Portable OpenSSH

Draagbare OpenSSH is 'n open source sagteware projek, 'n draagbare weergawe van die OpenSSH (Open Source Secure Shell) protokolpakket van netwerkverbindings, wat vandag op die internet gebruik word deur 'n toenemende aantal mense. . Dit is van die verrekening ontwerp om alle netwerkverkeer, insluitende wagwoorde, te enkripteer om potensiële aanvalle wat jy nie kan voorspel nie, effektief te elimineer, soos koppeling van kapingspogings of afluistering.

Belangrike kenmerke sluit in sterk enkripsie gebaseer op die Blowfish-, AES-, 3DES- en Arcfour-algoritmes, X11-deurstuur deur die kryding van die X Window System-verkeer, sterk verifikasie gebaseer op die Kerberos-verifikasie-, publieke sleutel- en eenmalige wagwoordprotokolle, sowel as poort forwarding deur die versleuteling van kanale vir nalatenskap protokolle.

Daarbenewens kom die sagteware saam met agent forwarding op basis van die SSO (Single-Sign-On) spesifikasie, AFS en Kerberos kaartjie verby, ondersteuning vir SFTP (Secure FTP) kliënt en bediener in beide SSH1 en SSH2 protokolle, data kompressie , en interoperabiliteit, wat maak dat die program voldoen aan die SSH 1.3, 1.5 en 2.0 protokol standaarde.

Wat is ingesluit?

Een keer geïnstalleer, sal OpenSSH outomaties die Telnet- en rlogin-nutsprogramme vervang met die SSH-program (Secure Shell), asook die FTP-instrument met SFTP en RCP met SCP. Daarbenewens bevat dit die SSH-daemon (sshd) en verskeie nuttige nutsprogramme, soos ssh-agent, ssh-add, ssh-keygen, ssh-key, ssh-keyscan en sftp-bediener.

Die hele projek is geskryf in die C-programmeertaal en word versprei as 'n universele bronne argief vir alle GNU / Linux-bedryfstelsels, sodat u dit op 32-bis of 64-bis (aanbevole) rekenaars kan installeer.

Let asseblief daarop dat die bronne tarball vereis dat u die projek moet instel en opstel voordat u dit installeer. Daarom beveel ons eindgebruikers aan om dit te probeer installeer vanaf die standaard sagteware repositories van hul GNU / Linux bedryfstelsel.

Wat is nuut in hierdie weergawe:

• ssh (1), sshd (8): Fix kompilasie deur outomaties cifre uit te skakel wat nie deur OpenSSL ondersteun word nie. BZ # 2466
• misc: Fix kompileer mislukkings op sommige weergawes van AIX se samesteller wat verband hou met die definisie van die VA_COPY-makro. BZ # 2589
• sshd (8): Whitelist meer argitekture om die sekomp-bpf sandbox in staat te stel. BZ # 2590
• ssh-agent (1), sftp-bediener (8): Deaktiveer prosesopsporing op Solaris met setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): Moenie Solaris-stelprojek (Solaris) op Solaris noem met UsePAM = ja dit is PAM se verantwoordelikheid. BZ # 2425

Wat is nuut in weergawe:

• ssh (1), sshd (8): Stel kompilasie op outomatiese uitskakel van kodes wat nie deur OpenSSL ondersteun word nie. BZ # 2466
• misc: Fix kompileer mislukkings op sommige weergawes van AIX se samesteller wat verband hou met die definisie van die VA_COPY-makro. BZ # 2589
• sshd (8): Whitelist meer argitekture om die sekomp-bpf sandbox in staat te stel. BZ # 2590
• ssh-agent (1), sftp-bediener (8): Deaktiveer prosesopsporing op Solaris met setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): Moenie Solaris-stelprojek (Solaris) op Solaris noem met UsePAM = ja dit is PAM se verantwoordelikheid. BZ # 2425

Wat is nuut in weergawe 7.4p1:

