Portable OpenSSH

Portable OpenSSH è un progetto software open source, una versione portatile della suite di protocolli OpenSSH (Open Source Secure Shell) di utilità di connettività di rete che vengono utilizzati oggi su Internet da un numero crescente di persone . È stato progettato dall'offset per crittografare tutto il traffico di rete, comprese le password, al fine di eliminare efficacemente potenziali attacchi che non è possibile prevedere, come i tentativi di intercettazione della connessione o l'intercettazione.

Le caratteristiche principali includono una forte crittografia basata sugli algoritmi Blowfish, AES, 3DES e Arcfour, l'inoltro X11 tramite la crittografia del traffico del sistema X Window, l'autenticazione forte basata sui protocolli Kerberos Authentication, Chiave pubblica e One-Time Password, nonché port forwarding tramite la crittografia dei canali per i protocolli legacy.

Inoltre, il software viene fornito con l'inoltro dell'agente in base alle specifiche SSO (Single-Sign-On), passaggio ticket AFS e Kerberos, supporto per client e server SFTP (Secure FTP) in entrambi i protocolli SSH1 e SSH2, compressione dati e interoperabilità, che rende il programma conforme agli standard di protocollo SSH 1.3, 1.5 e 2.0.

Che cosa è incluso?

Una volta installato, OpenSSH sostituirà automaticamente le utility Telnet e rlogin con il programma SSH (Secure Shell), nonché lo strumento FTP con SFTP e RCP con SCP. Inoltre, include il daemon SSH (sshd) e varie utilità utili, come ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan e sftp-server.

L'intero progetto è scritto nel linguaggio di programmazione C ed è distribuito come archivio di fonti universale per tutti i sistemi operativi GNU / Linux, consentendo di installarlo su computer a 32 o 64 bit (consigliati).

Si noti che il tarball delle fonti richiede di configurare e compilare il progetto prima dell'installazione, quindi consigliamo vivamente agli utenti finali di provare a installarlo dagli archivi software predefiniti del proprio sistema operativo GNU / Linux.

Novità di in questa versione:

• ssh (1), sshd (8): correzione della compilazione disabilitando automaticamente le cifrature non supportate da OpenSSL. bz # 2466
• misc: corregge gli errori di compilazione su alcune versioni del compilatore di AIX correlate alla definizione della macro VA_COPY. bz # 2589
• sshd (8): consente di autorizzare più architetture per abilitare la sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): disabilita la traccia del processo su Solaris usando setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): su Solaris, non chiamare Solaris setproject () con UsePAM = yes, è responsabilità di PAM. bz # 2425

Novità della versione nella versione:

• ssh (1), sshd (8): raccolta di correzioni per disabilitazione automatica di cifrari non supportati da OpenSSL. bz # 2466
• misc: corregge gli errori di compilazione su alcune versioni del compilatore di AIX correlate alla definizione della macro VA_COPY. bz # 2589
• sshd (8): consente di autorizzare più architetture per abilitare la sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): disabilita la traccia del processo su Solaris usando setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): su Solaris, non chiamare Solaris setproject () con UsePAM = yes, è responsabilità di PAM. bz # 2425

Novità nella versione 7.4p1:

• ssh (1), sshd (8): correzione della compilazione disattivando automaticamente le cifre non supportate da OpenSSL. bz # 2466
• misc: corregge gli errori di compilazione su alcune versioni del compilatore di AIX correlate alla definizione della macro VA_COPY. bz # 2589
• sshd (8): consente di autorizzare più architetture per abilitare la sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): disabilita la traccia del processo su Solaris usando setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): su Solaris, non chiamare Solaris setproject () con UsePAM = yes, è responsabilità di PAM. bz # 2425

Novità nella versione 7.3p1:

• ssh (1), sshd (8): correzione della compilazione disabilitando automaticamente le cifrature non supportate da OpenSSL. bz # 2466
• misc: corregge gli errori di compilazione su alcune versioni del compilatore di AIX correlate alla definizione della macro VA_COPY. bz # 2589
• sshd (8): consente di autorizzare più architetture per abilitare la sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): disabilita la traccia del processo su Solaris usando setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): su Solaris, non chiamare Solaris setproject () con UsePAM = yes, è responsabilità di PAM. bz # 2425

Novità nella versione 7.2p2:

• Correzione di bug:
• ssh (1), sshd (8): aggiungi soluzioni alternative per compatibilità con FuTTY
• ssh (1), sshd (8): raffina le soluzioni di compatibilità per WinSCP
• Correggere un numero di errori di memoria (doppio libero, privo di memoria non inizializzata, ecc.) in ssh (1) e ssh-keygen (1). Segnalato da Mateusz Kocielski.

