★

вот думаю "подлить масла в огонь" с багом логирования wrong usernames login attempts :-p посмотрю, чего они там напортили :)

mator ★★★★★
() автор топика

Однако у меня он не работает :(

Jun 24 12:12:18 main sshd[1358]: Server listening on 0.0.0.0 port 22.
Jun 24 12:12:26 main sshd[1365]: fatal: mmap(65536): Invalid argument

gdenis
()

gdenis, попробуй запустить его как: ssh -2 -v localhost
он там тебе много инфы выдаст, попробуй пофиксить, что посчитаешь за ошибку, например depricated parameters.

Кстати я слышал, что 'privelege separation' толком не работает при включенном Compression в sshd_config

mator ★★★★★
() автор топика

ну, как и показывает практика, как только продукт переваливает планку "Неуловимого Джо", дырки из него начинают литься как из ведра.

:(

ivlad ★★★★★
()
Ответ на: комментарий от Xeon

Ну не пугайте. 3.4 вышел. Там ошибка исправлена.

ivlad ★★★★★
()

А у меня версия OpenSSH-3.4 под RedHat 6.2. не работает.
Откатываюсь на дырявый OpenSSH-1.2.3 - всё нормально.
Помогите разобраться.

anonymous
()

А у меня тоже v3.4 и тоже под RedHat 6.2... работает как надо :-))
Я тащил *.src.rpm, там в spec-файле есть параметр:
# Is this build for RHL 6.x?
%define build6x 1
без него (т.е. когда было =0) не работало

spirit ★★★★★
()

2 oxonian:
Ставлю из тарбола openssh-3.4p1
Установлен openssl из openssl-0.9.6-5.src.rpm
zlib-1.1.4 из tar-бола.

В папке с исходниками openssh:
CC="egcs" \
./configure \
--prefix=/usr \
--sysconfdir=/etc/ssh \
--with-tcp-wrappers \
--with-ipv4-default \
--with-ssl-dir=/usr/include/openssl
Имеем
OpenSSH has been configured with the following options:
User binaries: /usr/bin
System binaries: /usr/sbin
Configuration files: /etc/ssh
Askpass program: /usr/libexec/ssh-askpass
Manual pages: /usr/man/manX
PID file: /var/run
Privilege separation chroot path: /var/empty
sshd default user PATH: /usr/bin:/bin:/usr/sbin:/sbin
Manpage format: doc
PAM support: no
KerberosIV support: no
KerberosV support: no
Smartcard support: no
AFS support: no
S/KEY support: no
TCP Wrappers support: yes
MD5 password support: no
IP address in $DISPLAY hack: no
Use IPv4 by default hack: yes
Translate v4 in v6 hack: yes
BSD Auth support: no
Random number source: OpenSSL internal ONLY

Host: i686-pc-linux-gnu
Compiler: egcs
Compiler flags: -g -O2 -Wall -Wpointer-arith -Wno-uninitialized
Preprocessor flags: -I/usr/include/openssl
Linker flags: -L/usr/include/openssl
Libraries: -lwrap -lutil -lz -lnsl -lcrypto -lcrypt

Далее
make
make install

Имеем
etc/ssh/ssh_host_key already exists, skipping.
Generating public/private dsa key pair.
Your identification has been saved in /etc/ssh/ssh_host_dsa_key.
Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub.
The key fingerprint is:
f7:dc:68:51:72:32:ae:d4:69:19:af:18:7c:22:80:7a root@fakt.taz.gascom.ru
Generating public/private rsa key pair.
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
57:95:99:cf:30:4c:1d:bd:2e:32:36:50:95:c5:af:b3 root@myhost.ru
id sshd || \
echo "WARNING: Privilege separation user \"sshd\" does not exist"
id: sshd: No such user
WARNING: Privilege separation user "sshd" does not exist

Чего-то не нравится уже.

Далее
make host-key
install -m644 contrib/redhat/sshd.pam /etc/pam.d/sshd

Правлю конф. файлы

Потом
ssh-keygen -t rsa
ssh-keygen -t rsa1
ssh-keygen -t dsa

Это и для рута и для пользователя, которому разрешён вход по ssh.

