Release OpenSSH 6.1

29 августа состоялся релиз OPENSSH 6.1, новой версии набора программ для шифровки данных по протоколу SSH. Ведущий разработчик Тэо де Раадт (Тэо де Раадт) и его помощники выражают благодарность всему сообществу пользователей OPENSSH за помощь в поиске багов. Версия 6.1 скромно позиционируется как багфикс-релиз, впрочем в нём реализован целый ряд новых опций. В первый раз в OPENSSH 6.1 включен режим "песочницы" изначально для всех новых инсталляций, режим возник в экспериментальном виде начиная с версии 5.9, чтоб ограничить вероятности злоумышленников по эскалации привилегий или проведению атак на сторонние узлы средством запуска прокси или открытия сокетов. Сейчас для всех инсталляций в конфигурационном файле демона sshd установлен флаг USEPRIVILEGESEPARATION=sandbox.



В sshd_config у директивы PERMITOPEN возник довод "none", что обозначает отказ в любых запросах на перенаправление портов. Такой же довод сейчас возможно прописать для AUTHORIZEDPRINCIPALSFILE. В генераторе пар ключей ssh-keygen добавлены опции для определения номера стартовой строки и числа строк обработки в ходе обработки файла moduli, так что сейчас возможно создавать это параллельными потоками, одномоментно считывая различные фрагменты файла. Более того, генератор ключей научился конвертировать ключи RSA1 в публичные PEM и PKCS8. Директива Match в демоне sshd сейчас поддерживает проверку локального (listen) адреса и порта, на коем устанавливается входящее соединение ч/з LOCALADDRESS и LOCALPORT. В конфигурации sshd_config для директивы Match разрешается установка параметров ACCEPTENV и {Allow,Deny}{Users,Groups}. Добавлена проверка ключей ECDSA (Elliptic Curve Digital Signature Algorithm) ч/з DNS, с этой целью реализована помощь DNS-записей в формате RFC6594 SSHFP, а вспомогательная утилита ssh-keyscan сейчас изначально может собирать публичные ключи ECDSA с иных хостов. И ещё 1 маленькая, однако приятная доработка: веб-мастер сейчас может добавлять произвольный текст к номеру версии SSH, какой выдаётся сервером - этот текст прописывается в конфиге sshd_config ч/з директиву VERSIONADDENDUM. 

On August, 29th release OpenSSH 6.1, the new version of a set of programs for enciphering of the data under report SSH has taken place. Leading developer Teo де to Raadt (the Feasibility report де Raadt) and its assistants express gratitude to all community of users OpenSSH for the help in search of bugs. Version 6.1 is modestly positioned as bagfiks-release though in it variety of new options is realised. For the first time in OpenSSH 6.1 "the sandbox" mode by default for all new installations is included, the mode has appeared in an experimental kind since version 5.9 to limit possibilities of malefactors on escalation of privileges or carrying out of attacks to foreign knots by means of start of a proxy or opening of sockets. Now for all installations in a configuration file of a demon sshd flag UsePrivilegeSeparation=sandbox is established. In sshd_config instruction PermitOpen had an argument "none" that means refusal in any inquiries about a redirection of ports. The same argument can be registered now for AuthorizedPrincipalsFile. In the generator of pairs keys ssh-keygen options for definition of number of a starting line and quantity of lines of processing in the course of file processing moduli so now it is possible to do it by parallel streams are added, simultaneously reading out different fragments of a file. Besides, the generator of keys has learnt to convert keys RSA1 in public PEM and PKCS8. Instruction Match in a demon sshd supports now check local (listen) the address and port on which entering connection through LocalAddress and LocalPort is established. In a configuration sshd_config for instruction Match installation of parametres AcceptEnv and {Allow, Deny} {Users, Groups} is authorised. Check of keys ECDSA is added (Elliptic Curve Digital Signature Algorithm) through DNS, is with that end in view realised support of DNS-records in format RFC6594 SSHFP, and the auxiliary utility ssh-keyscan by default can collect now public keys ECDSA from other hosts. And one more small, but pleasant completion: the web master can add now any text to number of version SSH which stands out the server — this text registers in a config sshd_config through instruction VersionAddendum.


Теги: OpenSSH 6.1,нестандартный взгляд на проблемму,puzater,это интересно,свежие новости,вокруг проблемы,удивительное рядом,новости с юмором,пузатер