Portable OpenSSH

Portable OpenSSH is een open source softwareproject, een draagbare versie van de OpenSSH (Open Source Secure Shell) -protocolsuite van hulpprogramma's voor netwerkconnectiviteit die tegenwoordig door een toenemend aantal mensen op internet worden gebruikt . Het is ontworpen vanaf de offset om al het netwerkverkeer, inclusief wachtwoorden, te coderen om potentiële aanvallen die u niet kunt voorspellen, zoals pogingen tot verbindingskaping of afluisteren effectief te elimineren.

De belangrijkste kenmerken zijn de sterke codering op basis van de Blowfish-, AES-, 3DES- en Arcfour-algoritmen, X11-forwarding door het versleutelen van het X Window System-verkeer, sterke authenticatie op basis van de Kerberos-verificatie, openbare sleutel en protocollen voor eenmalig wachtwoord, evenals port forwarding door kanalen te coderen voor verouderde protocollen.

Daarnaast wordt de software geleverd met het doorsturen van agents op basis van de SSO-specificatie (Single Sign-On), passeren AFS en Kerberos-kaarten, ondersteuning voor SFTP (Secure FTP) -client en -server in zowel SSH1- als SSH2-protocollen, datacompressie en interoperabiliteit, waardoor het programma voldoet aan de SSH 1.3, 1.5 en 2.0 protocolstandaarden.

Wat is inbegrepen?

Na installatie zal OpenSSH automatisch de Telnet- en rlogin-hulpprogramma's vervangen door het SSH (Secure Shell) -programma, evenals de FTP-tool met SFTP en RCP met SCP. Daarnaast bevat het de SSH-daemon (sshd) en verschillende nuttige hulpprogramma's, zoals ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan en sftp-server.

Het volledige project is geschreven in de programmeertaal C en het wordt gedistribueerd als een universeel bronnenarchief voor alle GNU / Linux-besturingssystemen, zodat u het op zowel 32-bits of 64-bits (aanbevolen) computers kunt installeren.

Houd er rekening mee dat de broncode van tarball vereist dat u het project vóór de installatie configureert en compileert, dus we raden eindgebruikers ten zeerste aan om het te proberen vanuit de standaardsoftware-repository's van hun GNU / Linux-besturingssysteem.

Wat is nieuw in deze release:

• ssh (1), sshd (8): herstel compilatie door automatisch coderingen uit te schakelen die niet door OpenSSL worden ondersteund. BZ # 2466
• misc: herstel compilatie fouten op sommige versies van AIX's compiler gerelateerd aan de definitie van de VA_COPY macro. BZ # 2589
• sshd (8): witte lijst met meer architecturen om de seccomp-bpf-sandbox in te schakelen. BZ # 2590
• ssh-agent (1), sftp-server (8): schakel tracering van processen uit in Solaris met behulp van setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): Op Solaris, roep niet Solaris setproject () aan met UsePAM = ja het is de verantwoordelijkheid van PAM. BZ # 2425

Wat is nieuw in versie:

• ssh (1), sshd (8): compilatie herstellen door automatisch uitschakelen van coderingen niet ondersteund door OpenSSL. BZ # 2466
• misc: herstel compilatie fouten op sommige versies van AIX's compiler gerelateerd aan de definitie van de VA_COPY macro. BZ # 2589
• sshd (8): witte lijst met meer architecturen om de seccomp-bpf-sandbox in te schakelen. BZ # 2590
• ssh-agent (1), sftp-server (8): schakel tracering van processen uit in Solaris met behulp van setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): Op Solaris, roep niet Solaris setproject () aan met UsePAM = ja het is de verantwoordelijkheid van PAM. BZ # 2425

Wat is nieuw in versie 7.4p1:

• ssh (1), sshd (8): compilatie herstellen door coderingen automatisch uit te schakelen die niet worden ondersteund door OpenSSL. BZ # 2466
• misc: herstel compilatie fouten op sommige versies van AIX's compiler gerelateerd aan de definitie van de VA_COPY macro. BZ # 2589
• sshd (8): witte lijst met meer architecturen om de seccomp-bpf-sandbox in te schakelen. BZ # 2590
• ssh-agent (1), sftp-server (8): schakel tracering van processen uit in Solaris met behulp van setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): Op Solaris, roep niet Solaris setproject () aan met UsePAM = ja het is de verantwoordelijkheid van PAM. BZ # 2425

