Доступен релиз OPENSSH 5.9


Рубрика: Новости Linux
Метки:
Просмотров: 2174

Доступен релиз OPENSSH 5.9 0, открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.

Из максимально заметных улучшений возможно подчеркнуть:

Помощь нового sandbox-режима "USEPRIVILEGESEPARATION=sandbox", использующего rlimit и systrace для более жесткой изоляции кода, работающего на стадии до начала аутентификации (pre-auth privsep child). Если раньше, до начала аутентификации практиковался сброс прав до непривилегированного пользователя и помещение процесса в chroot-окружение /var/empty, то сейчас возникли механизмы, позволяющие воспрепятствовать выполнению системных вызовов к ядру и применению сокетов. В случае проникновения ч/з уязвимость в OPENSSH при использовании новой защиты злоумышленник не сумеет эксплуатировать локальную уязвимость в ядре для повышения прав или провести атаку на иные хосты (сделать сокет, запустить прокси и т.п.).

В разных системах для работы нового sandbox-режима применяются разные механизмы. К примеру, в OPENBSD для лимиты количества допустимых системных вызовов задействована система systrace. Для Mac OS X и Darwin подготовлен модуль seatbelt, который использует подсистему sandbox для квесты политики лимиты доступа к файловой системе и сетевым ресурсам. Для иных систем вероятно применение механизма setrlimit для установки в ноль лимитов на количество файловых дескрипторов/сокетов, количество процессов и размер создаваемого файла. В будущем планируется обеспечить поддержку этих механизмов, как Capsicum и изолированных пространств имен в Линукс (pid/net namespaces).

Добавлены основанные на хэше SHA256 новые HMAC-режимы проверки целостности: hmac-sha2-256, hmac-sha2-256-96, hmac-sha2-512 и hmac-sha2-512-96;

Изменен способ ведения лога процессами в режиме изоляции привилегий, которые сейчас не требуют наличия /dev/log в chroot, а передают сообщения ч/з сокет, который обрабатывает основной master-процесс;

В директивах AUTHORIZEDKEYSFILE, USERKNOWNHOSTSFILE и GLOBALKNOWNHOSTSFILE сейчас возможно указывать одновременно несколько дорог, разделенных пробелом. Помощь недокументированных опций AUTHORIZEDKEYSFILE2 и GLOBALKNOWNHOSTSFILE2 остановлена - файлы authorized_keys2 и known_hosts2 сейчас указываются ч/з базовые опции;

В директиве CONTROLPATH на имя хоста назначения сейчас возможно ссылаться ч/з "%L";

В директиве "Host" добавлена помощь операций отрицания, к примеру: "Host *.example.org !c.example.org" примет "a.example.org" и "b.example.org", однако отвергнет "c.example.org";

В ssh_config добавлена помощь опции REQUESTTTY, которая дает возможность контролировать привязку к TTY по аналогии с опциями командной строки "-t/-tt/-T";

В sshd реализация аутентификации GSSAPI сейчас определяет, когда случаи сбоя на стороне сервера приводят к сбою аутентификации и не учитывает эти сбои при расчете лимита MAXAUTHTRIES;

В ssh-keygen добавлена опция "-A", при указании которой автоматически будут сделаны все типы недостающих ключей с параметрами изначально и пустым паролем. Опцию удобно применять в скриптах инициализации системы;

Возможность прекращения мультиплексирования соединений с сервером без обрыва уже установленных соединений ("ssh -O stop ...");

В ssh-add добавлена возможность приема ключей из стандартного ввода ("ssh-add - < /path/to/key");

В Portable OPENSSH устранены трудности со сборкой кода, обеспечивающего поддержку SELINUX; удалена помощь ssh-rand-helper (случайные количества запрашиваются из OPENSSL или ч/з PRNGD/EGD); обновлены .spec-файлы и скрипты инициализации для Линукс; устранены трудности со сборкой для платформ, без помощи dlopen().


  • Комментариев: 0

  • Вконтакте

  • Facebook:

    Оставьте комментарий!

    grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

    Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

    Имя и сайт используются только при регистрации

    Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

    Авторизация 

    MaxSiteAuth.

    (обязательно)