• ssh (1), sshd (8): Fix kompilasie deur outomaties gedeaktiveer OpenSSL. BZ # 2466
• misc: Fix kompileer mislukkings op sommige weergawes van AIX se samesteller wat verband hou met die definisie van die VA_COPY-makro. BZ # 2589
• sshd (8): Whitelist meer argitekture om die sekomp-bpf sandbox in staat te stel. BZ # 2590
• ssh-agent (1), sftp-bediener (8): Deaktiveer prosesopsporing op Solaris met setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): Moenie Solaris-stelprojek (Solaris) op Solaris noem met UsePAM = ja dit is PAM se verantwoordelikheid. BZ # 2425

Wat is nuut in weergawe 7.3p1:

• ssh (1), sshd (8): Fix kompilasie deur outomaties cifre uit te skakel wat nie deur OpenSSL ondersteun word nie. BZ # 2466
• misc: Fix kompileer mislukkings op sommige weergawes van AIX se samesteller wat verband hou met die definisie van die VA_COPY-makro. BZ # 2589
• sshd (8): Whitelist meer argitekture om die sekomp-bpf sandbox in staat te stel. BZ # 2590
• ssh-agent (1), sftp-bediener (8): Deaktiveer prosesopsporing op Solaris met setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): Moenie Solaris-stelprojek (Solaris) op Solaris noem met UsePAM = ja dit is PAM se verantwoordelikheid. BZ # 2425

Wat is nuut in weergawe 7.2p2:

• Bugfixes:
• ssh (1), sshd (8): voeg verenigbaarheidsoplossings vir FuTTY by
• ssh (1), sshd (8): verfyn verenigbaarheidsoplossings vir WinSCP
• Stel 'n aantal geheuefoute (dubbelvry, vry van ongeïnstialiseerde geheue, ens.) in ssh (1) en ssh-keygen (1) vas. Aangemeld deur Mateusz Kocielski.

Wat is nuut in weergawe 7.1p1:

• Foutoplossings:
• ssh (1), sshd (8): voeg verenigbaarheidsoplossings vir FuTTY by
• ssh (1), sshd (8): verfyn verenigbaarheidsoplossings vir WinSCP
• Stel 'n aantal geheuefoute (dubbelvry, vry van ongeïnstialiseerde geheue, ens.) in ssh (1) en ssh-keygen (1) vas. Aangemeld deur Mateusz Kocielski.

Wat is nuut in weergawe 6.9p1:

• sshd (8): Formatering GebruikPAM-instelling wanneer sshd gebruik word -T, deel van bz # 2346
• Soek '$ {host} -ar' voor 'ar', maak kruisversterking makliker; BZ # 2352.
• Verskeie draagbare samestellingsoplossings: bz # 2402, bz # 2337, bz # 2370
• module (5): update DH-GEX modulus

Wat is nuut in weergawe 6.8p1:

• Ondersteuning - sonder openbarings op tydstip. Deaktiveer en verwyder afhanklikheid van OpenSSL. Baie funksies, insluitend SSH protokol 1, word nie ondersteun nie en die stel kripto-opsies is baie beperk. Dit sal slegs op stelsels met inheemse arc4random of dev / urandom werk. Word tans hoogs eksperimenteel beskou.
• Ondersteuning - sonder-ssh1 opsie by konfigureer tyd. Laat ontwapening van ondersteuning vir SSH-protokol 1 toe.
• sshd (8): Stel kompilasie op stelsels met IPv6-ondersteuning in umpx op; BZ # 2296
• Laat pasgemaakte diens naam toe vir sshd op Cygwin. Laat die gebruik van verskeie sshd hardloop met verskillende diens name toe.

Wat is nuut in weergawe 6.7p1:

• Draagbare OpenSSH ondersteun nou die bou van libressl-draagbare.
• Draagbare OpenSSH benodig nou openssl 0.9.8f of hoër. Ouer weergawes word nie meer ondersteun nie.
• In die OpenSSL-weergawe-kontrole, laat die opgradering van die opgradeer weergawe toe (maar nie downgrades. Debian bug # 748150.
• sshd (8): Bepaal op Cygwin die voordele vir die skeiding van privileges tydens 'n runtime, aangesien dit dalk 'n domeinrekening moet wees.
• sshd (8): Moenie probeer om vhangup op Linux te gebruik nie. Dit werk nie vir nie-wortelgebruikers, en vir hulle word dit net die tty-instellings gemors.
• Gebruik CLOCK_BOOTTIME in plaas van CLOCK_MONOTONIC wanneer dit beskikbaar is. Dit beskou tydsbesteding wat opgeskort is, waardeur tydsduur (bv. Vir verstrykende agent sleutels) korrek geskiet word. BZ # 2228
• Voeg ondersteuning vir ed25519 by opensshd.init init script.
• sftp-bediener (8): op platforms wat dit ondersteun, gebruik prctl () om te verhoed dat sftp-bediener toegang tot / proc / self / {mem, maps}