Wat is nieuw in versie 7.3p1:

• ssh (1), sshd (8): herstel compilatie door automatisch coderingen uit te schakelen die niet door OpenSSL worden ondersteund. BZ # 2466
• misc: herstel compilatie fouten op sommige versies van AIX's compiler gerelateerd aan de definitie van de VA_COPY macro. BZ # 2589
• sshd (8): witte lijst met meer architecturen om de seccomp-bpf-sandbox in te schakelen. BZ # 2590
• ssh-agent (1), sftp-server (8): schakel tracering van processen uit in Solaris met behulp van setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): Op Solaris, roep niet Solaris setproject () aan met UsePAM = ja het is de verantwoordelijkheid van PAM. BZ # 2425

Wat is nieuw in versie 7.2p2:

• Bugfixes:
• ssh (1), sshd (8): oplossingen voor compatibiliteit voor FuTTY toevoegen
• ssh (1), sshd (8): oplossingen voor compatibiliteit voor WinSCP
• Verhelp een aantal geheugenstoringen (dubbel, vrij van niet-geïnitialiseerd geheugen, enz.) in ssh (1) en ssh-keygen (1). Gerapporteerd door Mateusz Kocielski.

Wat is nieuw in versie 7.1p1:

• Bugfixes:
• ssh (1), sshd (8): oplossingen voor compatibiliteit voor FuTTY toevoegen
• ssh (1), sshd (8): oplossingen voor compatibiliteit voor WinSCP
• Verhelp een aantal geheugenstoringen (dubbel, vrij van niet-geïnitialiseerd geheugen, enz.) in ssh (1) en ssh-keygen (1). Gerapporteerd door Mateusz Kocielski.

Wat is nieuw in versie 6.9p1:

• sshd (8): UsePAM-instelling opmaken bij gebruik van sshd -T, onderdeel van bz # 2346
• Zoek naar '$ {host} -ar' vóór 'ar', waardoor compilatie eenvoudiger wordt; bz # 2352.
• Verschillende draagbare compilatieoplossingen: bz # 2402, bz # 2337, bz # 2370
• moduli (5): update DH-GEX-modules

Wat is nieuw in versie 6.8p1:

• Ondersteuning --without-openssl tijdens het configureren van de tijd. Schakelt de afhankelijkheid van OpenSSL uit en verwijdert deze. Veel functies, waaronder SSH-protocol 1, worden niet ondersteund en de set crypto-opties is sterk beperkt. Dit werkt alleen op systemen met native arc4random of / dev / urandom. Wordt momenteel als zeer experimenteel beschouwd.
• Ondersteuning - zonder-ssh1 optie tijdens het configureren van de tijd. Staat het uitschakelen van ondersteuning voor SSH-protocol 1 toe.
• sshd (8): compilatie herstellen op systemen met IPv6-ondersteuning in utmpx; BZ # 2296
• Sta aangepaste service naam voor sshd op Cygwin toe. Staat het gebruik van meerdere sshd met verschillende servicenamen toe.

Wat is nieuw in versie 6.7p1:

• Portable OpenSSH ondersteunt nu bouwen tegen libressl-portable.
• Draagbare OpenSSH vereist nu openssl 0.9.8f of hoger. Oudere versies worden niet langer ondersteund.
• In de OpenSSL versiecontrole, laat fix versie-upgrades (maar niet downgrades. Debian bug # 748150.
• sshd (8):. Op Cygwin, bepalen privilege scheiding gebruiker tijdens runtime, want het kan nodig zijn om een ​​domeinnaam account
• sshd (8): Probeer vhangup niet te gebruiken op Linux. Het werkt niet voor niet-rootgebruikers en voor hen maakt het gewoon de tty-instellingen kapot.
• Gebruik CLOCK_BOOTTIME liever dan CLOCK_MONOTONIC wanneer dit beschikbaar is. Het beschouwt de doorgebrachte tijd als opgeschort, waardoor het waarborgen van time-outs (bijvoorbeeld voor het vervallen van agentsleutels) correct verloopt. BZ # 2228
• Voeg ondersteuning voor ed25519 toe aan opensshd.init init script.
• sftp-server (8): Op de platforms die dit ondersteunen, gebruik prctl () om te voorkomen dat sftp-server toegang krijgt tot / proc / self / {mem, kaarten}

