Portable OpenSSH

Portable OpenSSH er et open source-softwareprojekt, en bærbar version af OpenSSH (Open Source Secure Shell) -protokolpakken af ​​netværkstilslutningsværktøjer, der bruges i dag på internettet af et stigende antal mennesker . Det er designet fra offset til at kryptere al netværkstrafik, herunder adgangskoder, for effektivt at eliminere potentielle angreb, som du ikke kan forudsige, såsom forbindelseskapning forsøg eller aflytning.

Nøglefunktioner omfatter stærk kryptering baseret på Blowfish, AES, 3DES og Arcfour-algoritmer, X11 videresendelse ved kryptering af X Window System-trafikken, stærk godkendelse baseret på Kerberos-godkendelse, offentlig nøgle og engangsadgangskodeprotokoller, samt port videresendelse ved at kryptere kanaler for gamle protokoller.

Derudover leveres softwaren med videresendelse af agent baseret på SSO (Single Sign-On) -specifikationen, AFS og Kerberos-billetpasning, understøttelse af SFTP (Secure FTP) klient og server i både SSH1 og SSH2-protokoller, datakomprimering , og interoperabilitet, hvilket gør programmet til at overholde SSH 1.3, 1.5 og 2.0 protokollens standarder.

Hvad er inkluderet?

Når installeret, vil OpenSSH automatisk erstatte Telnet- og rlogin-hjælpeprogrammerne med SSH (Secure Shell) -programmet samt FTP-værktøjet med SFTP og RCP med SCP. Derudover omfatter den SSH-dæmonen (sshd) og forskellige nyttige hjælpeprogrammer, såsom ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan og sftp-server.

Hele projektet er skrevet i C programmeringssprog og distribueres som et universelt kilderarkiv for alle GNU / Linux operativsystemer, så du kan installere det på enten 32-bit eller 64-bit (anbefalet) computere.

Vær opmærksom på, at kilden tarball kræver, at du konfigurerer og kompilerer projektet forud for installationen, så vi anbefaler kraftigt slutbrugere at prøve at installere det fra standardprogrammerne i deres GNU / Linux-operativsystem.

Hvad er nyt i denne udgave:

• ssh (1), sshd (8): Fix kompilering ved automatisk at deaktivere cifre, der ikke understøttes af OpenSSL. bz # 2466
• Misc: Fix samlingsfejl på nogle versioner af AIXs kompilator relateret til definitionen af ​​VA_COPY-makroen. bz # 2589
• sshd (8): Hvidliste flere arkitekturer for at aktivere sekcomp-bpf sandkassen. bz # 2590
• ssh-agent (1), sftp-server (8): Deaktiver processporing på Solaris ved hjælp af setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): På Solaris skal du ikke ringe til Solaris setproject () med UsePAM = ja det er PAMs ansvar. bz # 2425

Hvad er nyt i version 7.4p1:

• ssh (1), sshd (8): Fix kompilering ved automatisk at deaktivere cifre, der ikke understøttes af OpenSSL. bz # 2466
• Misc: Fix samlingsfejl på nogle versioner af AIXs kompilator relateret til definitionen af ​​VA_COPY-makroen. bz # 2589
• sshd (8): Hvidliste flere arkitekturer for at aktivere sekcomp-bpf sandkassen. bz # 2590
• ssh-agent (1), sftp-server (8): Deaktiver processporing på Solaris ved hjælp af setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): På Solaris skal du ikke ringe til Solaris setproject () med UsePAM = ja det er PAMs ansvar. bz # 2425

Hvad er nyt i version 7.3p1:

• ssh (1), sshd (8): Fix kompilering ved automatisk at deaktivere cifre, der ikke understøttes af OpenSSL. bz # 2466
• Misc: Fix samlingsfejl på nogle versioner af AIXs kompilator relateret til definitionen af ​​VA_COPY-makroen. bz # 2589
• sshd (8): Hvidliste flere arkitekturer for at aktivere sekcomp-bpf sandkassen. bz # 2590
• ssh-agent (1), sftp-server (8): Deaktiver processporing på Solaris ved hjælp af setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): På Solaris skal du ikke ringe til Solaris setproject () med UsePAM = ja det er PAMs ansvar. bz # 2425

Hvad er nyt i version 7.2p2:

• Fejlfinding:
• ssh (1), sshd (8): Tilføj kompatibilitetsløsning til FuTTY
• ssh (1), sshd (8): Forbedre opløsningsmuligheder for WinSCP
• Fix et antal hukommelsesfejl (dobbeltfrit, fri for uninitialiseret hukommelse osv.) i ssh (1) og ssh-keygen (1). Rapporteret af Mateusz Kocielski.

