LINUX.ORG.RU

OpenSSH 9.4

 , ,

OpenSSH 9.4

0

1

После пяти месяцев разработки опубликован релиз OpenSSH 9.4, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

Основные изменения:

  • В утилите ssh разрешено перенаправление на другой хост Unix-сокетов, используя команду «ssh -W».
  • В файл конфигурации ssh_config добавлена директива «Tag» и операция сопоставления «Match tag», позволяющие использовать теги для определения условий выбора определённого блока конфигурации.
    
           Match Address 192.168.0.*
        	 Tag trusted
           Match Group wheel
        	 Tag trusted
           Match Tag trusted
          	 AllowTcpForwarding yes
    
  • В ssh добавлена операция сопоставления «Match localnetwork» для привязки к адресам локальных сетевых интерфейсов.
  • В ssh, sshd и ssh-keygen добавлена возможность подключения расширений в формате KRL. Сами расширения на данном этапе разработки ещё недоступны.
  • В sshd в директивах AuthorizedPrincipalsCommand и AuthorizedKeysCommand реализована поддержка %-подстановок: «%D» для подстановки адреса шлюза, через который маршрутизируется текущий сеанс, и «%C» для подстановки адресов и номеров портов локальной и удалённой стороны соединения.
  • В утилите ssh-keygen по умолчанию на 50% увеличено число раундов в функции bcrypt при генерации ключей симметричного шифрования файлов с ключами, защищёнными паролем.
  • Прекращена поддержка старых версий библиотеки libcrypto. Для сборки теперь требуется наличие как минимум версии LibreSSL 3.1.0 или OpenSSL 1.1.1.
  • В качестве дополнительного пути блокирования уязвимости, связанной с возможностью загрузки модулей PKCS#11 в ssh-agent, запрещено указание относительных и неполных путей к модулям (ранее функция dlopen производила поиск модуля по имени в каталоге с библиотеками).

>>> Подробности

★★

Проверено: hobbit ()

добавлена директива «Tag» и операция сопоставления «Match tag»

Прелестный синтаксис. Прелестный. А слабо без проверки и подглядывания в код рассказать, что будет, если поместить это в конфиг?
Match Group wheel Tag trusted Match Tag trusted Group wheel Tag trusted

Ну или такое?
Match Tag trusted Tag untrusted Match Tag untrusted Tag trusted
Match Tag Match

Как можно было додуматься добавить в плоский конфиг без фигурных скобок и кавычек подобные вещи?

anonymoos ★★★★★
()
Последнее исправление: anonymoos (всего исправлений: 1)
Ответ на: комментарий от FriendshipIsMagic

Хотел пошутить про фиревалл но это слишком толсто. Нужно тоньше, я думаю лучше HTTP перевести на UDP.

mx__ ★★★★★
()
Ответ на: комментарий от mx__

HTTP перевести на UDP

И вот, значит, люди думают, что они шутят...

thesis ★★★★★
()
Ответ на: комментарий от anonymoos

Синтаксическая ошибка будет, конец строки для Match имеет значение. И фигурные скобки в конфиге не нужны, потому что он действительно плоский, никаких вложенных Match там нет. Таги - удобная штука для объединения условий по ИЛИ.

JaM
()
Последнее исправление: JaM (всего исправлений: 1)
Ответ на: комментарий от anonymoos

как только распарсится директива (из скольки бы слов она не состояла), дальше слова будут парсится как её значение/аргументы

Ваш КО.

mrjaggers
()
Ответ на: комментарий от mx__

дык уже! корпорация добра думает о вас! QUIC и это вот всё!

mumpster ★★★★★
()

[user]hobbit[/user], зачем это дурацкое требование на размер картинки 400х400? От того что я возьму оригинальное изображение и растяну оно лучше не станет, только места занимать будет больше.

UDP: вот ещё один косяк. случайно отправил как markdown, а не lorcode. как теперь исправить?

zx_gamer ★★
() автор топика
Последнее исправление: zx_gamer (всего исправлений: 1)
Ответ на: комментарий от zx_gamer

случайно отправил как markdown, а не lorcode. как теперь исправить?

Боюсь, что теперь никак. Мне тоже приходится редактировать новости, подлаживаясь под их авторов, сменить метод форматирования в уже созданной теме нельзя.

hobbit ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Я в курсе про это, я про то что UDP не подразумевает обратку, т.е. открыл сайт, а он загрузил пол картинки и пол js либы …

mx__ ★★★★★
()
Ответ на: комментарий от zx_gamer

как markdown, а не lorcode

Можно в аккаунте настроить лоркод по умолчанию при создании тем и менять не придется каждый раз

bad_master
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.