LINUX.ORG.RU
НовостиБезопасность

OpenSSH 6.9

 ,


1

2

Состоялся релиз OpenSSH 6.9. По большей части этот выпуск содержит исправления ошибок. В этом выпуске:

  • Шифром по умолчанию стал «chacha20-poly1305 at openssh.com».
  • Поддержка заданных администратором аргументов в AuthorizedKeysCommand.
  • Добавлена функция AuthorizedPrincipalsCommand, позволяющая получать информацию из субпроцессов, а не из файлов.
  • Поддержка устройств PKCS#11 с дополнительными устройствами ввода PIN.
  • GSSAPI разрешено проводить проверку хостов с помощью опции GSSAPIStrictAcceptorCheck.
  • Команда ssh-keygen -lF hostname для поиска по known_hosts и печати хешей вместо полных ключей.
  • В ssh-agent добавлена опция -D для работы без режима дебага.

А также множество исправлений ошибок. Следует отметить, что следующий выпуск — 7.0 поломает совместимость.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 1)

Шифром по умолчанию стал «chacha20-poly1305 at openssh.com».

понапихали всяких сомнительных поделок :D

Harald ★★★★★
()

Следует отметить, что следующий выпуск — 7.0 поломает совместимость.

А что конкретно поломается?

Deleted
()
Ответ на: комментарий от Deleted

В ченджлоге написано. Я ничего критичного не увидел - что-то выкинули, что-то отключили.

alozovskoy ★★★★★
()
Ответ на: комментарий от DiversantBivnev

* The default for the sshd_config(5) PermitRootLogin option will change from «yes» to «no».

* Support for the legacy version 1.x of the SSH protocol will be disabled at compile time by default.

* Support for the 1024-bit diffie-hellman-group1-sha1 key exchange will be run-time disabled by default.

* Support for ssh-dss, ssh-dss-cert-* host and user keys will be run-time disabled by default.

* Support for the legacy v00 cert format will be removed

* Several ciphers will be disabled by default: blowfish-cbc, cast128-cbc, all arcfour variants and the rijndael-cbc aliases for AES

* Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits)

Разве что первый пункт может доставить неудобств.

Deleted
()
Ответ на: комментарий от Deleted

Разве что первый пункт может доставить неудобств.

А кому-то наоборот.

WatchCat ★★★★★
()
Ответ на: комментарий от vsemnazlo

Так-то да, но например у себя дома на локалхостах я отключаю только логин по паролю, ибо лень делать su/sudo.

Deleted
()
Ответ на: комментарий от Deleted

The default for the sshd_config(5) PermitRootLogin option will change from «yes» to «no».

емнип во фряхе всегда так было.
думаю все очень быстро привыкнут.

dada ★★★★★
()
Ответ на: комментарий от Deleted

* The default for the sshd_config(5) PermitRootLogin option will change from «yes» to «no».

Ололо. Чем они обосновали такое решение?

Deleted
()
Ответ на: комментарий от Deleted

> * The default for the sshd_config(5) PermitRootLogin option will change from «yes» to «no».

Давно пора.

luke ★★★★★
()
Ответ на: комментарий от Deleted

Тем, что большинство downstream-ов ставят именно такой дефолт? :-)

Pinkbyte ★★★★★
()
Ответ на: комментарий от kiichiro

азазазаз, ты сделал мой день.

зы: оригинальный клип доставляет кстати

Kompilainenn ★★★★★
()

Опять ни слова про закрытие бэкдоров АНБ. Они вообще собираются их закрывать?

anonymous
()
Ответ на: комментарий от anonymous

Опять ни слова про закрытие бэкдоров АНБ. Они вообще собираются их закрывать?

Ну про 1 бэкдор из матрицы всем известно, а остальные?

snaf ★★★★★
()
Ответ на: комментарий от dada

В убунте по дефолту рут отключен. Всё делается через sudo.

snaf ★★★★★
()
Последнее исправление: snaf (всего исправлений: 1)

Господа, чем chacha20-poly1305 at openssh.com лучше предыдущего?

spec_po_kiskam ★★★
()

chacha20-poly1305

это пять,

а следующим шифром будет:

sdfhasdfhdskjk^RFYThgsdc

swwwfactory ★★
()
Ответ на: комментарий от Deleted

* The default for the sshd_config(5) PermitRootLogin option will change from «yes» to «no».

Разве что первый пункт может доставить неудобств.

Если только мамкиным админам локалхостов. У нормальных людей в системе автоматического конфигурирования одной строчкой меньше станет.

anonymous
()
Ответ на: комментарий от wieker

Тем, что им можно залогиниться. Всегда ваш Кэп.

anonymous
()
Ответ на: комментарий от wieker

А чем плох разрешенный по умолчанию логин root? А то страшно, а в чем угроза не понимаю.

На локалхосте — ничем, тебе бояться нечего, спи спокойно.

anonymous
()

поломает совместимость

А давайте ноги поломаем тому кто это затеял? Он их всё равно себе рано или поздно отстрелит.

LunniyKot
()

Шифром по умолчанию стал «chacha20-poly1305 at openssh.com».

Я наверное не в теме, но хочется спросить: А оно одобрено АНБ?

anonymous
()

Шифром по умолчанию стал «chacha20-poly1305 at openssh.com».
chacha

Грузинские алкоголики одобряют.

andreyu ★★★★★
()
Ответ на: комментарий от LunniyKot

А давайте ноги поломаем тому кто это затеял? Он их всё равно себе рано или поздно отстрелит.

А тебе лично что-то мешает остаться на старой совместимой версии? Я надеюсь ты не из тех, кто накатывает апдейты ради циферки?

Кто бы там кардинальные изменения ни затеял, пусть делает. Глядишь, через лет 10 будет более-менее нормальный инструмент удалённого доступа, без костылей из шестидесятых.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Безопасность