Hvad er nyt i version 7.1p1:

• Fejlrettelser:
• ssh (1), sshd (8): Tilføj kompatibilitetsløsning til FuTTY
• ssh (1), sshd (8): Forbedre opløsningsmuligheder for WinSCP
• Fix et antal hukommelsesfejl (dobbeltfrit, fri for uninitialiseret hukommelse osv.) i ssh (1) og ssh-keygen (1). Rapporteret af Mateusz Kocielski.

Hvad er nyt i version 6.9p1:
• sshd (8): Formater UsePAM indstilling, når du bruger sshd -T, del af bz # 2346
• Se efter '$ {vært} -ar' før 'ar', hvilket gør krydskompilering lettere; bz # 2352.
• Flere bærbare kompileringsrettelser: bz # 2402, bz # 2337, bz # 2370
• modul (5): opdater DH-GEX modul

Hvad er nyt i version 6.8p1:

• Support - uden-openssl på konfigurationstidspunktet. Deaktiverer og fjerner afhængigheden af ​​OpenSSL. Mange funktioner, herunder SSH-protokol 1, understøttes ikke, og sæt kryptografiske indstillinger er stærkt begrænset. Dette vil kun fungere på systemer med native arc4random eller / dev / urandom. Betragtes meget eksperimenterende for nu.
• Support - uden-ssh1-opsætning på konfigurationstidspunktet. Gør det muligt at deaktivere support til SSH-protokol 1.
• sshd (8): Fix kompilering på systemer med IPv6-understøttelse i UTMPX; bz # 2296
• Tillad brugernavn til sshd på Cygwin. Tillader brugen af ​​flere sshd-kørsler med forskellige servicenavne.

Hvad er nyt i version 6.7p1:

• Bærbar OpenSSH understøtter nu bygning mod libressl-bærbar.
• Bærbar OpenSSH kræver nu openssl 0.9.8f eller større. Ældre versioner understøttes ikke længere.
• I OpenSSL-versionskontrollen skal du tillade reparationsversioner (men ikke nedgraderinger. Debian bug # 748150.
• sshd (8): På Cygwin skal du afgøre privilegeseparationsbruger ved kørselstidspunktet, da det kan være nødvendigt at være en domænekonto.
• sshd (8): Forsøg ikke at bruge vhangup på Linux. Det virker ikke for brugere uden for roten, og for dem knuser det bare tty-indstillingerne.
• Brug CLOCK_BOOTTIME i stedet for CLOCK_MONOTONIC, når den er tilgængelig. Den betragter tidsbruget suspenderet, og derved sikres timeout (f.eks. For udløb af agentnøgler) ild korrekt. bz # 2228
• Tilføj støtte til ed25519 til opensshd.init init script.
• sftp-server (8): På platforme der understøtter det, brug prctl () for at forhindre sftp-serveren i at få adgang til / proc / self / {mem, maps}

Hvad er nyt i version 6.5p1:

• Nye funktioner:
• ssh (1), sshd (8): Tilføj støtte til nøgleudveksling ved hjælp af elliptisk kurve Diffie Hellman i Daniel Bernsteins Curve25519. Denne nøgleudvekslingsmetode er standard, når både klienten og serveren understøtter den.
• ssh (1), sshd (8): Tilføj støtte til Ed25519 som en offentlig nøgletype. Ed25519 er en elliptisk kurvesignatur, der giver bedre sikkerhed end ECDSA og DSA og god ydeevne. Det kan bruges til både bruger- og værtsnøgler.
• Tilføj et nyt privat nøgleformat, der bruger en bcrypt KDF til bedre at beskytte nøgler i ro. Dette format bruges ubetinget til Ed25519 nøgler, men kan blive anmodet om, når du genererer eller gemmer eksisterende nøgler til andre typer via -o ssh-keygen (1). Vi har til hensigt at gøre det nye format som standard i den nærmeste fremtid. Oplysninger om det nye format findes i filen PROTOCOL.key.
• ssh (1), sshd (8): Tilføj en ny transportkodning "chacha20-poly1305@openssh.com" der kombinerer Daniel Bernsteins ChaCha20 strømcipher og Poly1305 MAC for at opbygge en autentificeret krypteringsfunktion. Detaljer er i filen PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): Afvis RSA-nøgler fra gamle proprietære kunder og servere, der bruger den forældede RSA + MD5 signaturordning. Det vil stadig være muligt at oprette forbindelse til disse klienter / servere, men kun DSA-nøgler vil blive accepteret, og OpenSSH vil nægte forbindelsen helt i en fremtidig udgivelse.
• ssh (1), sshd (8): Afvis gamle patenterede klienter og servere, der bruger en svagere nøgleudveksling af hash-beregninger.
• ssh (1): Øg størrelsen af ​​de Diffie-Hellman-grupper, der er anmodet om for hver symmetrisk nøgleformat. Nye værdier fra NIST Special Offentliggørelse 800-57 med den øvre grænse angivet af RFC4419.
• ssh (1), ssh-agent (1): Support pkcs # 11 tokes, der kun giver X.509 certs i stedet for rå offentlige nøgler (anmodet som bz # 1908).
• ssh (1): Tilføj en ssh_config (5) "Match" søgeord, der tillader betinget konfiguration, der skal anvendes ved at matche værtsnavn, bruger og resultat af vilkårlig kommandoer.
• ssh (1): Tilføj støtte til kunde-side værtsnavn canonicalization ved hjælp af et sæt DNS-suffikser og regler i ssh_config (5). Dette gør det muligt for ukvalificerede navne at blive kanoniseret til fuldt kvalificerede domænenavne for at eliminere tvetydighed, når du kigger op nøgler i known_hosts eller kontrollerer værtscertifikatnavne.
• sftp-server (8): Tilføj evnen til at hvidliste og / eller blacklist sftp-protokollanmodninger ved navn.
• sftp-server (8): Tilføj en sftp "fsync@openssh.com" at understøtte kaldende fsync (2) på et åbent filhåndtag.
• sshd (8): Tilføj en ssh_config (5) Tilladelse for at udelukke TTY-tildeling, hvilket afspejler den option, der ikke længere er godkendt af authorized_keys.
• ssh (1): Tilføj en ssh_config ProxyUseFDPass-indstilling, der understøtter brugen af ​​ProxyCommands, der etablerer en forbindelse, og send derefter en tilsluttet filbeskrivelse tilbage til ssh (1). Dette gør det muligt for ProxyCommand at afslutte snarere end at opholde sig for at overføre data.
• Fejlrettelser:
• ssh (1), sshd (8): Fix potentiel stakudmattelse forårsaget af indlejrede certifikater.
• ssh (1): bz # 1211: gør BindAddress arbejde med UsePrivilegedPort.
• sftp (1): bz # 2137: Fix fremdriftsmåleren for genoptaget overførsel.