Wat is nieuw in versie 6.5p1:

• Nieuwe functies:
• ssh (1), sshd (8): Ondersteuning toevoegen voor sleuteluitwisseling met behulp van elliptische curve Diffie Hellman in de Curve25519 van Daniel Bernstein. Deze sleuteluitwisselingsmethode is de standaard wanneer zowel de client als de server dit ondersteunen.
• ssh (1), sshd (8): Ondersteuning toevoegen voor Ed25519 als een type openbare sleutel. Ed25519 is een elliptisch curve-signatuurschema dat betere beveiliging biedt dan ECDSA en DSA en goede prestaties biedt. Het kan worden gebruikt voor zowel gebruikers- als hostsleutels.
• Voeg een nieuwe private key-indeling toe die een bcrypt KDF gebruikt om toetsen in rust beter te beschermen. Dit formaat wordt onvoorwaardelijk gebruikt voor de Ed25519-toetsen, maar kan worden aangevraagd bij het genereren of opslaan van bestaande toetsen van andere typen via de optie -o ssh-keygen (1). We zijn van plan het nieuwe formaat in de nabije toekomst als standaard te gebruiken. Details van de nieuwe indeling staan ​​in het bestand PROTOCOL.key.
• ssh (1), sshd (8): voeg een nieuw transportversleutelwoord toe "chacha20-poly1305@openssh.com" dat de ChaCha20-stroomcijfer van Daniel Bernstein en de Poly1305 MAC combineert om een ​​geauthenticeerde versleutelingsmodus te bouwen. Details staan ​​in het bestand PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): weiger RSA-sleutels van oude eigen clients en servers die het verouderde RSA + MD5-handtekeningschema gebruiken. Het is nog steeds mogelijk om verbinding te maken met deze clients / servers, maar alleen DSA-sleutels worden geaccepteerd en OpenSSH weigert de verbinding volledig in een toekomstige release.
• ssh (1), sshd (8): weiger oude eigen clients en servers die een zwakkere hash-berekening voor sleuteluitwisseling gebruiken.
• ssh (1): Vergroot de grootte van de Diffie-Hellman-groepen die zijn aangevraagd voor elke symmetrische sleutelgrootte. Nieuwe waarden van NIST Speciale publicatie 800-57 met de bovenlimiet gespecificeerd door RFC4419.
• ssh (1), ssh-agent (1): Ondersteun pkcs # 11 tokes die alleen X.509 certs leveren in plaats van raw public keys (aangevraagd als bz # 1908).
• ssh (1): voeg een ssh_config (5) & quot; Match & quot; toe sleutelwoord waarmee conditionele configuratie kan worden toegepast door matching op hostnaam, gebruiker en resultaat van willekeurige commando's.
• ssh (1): Ondersteuning toevoegen voor canonicalisatie van host-side hostnamen met een set DNS-achtervoegsels en regels in ssh_config (5). Hierdoor kunnen niet-gekwalificeerde namen worden geanonimiseerd tot volledig gekwalificeerde domeinnamen om dubbelzinnigheid te voorkomen bij het opzoeken van sleutels in bekende_hosts of het controleren van de namen van hostcertificaten.
• sftp-server (8): voeg de mogelijkheid toe om op een witte lijst een lijst met sftp-protocolverzoeken op naam te plaatsen en / of zwart te maken.
• sftp-server (8): voeg een sftp toe "fsync@openssh.com & quot; ondersteunen van het aanroepen van fsync (2) op een open bestandshandvat.
• sshd (8): Voeg een ssh_config (5) PermitTTY toe om de TTY-toewijzing niet toe te staan, als afspiegeling van de al lang bestaande author -keys-optie zonder pit.
• ssh (1): voeg een ssh_config ProxyUseFDPass-optie toe die het gebruik van ProxyCommands ondersteunt die een verbinding tot stand brengen en vervolgens een verbonden bestandsdescriptor doorgeven aan ssh (1). Hierdoor kan de ProxyCommand afsluiten in plaats van rond te blijven om gegevens over te dragen.