Novità nella versione 7.1p1:

• Bugfix:
• ssh (1), sshd (8): aggiungi soluzioni alternative per compatibilità con FuTTY
• ssh (1), sshd (8): raffina le soluzioni di compatibilità per WinSCP
• Correggere un numero di errori di memoria (doppio libero, privo di memoria non inizializzata, ecc.) in ssh (1) e ssh-keygen (1). Segnalato da Mateusz Kocielski.

Novità nella versione 6.9p1:

• sshd (8): imposta l'impostazione UsePAM quando usi sshd -T, parte di bz # 2346
• Cerca '$ {host} -ar' prima di 'ar', rendendo più facile la compilazione incrociata; bz # 2352.
• Diverse correzioni di compilazione portatili: bz # 2402, bz # 2337, bz # 2370
• moduli (5): aggiorna i moduli DH-GEX

Novità nella versione 6.8p1:

• Supporto - senza-openssl al momento della configurazione. Disabilita e rimuove la dipendenza da OpenSSL. Molte funzioni, incluso il protocollo SSH 1 non sono supportate e l'insieme delle opzioni di crittografia è fortemente limitato. Funzionerà solo su sistemi con arc4random nativo o / dev / urandom. Considerato altamente sperimentale per ora.
• Supporto - opzione without-ssh1 al momento della configurazione. Permette di disabilitare il supporto per il protocollo SSH 1.
• sshd (8): correzione della compilazione su sistemi con supporto IPv6 in utmpx; bz # 2296
• Permetti il ​​nome del servizio personalizzato per sshd su Cygwin. Permette l'uso di più sshd in esecuzione con nomi di servizio diversi.

Novità nella versione 6.7p1:

• Portable OpenSSH ora supporta la costruzione contro libressl-portable.
• Portable OpenSSH ora richiede openssl 0.9.8f o superiore. Le versioni precedenti non sono più supportate.
• Nel controllo della versione di OpenSSL, consenti l'aggiornamento della versione di correzione (ma non i downgrade. Bug Debian # 748150.
• sshd (8): su Cygwin, determinare l'utente con separazione dei privilegi in fase di esecuzione, poiché potrebbe essere necessario un account di dominio.
• sshd (8): non tentare di utilizzare vhangup su Linux. Non funziona per gli utenti non root, e per loro è solo un errore nelle impostazioni tty.
• Utilizzare CLOCK_BOOTTIME in preferenza su CLOCK_MONOTONIC quando è disponibile. Considera il tempo trascorso sospeso, garantendo in tal modo che i timeout (ad es. Per le chiavi dell'agente in scadenza) vengano attivati ​​correttamente. bz # 2228
• Aggiungi il supporto per ed25519 allo script initshd.init init.
• sftp-server (8): Sulle piattaforme che lo supportano, usa prctl () per impedire a sftp-server di accedere a / proc / self / {mem, maps}

Novità nella versione 6.5p1:

• Nuove funzionalità:
• ssh (1), sshd (8): aggiunge il supporto per lo scambio di chiavi usando la curva ellittica Diffie Hellman in Curve25519 di Daniel Bernstein. Questo metodo di scambio delle chiavi è l'impostazione predefinita quando sia il client che il server lo supportano.
• ssh (1), sshd (8): aggiunge il supporto per Ed25519 come un tipo di chiave pubblica. Ed25519 è uno schema di firma a curva ellittica che offre una sicurezza migliore rispetto a ECDSA e DSA e buone prestazioni. Può essere utilizzato sia per le chiavi utente che per quelle host.
• Aggiungi un nuovo formato di chiave privata che utilizza un KCR bcrypt per proteggere meglio le chiavi a riposo. Questo formato viene utilizzato senza condizioni per le chiavi Ed25519, ma può essere richiesto durante la generazione o il salvataggio di chiavi esistenti di altri tipi tramite l'opzione -o ssh-keygen (1). Intendiamo rendere il nuovo formato predefinito nel prossimo futuro. I dettagli del nuovo formato si trovano nel file PROTOCOL.key.
• ssh (1), sshd (8): aggiungi un nuovo codice di trasporto & quot; chacha20-poly1305@openssh.com" che combina il codificatore di flusso ChaCha20 di Daniel Bernstein e il MAC Poly1305 per creare una modalità di crittografia autenticata. I dettagli sono nel file PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): rifiuta le chiavi RSA da vecchi client e server proprietari che utilizzano lo schema di firma RSA + MD5 obsoleto. Sarà comunque possibile connettersi con questi client / server ma verranno accettate solo le chiavi DSA e OpenSSH rifiuterà completamente la connessione in una versione futura.
• ssh (1), sshd (8): rifiuta i vecchi client e server proprietari che utilizzano un calcolo dell'hash per lo scambio di chiavi più debole.
• ssh (1): aumenta la dimensione dei gruppi Diffie-Hellman richiesti per ogni dimensione della chiave simmetrica. Nuovi valori dalla pubblicazione speciale NIST 800-57 con il limite superiore specificato da RFC4419.
• ssh (1), ssh-agent (1): supporta i token pkcs # 11 che forniscono solo certificati X.509 invece di chiavi pubbliche non elaborate (richiesto come bz # 1908).
• ssh (1): aggiungi un ssh_config (5) & quot; Match & quot; parola chiave che consente di applicare la configurazione condizionale facendo corrispondere hostname, utente e risultato di comandi arbitrari.
• ssh (1): aggiunge il supporto per la canonicalizzazione del nome host lato client usando un set di suffissi e regole DNS in ssh_config (5). Ciò consente ai nomi non qualificati di essere canonicalizzati a nomi di dominio completi per eliminare l'ambiguità durante la ricerca delle chiavi in ​​known_hosts o nel controllo dei nomi dei certificati host.
• sftp-server (8): aggiungi la possibilità di inserire nella whitelist e / o nella lista nera le richieste di protocollo sftp per nome.
• sftp-server (8): aggiungi uno sftp & quot; fsync@openssh.com" per supportare la chiamata a fsync (2) su un handle di file aperto.
• sshd (8): aggiungi un ssh_config (5) PermitTTY per disabilitare l'allocazione TTY, rispecchiando l'opzione long_py authorized_keys di vecchia data.
• ssh (1): aggiunge un'opzione ssh_config ProxyUseFDPass che supporta l'uso di ProxyCommands che stabilisce una connessione e quindi restituisce un descrittore di file connesso a ssh (1). Ciò consente a ProxyCommand di uscire piuttosto che rimanere in giro per trasferire i dati.
• Bugfix:
• ssh (1), sshd (8): corregge il potenziale esaurimento dello stack causato dai certificati nidificati.
• ssh (1): bz # 1211: fai funzionare BindAddress con UsePrivilegedPort.