• ssh-add (1): bz # 2187: Forespørg ikke smartcard-PIN, når du fjerner nøgler fra ssh-agent.
• sshd (8): bz # 2139: Fix reexec-tilbagesendelse, når original sshd binær ikke kan udføres.
• ssh-keygen (1): Lav relative angivne certifikatets udløbstider i forhold til den aktuelle tid og ikke gyldighedsstarttidspunktet.
• sshd (8): bz # 2161: Fix AuthorizedKeysCommand i en Match-blok.
• sftp (1): bz # 2129: symlinking af en fil kan fejlagtigt kanonicalisere målbanen.
• ssh-agent (1): bz # 2175: Fix en brug-efter-fri i PKCS # 11-agenthjælperen.
• sshd (8): Forbedre logføring af sessioner for at inkludere brugernavnet, fjernværten og porten, sessionstypen (shell, kommando osv.) og tildelt TTY (hvis nogen).
• sshd (8): bz # 1297: Fortæl klienten (via en fejlmeddelelse), når deres foretrukne lytteadresse er blevet overskredet af serverens GatewayPorts indstilling.
• sshd (8): bz # 2162: inkludere rapportporte i dårlig protokolbanner meddelelse.
• sftp (1): bz # 2163: Fix hukommelseslækage i fejlvej i do_readdir ().
• sftp (1): bz # 2171: lække ikke filbeskrivelse ved fejl.
• sshd (8): Medtag den lokale adresse og port i "Forbindelse fra ..." besked (vises kun ved loglevel & gt; = verbose).
• Bærbar OpenSSH:
• Bemærk, at dette er den sidste version af Portable OpenSSH, der understøtter versioner af OpenSSL før 0.9.6. Support (dvs. SSH_OLD_EVP) fjernes efter 6.5p1-udgivelsen.
• Bærbar OpenSSH vil forsøge at kompilere og linke som en position, der kan udføres uafhængigt på Linux, OS X og OpenBSD på de seneste gcc-lignende kompilere. Andre platforme og ældre / andre kompilatorer kan anmode om dette ved hjælp af flag med - med-pie-konfiguration.
• En række andre værktøjskæderelaterede hærdningsindstillinger bruges automatisk, hvis det er tilgængeligt, herunder -ftrapv for at afbryde signeret heltal overløb og muligheder for at skrivebeskytte dynamisk linkoplysninger. Brugen af ​​disse indstillinger kan være deaktiveret ved hjælp af - uden hærdning konfiguration flag.
• Hvis værktøjskæden understøtter det, bruges et af fackbeskytter-stærk, -fackbeskytter-alle eller -fack-protektor-kompileringsflagget til at tilføje vagter til at begrænse angreb baseret på stakoverløb. Brugen af ​​disse indstillinger kan være deaktiveret ved hjælp af - uden-stackprotect configure-indstillingen.
• sshd (8): Tilføj support til sandkasse forud for godkendelse ved hjælp af Capsicum API, der blev introduceret i FreeBSD 10.
• Skift til en ChaCha20-baseret arc4random () PRNG til platforme, der ikke giver deres egne.
• sshd (8): bz # 2156: Gendan Linux oom_adj-indstillingen, når du håndterer SIGHUP for at opretholde adfærd over genoptagelse.
• sshd (8): bz # 2032: brug lokalt brugernavn i krb5_kuserok tjekke frem for fuld klientnavn, som kan være af formular bruger @ REALM.
• ssh (1), sshd (8): Test for både forekomsten af ​​ECC NID numre i OpenSSL, og at de rent faktisk fungerer. Fedora (mindst) har NID_secp521r1, der ikke virker.
• bz # 2173: brug pkg-config - libs til at inkludere korrekt -L placering for libedit.
Hvad er nyt i version 6.4p1:
• Denne udgivelse løser en sikkerhedsfejl: sshd (8) : Fix et problem med hukommelseskorruption, der udløses under genindtastning, når der vælges en AES-GCM-kryptering. Fuldstændige oplysninger om sårbarheden er tilgængelige på: http://www.openssh.com/txt/gcmrekey.adv