• Bugfixes:
• ssh (1), sshd (8): herstel mogelijke uitputting van stacks veroorzaakt door geneste certificaten.
• ssh (1): bz # 1211: maak BindAddress met UsePrivilegedPort.
• sftp (1): bz # 2137: repareer de voortgangsmeter voor hervatte overdracht.
• ssh-add (1): bz # 2187: vraag geen smartcard-pincode aan bij het verwijderen van sleutels van ssh-agent.
• sshd (8): bz # 2139: herstel ex-fallback wanneer origineel sshd binair bestand niet kan worden uitgevoerd.
• ssh-keygen (1): maak relatieve vervaltijden van het certificaat ten opzichte van de huidige tijd en niet de starttijd van de geldigheid.
• sshd (8): bz # 2161: repareer AuthorizedKeysCommand in een overeenkomstblok.
• sftp (1): bz # 2129: koppeling van een bestand zou het doelpad ten onrechte kanonicaliseren.
• ssh-agent (1): bz # 2175: maak een use-after-free in het PKCS # 11 agenthelper-programma.
• sshd (8): Logboekregistratie van sessies verbeteren met de gebruikersnaam, externe host en poort, het sessietype (shell, opdracht, etc.) en toegewezen TTY (indien aanwezig).
• sshd (8): bz # 1297: vertel de client (via een foutopsporing) wanneer hun voorkeursluisteradres is opgeheven door de GatewayPorts-instelling van de server.
• sshd (8): bz # 2162: rapporteer de rapportagepoort in een slecht protocolbannermelding.
• sftp (1): bz # 2163: herstel geheugenlek in foutpad in do_readdir ().
• sftp (1): bz # 2171: lek geen bestandsdescriptor op fout.
• sshd (8): plaats het lokale adres en de poort in & quot; Connection from ... & quot; bericht (alleen weergegeven op logniveau & gt; = uitgebreid).
• Portable OpenSSH:
• Houd er rekening mee dat dit de laatste versie is van Portable OpenSSH die versies van OpenSSL ondersteunt vóór 0.9.6. Ondersteuning (dat wil zeggen SSH_OLD_EVP) wordt verwijderd na de release van 6.5p1.
• Portable OpenSSH zal compileren en linken als een Position Independent Executable op Linux, OS X en OpenBSD op recente gcc-achtige compilers. Andere platforms en oudere / andere compilers kunnen dit aanvragen met de --with-pie configure flag.
• Een aantal andere toolchain-gerelateerde verhardingsopties worden automatisch gebruikt indien beschikbaar, inclusief -ftrapv om de ondertekende integer-overflow af te breken en opties om dynamische koppelingsinformatie tegen schrijven te beschermen. Het gebruik van deze opties kan worden uitgeschakeld met behulp van de - without-hardening configure flag.
• Als de toolchain dit ondersteunt, wordt een van de -fstack-protector-strong, -fstack-protector-all of -fstack-protector compilatie-vlag gebruikt om bewakers toe te voegen om aanvallen te matigen op basis van stackoverlopen. Het gebruik van deze opties kan worden uitgeschakeld met de --without-stackprotect configure-optie.
• sshd (8): Ondersteuning toevoegen voor pre-authenticatie sandboxing met behulp van de Capsicum API die is geïntroduceerd in FreeBSD 10.
• Schakel over naar een op ChaCha20 gebaseerde arc4random () PRNG voor platforms die niet de hun eigen zijn.
• sshd (8): bz # 2156: herstel de instelling oom_adj van Linux bij het gebruik van SIGHUP om het gedrag bij retart te behouden.
• sshd (8): bz # 2032: gebruik de lokale gebruikersnaam in krb5_kuserok check in plaats van de volledige clientnaam, die van form user @ REALM kan zijn.
• ssh (1), sshd (8): Test voor zowel de aanwezigheid van ECC NID-nummers in OpenSSL als dat ze echt werken. Fedora (tenminste) heeft NID_secp521r1 dat niet werkt.
• bz # 2173: gebruik pkg-config --libs om correcte -L-locatie voor libedit te bevatten.