• sftp (1): bz # 2137: correggi lo strumento di avanzamento per il trasferimento ripreso.
• ssh-add (1): bz # 2187: non richiedere il PIN della smartcard quando si rimuovono le chiavi da ssh-agent.
• sshd (8): bz # 2139: correggi il fallback di riesecuzione quando il binario sshd originale non può essere eseguito.
• ssh-keygen (1): imposta i tempi di scadenza dei certificati relativi relativi all'ora corrente e non all'ora di inizio della validità.
• sshd (8): bz # 2161: fix AuthorizedKeysCommand all'interno di un blocco Match.
• sftp (1): bz # 2129: il collegamento simbolico di un file non può canonizzare correttamente il percorso di destinazione.
• ssh-agent (1): bz # 2175: correggi un use-after-free nell'eseguibile dell'host agent PKCS # 11.
• sshd (8): migliora la registrazione delle sessioni per includere il nome utente, l'host remoto e la porta, il tipo di sessione (shell, comando, ecc.) e il TTY assegnato (se presente).
• sshd (8): bz # 1297: comunica al client (tramite un messaggio di debug) quando l'indirizzo di ascolto preferito è stato sovrascritto dall'impostazione GatewayPorts del server.
• sshd (8): bz # 2162: include la porta del report nel messaggio di banner con protocollo non valido.
• sftp (1): bz # 2163: correzione della perdita di memoria nel percorso di errore in do_readdir ().
• sftp (1): bz # 2171: non perdere il descrittore di file in caso di errore.
• sshd (8): includi l'indirizzo locale e la porta in & quot; Connessione da ... & quot; messaggio (mostrato solo su loglevel & gt; = verbose).
• OpenSSH portatile:
• Si noti che questa è l'ultima versione di Portable OpenSSH che supporterà le versioni di OpenSSL precedenti alla 0.9.6. Il supporto (ad esempio SSH_OLD_EVP) verrà rimosso dopo la versione 6.5p1.
• Portable OpenSSH tenterà la compilazione e il collegamento come Eseguibile Indipendente dalla Posizione su Linux, OS X e OpenBSD su recenti compilatori gcc-like. Altre piattaforme e vecchi / altri compilatori possono richiedere questo utilizzando il flag configure -with-pie.
• Numerose altre opzioni di hardening relative alla toolchain vengono utilizzate automaticamente se disponibili, tra cui -ftrapv per interrompere l'overflow dei caratteri interi con segno e opzioni per proteggere le informazioni di collegamento dinamico in scrittura. L'uso di queste opzioni può essere disabilitato usando il flag configure withwith-hardening.
• Se la toolchain lo supporta, uno dei flag di compilazione -fstack-protector-strong, -fstack-protector-all o -fstack-protector viene utilizzato per aggiungere guardie per mitigare gli attacchi in base allo stack overflow. L'uso di queste opzioni può essere disabilitato usando l'opzione di configurazione --without-stackprotect.
• sshd (8): aggiungi il supporto per la sandbox di pre-autenticazione utilizzando l'API Capsicum introdotta in FreeBSD 10.
• Passa a un PRNG arc4random () basato su ChaCha20 per piattaforme che non forniscono il proprio.
• sshd (8): bz # 2156: ripristina l'impostazione di oom_adj di Linux durante la gestione di SIGHUP per mantenere il comportamento oltre il retart.
• sshd (8): bz # 2032: usa il nome utente locale nel controllo krb5_kuserok piuttosto che il nome completo del client che potrebbe essere di forma utente @ REALM.
• ssh (1), sshd (8): verifica sia la presenza di numeri di NID ECC in OpenSSL che il loro funzionamento effettivo. Fedora (almeno) ha NID_secp521r1 che non funziona.
• bz # 2173: usa pkg-config --libs per includere la posizione -L corretta per libedit.