Сначала запускал sshd из-под tcp-wrappers
И просто как отдельный демон. Добавил запуск через chkconfig
(скопировал из окомпилированных исходников ~/contrib/redhat/sshd.init в /etc/rc.d/init.d/sshd)

chkconfig --add sshd
chkconfig --level 345 sshd on

killall -HUP inetd

Когда запускался из-под tcp-wrappers
Пытаюсь потом зайти по ssh с рабочей станции

На консоле вижу потом:
$Starting sshd:This platform does not support both privilege separation and compression
Compression disabled
И всё.. не могу соединится.

anonymous
()
Ответ на: комментарий от anonymous

> WARNING: Privilege separation user "sshd" does not exist

Это не критично. "Privilege separation" - это новая фича в последних OpenSSH, призванная повысить безопасность системы. И сильно рекомендуемая к применению, хотя и без нее все может работать.

теперь так:

пускайте sshd с ключем -d и смотрите логи, коннектесь с ssh -v и смотрите, что он там пишет. результаты можете положить сюда или, если боитесь, пошлите мне на ivlad (at) extech.ru - но я не обещаю ответить быстро ;) - лучше попробуйте на тестовой машине с приватными адресами и постите сюда, если не разберетесь сами.

ivlad ★★★★★
()

Чтобы совсем не ругался, добавил пользователя sshd
Запускаю sshd -dd
Захожу с другой машины, на терминале сервера:

This platform does not support both privilege separation and compression
Compression disabled
debug1: sshd version OpenSSH_3.4p1
debug1: private host key: #0 type 0 RSA1
debug1: read PEM private key done: type RSA
debug1: private host key: #1 type 1 RSA
debug1: read PEM private key done: type DSA
debug1: private host key: #2 type 2 DSA
debug1: Forcing sever key to 1152 bits to make it differ from host key.
debug1: Bind to port 22 on 192.168.1.1.
Server listening on 192.168.1.1 port 22.
Generating 1152 bit RSA key.
RSA key generation complete.

debug1: Server will not fork when running in debugging mode.
Connection from 192.168.1.2 port 4784
debug1: Client protocol version 1.5; client software version PuTTY-Release-0.52
debug1: no match: PuTTY-Release-0.52
debug1: Local version string SSH-1.99-OpenSSH_3.4p1
debug2: Network child is on pid 5510
debug1: Sent 1152 bit server key and 1024 bit host key.
debug1: Encription type: blowfish
debug1: Recieved session key; encryption turned on.
debug2: monitor_read: 28 used once, disabling now
debug2: monitor_read: 30 used once, disabling now
debug1: Installing crc compensation attack detector.
debug1: Attempting authentication for admin.
debug2: monitor_read: 6 used once, disabling now
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Failed password for admin from 192.168.1.2 port 4784
Desconnecting: Too many authetnication failures for admin
debug1: Calling cleanup 0x8068968(0x0)
debug1: Calling cleanup 0x8068968(0x0)

И всё, демон умирает.

Пароли не принимает, соединяться не хочет.
Без пользователя sshd вообще не запускается PuTTY :))

anonymous
()

>> Без пользователя sshd вообще не запускается PuTTY :))

это как? что это? :) sshd пользоваетель на сервере, а putty ты запускаешь на клиенте, у меня например сервер пропатченный redhat-6.1, так на нем давно все новое стоит и openssh-3.4 и так далее...

mator ★★★★★
() автор топика

2mator:
А вот так.
Если нет на сервере пользователя sshd, то клиент на Виндовой машине даже не показывает окошко терминала.:)
Я сам тут уже мозги набекрень сдвинул и руками развожу.
А только добавился sshd пользователь, соединяется, но пароли не принимает!
Access denied!

anonymous
()
Ответ на: комментарий от anonymous

> А только добавился sshd пользователь, соединяется, но пароли не принимает!

Я, вроде, писал в письме, что пользователь sshd имеет отношение только к privilege separation. Если его неиспользовать, то пользователь не нужен.

> Access denied!

собери с PAM и положи правильный конфиг в /etc/pam.d.

ivlad ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security