Wat is nieuw in versie 6.4p1:

• Deze versie repareert een beveiligingsbug: sshd (8) : verhelpt een probleem met geheugenbeschadiging veroorzaakt tijdens het opnieuw toewijzen wanneer een AES-GCM-codering is geselecteerd. Volledige informatie over de kwetsbaarheid is beschikbaar op: http://www.openssh.com/txt/gcmrekey.adv

Wat is nieuw in versie 6.3p1:

• Kenmerken:
• sshd (8): voeg ssh-agent (1) ondersteuning toe aan sshd (8); staat gecodeerde hosttoetsen of hostkeys op smartcards toe.
• ssh (1) / sshd (8): hiermee kunt u optioneel op tijd gebaseerd opnieuw toewijzen via een tweede argument aan de bestaande RekeyLimit-optie. RekeyLimit wordt nu ondersteund in sshd_config en op de client.
• sshd (8): standaardlogboekregistratie van informatie tijdens gebruikersauthenticatie.
• De gepresenteerde sleutel / cert en de externe gebruikersnaam (indien beschikbaar) zijn nu aangemeld in het bericht voor verificatie van succes / mislukking op dezelfde logregel als de lokale gebruikersnaam, externe host / poort en het gebruikte protocol. De inhoud van het certificaat en de vingerafdruk van de ondertekende CA worden ook gelogd.
• Als alle relevante informatie op één regel wordt vermeld, wordt loganalyse vereenvoudigd, omdat het niet langer nodig is om informatie die is verspreid over meerdere logboekvermeldingen, met elkaar te verbinden.
• ssh (1): voeg de mogelijkheid toe om te vragen welke coderingen, MAC-algoritmen, sleuteltypen en sleuteluitwisselingsmethoden worden ondersteund in het binaire bestand.
• ssh (1): ondersteuning voor ProxyCommand = - om ondersteuning te bieden voor gevallen waarbij stdin en stdout al naar de proxy verwijzen.
• ssh (1): sta IdentityFile = none
toe
• ssh (1) / sshd (8): voeg de optie -E aan ssh en sshd toe om logbestanden voor foutopsporing toe te voegen aan een opgegeven bestand in plaats van stderr of syslog.
• sftp (1): ondersteuning toevoegen voor het hervatten van gedeeltelijke downloads met behulp van de & quot; reget & quot; opdracht en op de sftp-opdrachtregel of op de & quot; get & quot; commandline met behulp van de & quot; -a & quot; (toevoegen) optie.
• ssh (1): voeg een & quot; IgnoreUnknown & quot; toe configuratieoptie om selectief fouten te onderdrukken die voortkomen uit onbekende configuratierichtlijnen.
• sshd (8): ondersteuning toevoegen voor submethoden die moeten worden toegevoegd aan vereiste authenticatiemethoden die worden vermeld via AuthenticationMethods.
• Bugfixes:
• sshd (8): herstel weigering om certificaat te accepteren als een sleutel van een ander type dan de CA-sleutel werd weergegeven in authorized_keys voor de CA-sleutel.
• ssh (1) / ssh-agent (1) / sshd (8): gebruik een monotone tijdbron voor timers zodat dingen als keepalives en het opnieuw toewijzen correct werken tijdens de klokstappen.
• sftp (1): update de voortgangsmeter wanneer gegevens worden bevestigd, niet wanneer het wordt verzonden. BZ # 2108
• ssh (1) / ssh-keygen (1): verbeter foutmeldingen wanneer de huidige gebruiker niet bestaat in / etc / passwd; BZ # 2125
• ssh (1): reset de volgorde waarin openbare sleutels worden geprobeerd na gedeeltelijke authenticatiesucces.
• ssh-agent (1): maak socket-bestanden op na SIGINT in debug-modus; BZ # 2120
• ssh (1) en anderen: vermijd verwarrende foutmeldingen in het geval van kapotte systeemresolverconfiguraties; BZ # 2122