Novità nella versione 6.4p1:

• Questa versione corregge un bug di sicurezza: sshd (8) : consente di correggere un problema di corruzione della memoria attivato durante il rekeying quando viene selezionato un codice AES-GCM. I dettagli completi sulla vulnerabilità sono disponibili all'indirizzo: http://www.openssh.com/txt/gcmrekey.adv

Novità nella versione 6.3p1:

• Caratteristiche:
• sshd (8): aggiungi il supporto ssh-agent (1) a sshd (8); consente di utilizzare i tasti host crittografati o i tasti host su smartcard.
• ssh (1) / sshd (8): consente la rekeying basata sul tempo opzionale tramite un secondo argomento sull'opzione RekeyLimit esistente. RekeyLimit è ora supportato in sshd_config e sul client.
• sshd (8): standardizza la registrazione delle informazioni durante l'autenticazione dell'utente.
• La chiave / cert presentata e il nome utente remoto (se disponibile) vengono ora registrati nel messaggio di successo / errore di autenticazione sulla stessa riga del log come nome utente locale, host / porta remota e protocollo in uso. Vengono registrati anche i contenuti dei certificati e l'impronta digitale chiave della CA di firma.
• L'inclusione di tutte le informazioni rilevanti su una singola riga semplifica l'analisi del registro in quanto non è più necessario correlare le informazioni sparse tra più voci del registro.
• ssh (1): aggiungi la possibilità di interrogare quali cifrari, algoritmi MAC, tipi di chiavi e metodi di scambio di chiavi sono supportati nel binario.
• ssh (1): supporta ProxyCommand = - per consentire i casi di supporto in cui stdin e stdout puntano già al proxy.
• ssh (1): allow IdentityFile = none
• ssh (1) / sshd (8): aggiungi l'opzione -E a ssh e sshd per aggiungere log di debug a un file specificato invece di stderr o syslog.
• sftp (1): aggiungi il supporto per riprendere i download parziali usando il & quot; reget & quot; comando e sulla riga di comando sftp o sul & quot; ottieni & quot; riga di comando usando il & quot; -a & quot; (aggiungere) opzione.
• ssh (1): aggiungi un & quot; IgnoreUnknown & quot; opzione di configurazione per sopprimere selettivamente gli errori derivanti da direttive di configurazione sconosciute.
• sshd (8): aggiungi il supporto per i submethod da aggiungere ai metodi di autenticazione richiesti elencati tramite AuthenticationMethods.
• Bugfix:
• sshd (8): risolve il rifiuto di accettare il certificato se una chiave di un tipo diverso alla chiave CA è stata visualizzata in authorized_keys prima della chiave CA.
• ssh (1) / ssh-agent (1) / sshd (8): usa un'origine temporale monotona per i timer in modo che cose come keepalive e rekeying funzionino correttamente durante i passaggi di clock.
• sftp (1): aggiorna il progressimetro quando i dati vengono riconosciuti, non quando viene inviato. bz # 2108
• ssh (1) / ssh-keygen (1): migliora i messaggi di errore quando l'utente corrente non esiste in / etc / passwd; bz # 2125
• ssh (1): reimposta l'ordine in cui le chiavi pubbliche vengono tentate dopo il successo dell'autenticazione parziale.
• ssh-agent (1): ripulire i file socket dopo SIGINT in modalità debug; bz # 2120
• ssh (1) e altri: evitare di confondere i messaggi di errore nel caso di configurazioni di resolver di sistema non funzionanti; bz # 2122
• ssh (1): imposta il nodelay TCP per le connessioni iniziate con -N; bz # 2124
• ssh (1): manuale corretto per i requisiti di autorizzazione su ~ / .ssh / config; bz # 2078
• ssh (1): correzione del timeout di ControlPersist che non si attiva nei casi in cui le connessioni TCP sono state bloccate. bz # 1917
• ssh (1): deatch correttamente un master ControlPersist dal suo terminale di controllo.
• sftp (1): evita arresti anomali in libedit quando è stato compilato con supporto caratteri multibyte. bz # 1990
• sshd (8): quando si esegue sshd -D, si chiude stderr a meno che non si sia richiesto esplicitamente il log in stderr. bz # 1976
• ssh (1): fix incomplete bzero; bz # 2100
• sshd (8): log ed errore ed esce se ChrootDirectory è specificato e in esecuzione senza privilegi di root.
• Molti miglioramenti alla suite di test di regressione. In particolare, i file di registro vengono ora salvati da ssh e sshd dopo gli errori.
• Risolve un numero di perdite di memoria. bz # 1967 bz # 2096 e altri
• sshd (8): corregge l'autenticazione della chiave pubblica quando a: uno stile viene aggiunto al nome utente richiesto.
• ssh (1): non fatalmente uscire quando si tenta di pulire i canali creati con multiplexing che sono aperti in modo incompleto. bz # 2079
• OpenSSH portatile:
• Revisione generale di contrib / cygwin / README
• Correggi gli accessi non allineati in umac.c per architetture di allineamento rigoroso. bz # 2101
• Abilita -Wsizeof-pointer-memaccess se il compilatore lo supporta. bz # 2100
• Correzione degli errori di segnalazione errati della riga di comando. bz # 1448
• Include solo i metodi di scambio chiavi basati su SHA256 ed ECC se libcrypto ha il supporto richiesto.
• Correzione del crash nel codice di inoltro dinamico SOCKS5 su architetture di allineamento rigoroso.
• Un numero di correzioni alla portabilità per Android: * Non provare a utilizzare lastlog su Android; bz # 2111 * Ritornare all'utilizzo della funzione DES_crypt di openssl su platorms che non hanno una funzione nativa crypt (); bz # 2112 * Test per fd_mask, howmany e NFDBITS piuttosto che cercare di enumerare le plaform che non li hanno. bz # 2085 * Sostituisci S_IWRITE, che non è standardizzato, con S_IWUSR, che è. bz # 2085 * Aggiungi un'implementazione nulla di endgrent per piattaforme che non ce l'hanno (ad es. Android) bz # 2087 * Piattaforme di supporto, come Android, che mancano di strucw passwd.pw_gecos. bz # 2086

Novità nella versione 6.2p2:

• sshd (8): la sandbox con filtro Seccomp di Linux è ora supportata su ARM piattaforme in cui il kernel lo supporta.
• sshd (8): la sandbox del filtro seccomp non sarà abilitata se le intestazioni di sistema la supportano in fase di compilazione, indipendentemente dal fatto che possa essere abilitata in quel momento. Se il sistema run-time non supporta il filtro seccomp, sshd tornerà alla pseudo-sandbox di rlimit.
• ssh (1): non collegare nelle librerie Kerberos. Non sono necessari sul client, solo su sshd (8). bz # 2072
• Correzione del collegamento GSSAPI su Solaris, che utilizza una libreria GSSAPI con un nome diverso. bz # 2073
• Correggere la compilazione su sistemi con openssl-1.0.0-fips.
• Correggere un numero di errori nei file spec RPM.

Novità nella versione 5.8p1:

• Bugfixes OpenSSH portatili
• Corretto errore di compilazione durante l'abilitazione del supporto di SELinux.
• Non tentare di chiamare le funzioni di SELinux quando SELinux è disabilitato. bz # 1851