Wat is nuut in weergawe 6.5p1:

• Nuwe funksies:
• ssh (1), sshd (8): Ondersteun die sleutel uitruil met die elliptiese kromme Diffie Hellman in Daniel Bernstein's Curve25519. Hierdie sleutelruil metode is die standaard wanneer beide die kliënt en bediener dit ondersteun.
• ssh (1), sshd (8): Voeg ondersteuning vir Ed25519 as 'n publieke sleuteltipe. Ed25519 is 'n elliptiese kromme handtekeningskema wat beter sekuriteit bied as ECDSA en DSA en goeie prestasie. Dit kan gebruik word vir beide gebruikers- en gasheer sleutels.
• Voeg 'n nuwe private sleutelformaat by wat 'n bcrypt KDF gebruik om sleutels beter te beskerm. Hierdie formaat word onvoorwaardelik gebruik vir Ed25519 sleutels, maar kan aangevra word wanneer bestaande sleutels van ander tipes genereer of gestoor word via die -o ssh-keygen (1) opsie. Ons beoog om die nuwe formaat die standaard in die nabye toekoms te maak. Besonderhede van die nuwe formaat is in die PROTOCOL.key lêer.
• ssh (1), sshd (8): Voeg 'n nuwe vervoer-kodering "chacha20-poly1305@openssh.com" Dit kombineer Daniel Bernstein se ChaCha20-stroomkodeerder en Poly1305 MAC om 'n geverifieerde enkripsie af te bou. Besonderhede is in die PROTOCOL.chacha20poly1305 lêer.
• ssh (1), sshd (8): Weier RSA sleutels van ou eie kliënte en bedieners wat die verouderde RSA + MD5 handtekeningskema gebruik. Dit sal steeds moontlik wees om met hierdie kliënte / bedieners te koppel, maar slegs DSA-sleutels sal aanvaar word, en OpenSSH sal die verbinding geheel en al in 'n toekomstige weergawe weier.
• ssh (1), sshd (8): Weier ou eie kliënte en bedieners wat 'n swakker sleutelruilhash-berekening gebruik.
• ssh (1): Verhoog die grootte van die Diffie-Hellman-groepe wat aangevra word vir elke simmetriese sleutel grootte. Nuwe waardes van NIST Spesiale Publikasie 800-57 met die boonste perk gespesifiseer deur RFC4419.
• ssh (1), ssh-agent (1): Ondersteuning pkcs # 11 tokes wat slegs X.509 certs verskaf in plaas van rou publieke sleutels (aangevra as bz # 1908).
• ssh (1): Voeg 'n ssh_config (5) "Match" by sleutelwoord wat toelaat dat voorwaardelike opset toegepas word deur ooreenstem met hostnaam, gebruiker en resultaat van arbitrêre opdragte.
• ssh (1): Ondersteuning vir kanonicalisering van kliënt se gasheernaam by gebruik van 'n stel DNS-agtervoegsels en -reëls in ssh_config (5). Dit laat ongekwalifiseerde name toe om gekwalifiseerde domeine na gekwalifiseerde domeinname te kanonchroniseer om dubbelsinnigheid uit te skakel wanneer sleutelwoorde in known_hosts opgesoek word of die gasheer sertifikaat name nagaan.
• sftp-bediener (8): voeg die vermoë om witteslys en / of swartlys sftp-protokolversoeke per naam toe te voeg.
• sftp-bediener (8): Voeg 'n sftp "fsync@openssh.com" Om roeping fsync (2) te ondersteun op 'n oop lêerhandvatsel.
• sshd (8): Voeg 'n ssh_config (5) PermitTTY toe om TTY-toekenning te verwerp, wat die langstaande nie-pty authorized_keys opsie weerspieël.
• ssh (1): Voeg 'n ssh_config ProxyUseFDPass opsie by wat die gebruik van ProxyCommands ondersteun wat 'n verbinding tot stand bring en dan 'n gekoppelde lêerbeskrywer terug na ssh (1). Dit laat die ProxyCommand toe om uit te gaan eerder as om rond te bly om data te oordra.
• Foutoplossings:
• ssh (1), sshd (8): Fix moontlike stapeluitputting veroorsaak deur geneste sertifikate.