• ssh (1): stel TCP-nodelay in voor verbindingen die zijn gestart met -N; BZ # 2124
• ssh (1): juiste handleiding voor toestemmingsvereisten op ~ / .ssh / config; BZ # 2078
• ssh (1): herstel time-out van ControlPersist wordt niet geactiveerd in gevallen waarin TCP-verbindingen zijn opgehangen. BZ # 1917
• ssh (1): een ControlPersist-master op de juiste manier ontlenen aan de controleterminal.
• sftp (1): vermijd crashes in libedit wanneer het is gecompileerd met ondersteuning voor meerdere bytes. BZ # 1990
• sshd (8): wanneer u sshd -D uitvoert, sluit u stderr, tenzij we expliciet hebben verzocht om loggen naar stderr. BZ # 1976
• ssh (1): onvolledige bzero repareren; BZ # 2100
• sshd (8): log and error en exit als ChrootDirectory is opgegeven en wordt uitgevoerd zonder rootprivileges.
• Veel verbeteringen aan de regressietestreeks. In het bijzonder worden logbestanden nu na falingen bewaard van ssh en sshd.
• Een aantal geheugenlekken oplossen. bz # 1967 bz # 2096 en anderen
• sshd (8): authenticatie van openbare sleutels herstellen wanneer a: stijl is toegevoegd aan de gevraagde gebruikersnaam.
• ssh (1): niet noodlottig afsluiten bij pogingen om door multiplexing gemaakte kanalen op te ruimen die onvolledig zijn geopend. BZ # 2079
• Portable OpenSSH:
• Grote revisie van contrib / cygwin / README
• Los niet-toegankelijke toegangen op in umac.c voor strikte-uitlijningsarchitecturen. BZ # 2101
• Activeer -Wsizeof-pointer-memaccess als de compiler dit ondersteunt. BZ # 2100
• Verbeterde fouten bij het corrigeren van commandoregels oplossen. BZ # 1448
• Neem alleen SHA256- en ECC-gebaseerde sleuteluitwisselingsmethoden op als libcrypto de vereiste ondersteuning heeft.
• Fix crash in SOCKS5 dynamische doorstuurcode op strict-alignment architecturen.
• Een aantal portabiliteitscorrecties voor Android: * Probeer niet om lastlog op Android te gebruiken; bz # 2111 * Ga terug naar het gebruik van openssl's DES_crypt-functie op platvormen die geen native crypt () -functie hebben; bz # 2112 * Test voor fd_mask, howmany en NFDBITS in plaats van te proberen de plaforms op te sommen die ze niet hebben. bz # 2085 * Vervang S_IWRITE, dat niet gestandaardiseerd is, met S_IWUSR, wat is. bz # 2085 * Voeg een nulimplementatie van endgrent toe voor platforms die dit niet hebben (bijv. Android) bz # 2087 * Ondersteuningsplatforms, zoals Android, die struct passwd.pw_gecos niet bevatten. BZ # 2086

Wat is nieuw in versie 6.2p2:

• sshd (8): De secomp-filters-sandbox van Linux wordt nu ondersteund op ARM platforms waar de kernel dit ondersteunt.
• sshd (8): De seccomp-filtersandbox wordt niet ingeschakeld als de systeemkoppen dit tijdens de compilatie ondersteunen, ongeacht of deze dan kan worden ingeschakeld. Als het runtime-systeem seccomp-filter niet ondersteunt, zal sshd terugvallen op de rlimit pseudo-sandbox.
• ssh (1): niet linken in de Kerberos-bibliotheken. Ze zijn niet nodig op de client, alleen op sshd (8). BZ # 2072
• Fix GSSAPI-koppeling op Solaris, die een GSSAPI-bibliotheek met een andere naam gebruikt. BZ # 2073
• Fix compilatie op systemen met openssl-1.0.0-fips.
• Los een aantal fouten op in de RPM-spec-bestanden.

Wat is nieuw in versie 5.8p1:

• Draagbare OpenSSH-foutmeldingen:
• Compilatiefout herstellen bij het inschakelen van SELinux-ondersteuning.
• Probeer de SELinux-functies niet aan te roepen wanneer SELinux is uitgeschakeld. BZ # 1851