• ssh (1): bz # 1211: maak BindAddress werk met UsePrivilegedPort.
• sftp (1): bz # 2137: maak die vorderingsmeter vir hervatte oordrag reg.
• ssh-add (1): bz # 2187: Moenie smartcard-PIN versoek wanneer sleutels van ssh-agent verwyder word nie.
• sshd (8): bz # 2139: herstel re-exec terugslag wanneer oorspronklike sshd binêre nie uitgevoer kan word nie.
• ssh-keygen (1): Maak relatief gespesifiseerde sertifikaat-vervaldye ten opsigte van huidige tyd en nie die geldigheidstyd nie.
• sshd (8): bz # 2161: fix AuthorizedKeysCommand binne 'n Match-blok.
• sftp (1): bz # 2129: simlinking van 'n lêer kan die teikenpad verkeerd kanoniseer.
• ssh-agent (1): bz # 2175: maak 'n gebruik-na-vry in die PKCS # 11 agent helper uitvoerbaar.
• sshd (8): Verbeter logging van sessies om die gebruikersnaam, afgeleë gasheer en poort, die sessie tipe (dop, opdrag, ens.) in te sluit en TTY (indien enige) toe te ken.
• sshd (8): bz # 1297: vertel die kliënt (via 'n foutboodskap) wanneer hulle voorkeur luisteradres deur die bediener se GatewayPorts-instelling oortree is.
• sshd (8): bz # 2162: sluit verslagpoort in 'n slegte protokolbannerboodskap.
• sftp (1): bz # 2163: herstel geheue lek in fout pad in do_readdir ().
• sftp (1): bz # 2171: lek nie die lêer descriptor op fout.
• sshd (8): Sluit die plaaslike adres en poort in "Verbinding vanaf ..." boodskap (slegs vertoon by loglevel> = werkwoord).
• Draagbare OpenSSH:
• Let asseblief daarop dat hierdie die laaste weergawe van Portable OpenSSH is wat weergawes van OpenSSL voor 0.9.6 ondersteun. Ondersteuning (dws SSH_OLD_EVP) sal verwyder word na aanleiding van die 6.5p1 vrylating.
• Draagbare OpenSSH sal poog om saam te stel en te koppel as 'n posisie onafhanklike uitvoerbare op Linux, OS X en OpenBSD op onlangse Gcc-like compilers. Ander platforms en ouer / ander samestellers kan dit aanvra met behulp van die - met-pie-konfigurasie vlag.
• 'N aantal ander Toolkain-verwante verhardings word outomaties gebruik indien beskikbaar, insluitende -ftrapv om te aborteer op getekende integeroorloop en opsies om dinamiese skakelinligting te skryf. Die gebruik van hierdie opsies kan gedeaktiveer word deur gebruik te maak van die vlag - sonder verharding.
• As die gereedskapsketting dit ondersteun, word een van die -fstack-protector-strong, -fstack-protector-of -fstack-protector compilation vlag gebruik om wagte by te voeg om aanvalle te verminder wat gebaseer is op stapel oorloop. Die gebruik van hierdie opsies kan gedeaktiveer word met die opsie - sonder opsie vir stoorbeskerming.
• sshd (8): Voeg ondersteuning by voor-verifikasie sandboxing met behulp van die Capsicum API wat in FreeBSD 10 geïntroduceerd is.
• Skakel na 'n ChaCha20-gebaseerde arc4random () PRNG vir platforms wat nie hul eie voorsien nie.
• sshd (8): bz # 2156: herstel die Linux oom_adj-instelling wanneer SIGHUP hanteer word om gedrag oor die herbegin te handhaaf.
• sshd (8): bz # 2032: gebruik plaaslike gebruikersnaam in krb5_kuserok tjek eerder as volle kliënt naam wat moontlik van vorm gebruiker @ REALM is.
• ssh (1), sshd (8): Toets vir beide die teenwoordigheid van ECC NID nommers in OpenSSL en dat hulle werklik werk. Fedora (ten minste) het NID_secp521r1 wat nie werk nie.
• bz # 2173: gebruik pkg-config - libs om korrekte -L plek vir libedit in te sluit.

Wat is nuut in weergawe 6.4p1:

• Met hierdie weergawe word 'n sekuriteit fout opgelos: sshd : herstel 'n geheue korrupsie probleem veroorsaak tydens rekeying wanneer 'n AES-GCM kodering gekies word. Volledige besonderhede van die kwesbaarheid is beskikbaar by: http://www.openssh.com/txt/gcmrekey.adv

Wat is nuut in weergawe 6.3p1:

• Features:
• sshd (8): voeg ssh-agent (1) ondersteuning by sshd (8); kan geënkripteerde hostkeys of host keys op smartcards.
• ssh (1) / sshd (8): stel opsionele tydgebaseerde rekeying via 'n tweede argument in die bestaande RekeyLimit opsie. RekeyLimit word nou ondersteun in sshd_config sowel as op die kliënt.
• sshd (8): standaardiseer die aanmelding van inligting tydens gebruikersverifikasie.
• Die aangebied sleutel / cert en die afgeleë gebruikersnaam (indien beskikbaar) is nou aangemeld by die identifikasie sukses / mislukking boodskap op dieselfde loglyn as die plaaslike gebruikersnaam, afgeleë gasheer / poort en protokol in gebruik. Sertifikate-inhoud en die sleutelvingerafdruk van die signings-CA word ook aangemeld.
• Om alle relevante inligting op 'n enkele reël in te sluit, vereenvoudig loganalise, aangesien dit nie meer nodig is om inligting wat oor verskeie loginskrywings versprei is, te verwant nie.
• ssh (1): voeg die vermoë om te vra watter kode, MAC algoritmes, sleuteltipes en sleuteluitruilmetodes ondersteun word in die binêre.
• ssh (1): ondersteun ProxyCommand = - om ondersteuningsgevalle toe te staan ​​waar stdin en stdout reeds na die proxy verwys.
• ssh (1): laat IdentityFile = none
toe
• ssh (1) / sshd (8): add -E opsie om ssh en sshd by te voeg debugging logs na 'n gespesifiseerde lêer in plaas van stderr of syslog.
• sftp (1): voeg ondersteuning by om gedeeltelike aflaaie te hervat met die "reget" opdrag en op die sftp-bevellyn of op die 'kry' command line gebruik die '-a' (byvoeg) opsie.
• ssh (1): voeg 'IgnoreUnknown' by Konfigurasie opsie om foute wat voortspruit uit onbekende konfigurasie-riglyne selektief te onderdruk.
• sshd (8): voeg bystand by submetodes by wat aangevul moet word met vereiste verifikasiemetodes wat deur verifikasiemetodes gelys word.
• Foutoplossings:
• sshd (8): weier weiering om sertifikaat te aanvaar indien 'n sleutel van 'n ander tipe na die CA sleutel verskyn in authorized_keys voor die CA sleutel.
• ssh (1) / ssh-agent (1) / sshd (8): Gebruik 'n monotoniese tydbron vir timers sodat dinge soos houers en rekeying behoorlik oor klokstappe sal werk.
• sftp (1): werk vooruitgangsmeter wanneer data erken word, nie wanneer dit gestuur word nie. BZ # 2108
• ssh (1) / ssh-keygen (1): verbeter foutboodskappe wanneer die huidige gebruiker nie bestaan ​​in / etc / passwd nie; BZ # 2125
• ssh (1): Herstel die volgorde waarin openbare sleutels na gedeeltelike verifikasie sukses probeer word.
• ssh-agent (1): maak socket-lêers op na SIGINT wanneer dit in debug-modus is; BZ # 2120
• ssh (1) en ander: vermy verwarrende foutboodskappe in die geval van gebroke stelselbeslisser konfigurasies; BZ # 2122
• ssh (1): stel TCP nodelay vir verbindings begin met -N; BZ # 2124
• ssh (1): korrekte handleiding vir toestemmingsvereistes op ~ / .ssh / config; BZ # 2078
• ssh (1): Fix ControlPersist-time-out, nie in gevalle waar TCP-verbindings opgehang het nie. BZ # 1917
• ssh (1): Beheer 'n ControlPersist-meester van sy beheerminale.
• sftp (1): vermy ineenstortings in libedit wanneer dit saamgestel is met multi-byte karakterondersteuning. BZ # 1990
• sshd (8): wanneer u sshd-D uitvoer, sluit stderr tensy ons eksplisiet versoek het om aan stderr te teken. BZ # 1976
• ssh (1): herstel onvolledige bzero; BZ # 2100
• sshd (8): log en error en exit as ChrootDirectory gespesifiseer en uitgevoer word sonder wortelregte.
• Baie verbeteringe aan die regressie toets suite. In die besonder word loglêers nou gestoor van ssh en sshd na mislukkings.
• Herstel 'n aantal geheue lekkasies. bz # 1967 bz # 2096 en ander
• sshd (8): bevestig publieke sleutel verifikasie wanneer 'n: styl by die aangevraagde gebruikersnaam gevoeg word.
• ssh (1): moenie doodmaak as u probeer om opruiming-geskepde kanale wat onvolledig oopgemaak is, op te ruim. BZ # 2079
• Draagbare OpenSSH:
• Groot opknapping van bydrae / cygwin / README
• Bevestig ongeïdentifiseerde toegang in umac.c vir streng-inlyn-argitekture. BZ # 2101
• Aktiveer -Wisize-pointer-memaccess as die compiler dit ondersteun. BZ # 2100
• Bevestig foutiewe foutlyne vir die beheer van foute in die kommentaar. BZ # 1448
• Sluit slegs SHA256 en ECC-gebaseerde sleuteluitruilmetodes in as libcrypto die nodige ondersteuning het.
• Fix crash in SOCKS5 dinamiese versending kode op streng-alignment argitektuur.
• 'n Aantal oordraagbaarheidskriteria vir Android: * Moenie probeer om laai op Android te gebruik nie; bz # 2111 * Terugval na die gebruik van openssl se DES_crypt funksie op platorme wat nie 'n inheemse kriptus () funksie het nie; bz # 2112 * Toets vir fd_mask, howmany en NFDBITS eerder as om te probeer om die plakkate wat hulle nie het, te tel nie. bz # 2085 * Vervang S_IWRITE, wat nie gestandaardiseer is nie, met S_IWUSR, wat is. bz # 2085 * Voeg 'n nul-implementering van eindgrens toe vir platforms wat dit nie het nie (bv. Android) bz # 2087 * Ondersteuningsplatforms, soos Android, wat struktuurpasswd.pw_gecos het. BZ # 2086

Wat is nuut in weergawe 6.2p2:

• sshd (8): Die Linux sekcomp-filter sandbox word nou ondersteun op ARM platforms waar die kern dit ondersteun.
• sshd (8): Die sekcomp-filter sandbox sal nie geaktiveer word as die stelselopskrifte dit op die samestellingstyd ondersteun nie, ongeag of dit dan geaktiveer kan word. As die hardloopstelsel nie sekomp-filter ondersteun nie, sal sshd terugval na die rlimit-pseudo-sandbox.
• ssh (1): skakel nie in die Kerberos-biblioteke nie. Hulle is nie nodig op die kliënt nie, net op sshd (8). BZ # 2072
• Fix GSSAPI skakel op Solaris, wat 'n ander GSSAPI biblioteek gebruik. BZ # 2073
• Stel kompilasie op stelsels met openssl-1.0.0-fips.
• Stel 'n aantal foute in die RPM spesifikasie lêers vas.

Wat is nuut in weergawe 5.8p1:

• Draagbare OpenSSH Bugfixes:
• Bevestig kompilasiefout wanneer SELinux-ondersteuning geaktiveer word.
• Moenie probeer om SELinux-funksies te bel wanneer SELinux gedeaktiveer is nie. BZ # 1851