Hvad er nyt i version 6.3p1:

• Features:
• sshd (8): Tilføj ssh-agent (1) support til sshd (8); tillader krypterede hostkeys eller hostkeys på smartcards.
• ssh (1) / sshd (8): Tillad valgfri tidsbaseret genindtastning via et andet argument til den eksisterende RekeyLimit-indstilling. RekeyLimit understøttes nu i sshd_config såvel som på klienten.
• sshd (8): standardiser logføring af oplysninger under brugergodkendelse.
• Den præsenterede nøgle / cert og det fjernt brugernavn (hvis tilgængeligt) er nu logget på godkendelsessucces / fejlmeddelelsen på samme loglinje som det lokale brugernavn, fjernværten / porten og protokollen i brug. Certifikatindholdet og nøglefingeraftrykket af signatur-CA'en logges også.
• Med alle relevante oplysninger på en enkelt linje forenkles loganalyse, da det ikke længere er nødvendigt at relatere oplysninger spredt over flere logposter.
• ssh (1): Tilføj evnen til at forespørge hvilke cifre, MAC algoritmer, nøgletyper og nøgleudvekslingsmetoder understøttes i binæret.
• ssh (1): support ProxyCommand = - for at tillade support tilfælde, hvor stdin og stdout allerede peger på proxyen.
• ssh (1): Tillad IdentityFile = none
• ssh (1) / sshd (8): add -E mulighed for at ssh og sshd føje fejlfindingslogfiler til en bestemt fil i stedet for stderr eller syslog.
• sftp (1): Tilføj support til genoptagelse af delvise downloads ved hjælp af "reget & quot; kommando og på sftp kommandolinjen eller på "get" kommandolinje ved hjælp af "-a" (tilføj) mulighed.
• ssh (1): Tilføj et & quot; Ignorer Ukjent & quot; konfigurationsmulighed for selektivt at undertrykke fejl som følge af ukendte konfigurationsdirektiver.
• sshd (8): Tilføj support til submethods, der skal vedhæftes til krævede godkendelsesmetoder opført via AuthenticationMethods.
• Fejlrettelser:
• sshd (8): Rettelse af afslag på at acceptere certifikat, hvis en nøgle af en anden type til CA-nøglen vises i authorized_keys før CA-nøglen.
• ssh (1) / ssh-agent (1) / sshd (8): Brug en monotonisk tidskilde til timere, så ting som keepalives og rekeying fungerer korrekt i løbet af uretrin.
• sftp (1): Opdater progressmeter, når data er anerkendt, ikke når det sendes. bz # 2108
• ssh (1) / ssh-keygen (1): forbedre fejlmeddelelser, når den nuværende bruger ikke findes i / etc / passwd; bz # 2125
• ssh (1): Nulstil rækkefølgen, hvor offentlige nøgler forsøges efter delvis godkendelse succes.
• ssh-agent (1): ryd sokkelfiler op efter SIGINT, når de er i fejlsøgningstilstand bz # 2120
• ssh (1) og andre: undgå forvirrende fejlmeddelelser i tilfælde af brudte system resolver konfigurationer; bz # 2122
• ssh (1): Indstil TCP nodelay for forbindelser startet med -N; bz # 2124
• ssh (1): Korrekt manual for tilladelseskrav på ~ / .ssh / config; bz # 2078
• ssh (1): Fix ControlPersist timeout ikke udløse i tilfælde, hvor TCP-forbindelser har hængt. bz # 1917
• ssh (1): Læg en ControlPersist-master korrekt fra sin controlling terminal.
• sftp (1): Undgå nedbrud i libedit, når den er blevet kompileret med multibytes tegnestøtte. bz # 1990
• sshd (8): Når du kører sshd -D, skal du lukke stderr, medmindre vi udtrykkeligt har bedt om logning til stderr. bz # 1976
• ssh (1): Fix ufuldstændig bzero; bz # 2100
• sshd (8): log og fejl og exit, hvis ChrootDirectory er angivet og kører uden root privilegier.
• Mange forbedringer af regressionstestpakken. Især logfiler gemmes nu fra ssh og sshd efter fejl.
• Løs en række hukommelseslekkage. bz # 1967 bz # 2096 og andre
• sshd (8): Fix public key authentication, når en: stil tilføjes til det ønskede brugernavn.
• ssh (1): Afslut ikke dødeligt, når du forsøger at oprydde multiplekserede kanaler, der er ufuldstændigt åbnet. bz # 2079
• Bærbar OpenSSH:
• Større revision af bidrag / cygwin / README
• Løs uformelle adgangsformer i umac.c til strenge justeringsarkitekturer. bz # 2101
• Aktiver -Wsizeof-pointer-memaccess, hvis kompilatoren understøtter det. bz # 2100
• Løs fejlte, ukorrekte kommandolinjerapporteringsfejl. bz # 1448
• Inkluder kun SHA256 og ECC-baserede nøgleudvekslingsmetoder, hvis libcrypto har den nødvendige support.
• Fix crash i SOCKS5 dynamisk viderestillingskode på strenge justeringsarkitekturer.
• En række bærbarhedsrettelser til Android: * Forsøg ikke at bruge sidste log på Android; bz # 2111 * Fald tilbage til at bruge openssls DES_crypt-funktion på platorms, der ikke har en native crypt () -funktion; bz # 2112 * Test for fd_mask, howmany og NFDBITS i stedet for at forsøge at opregne de plaques, der ikke har dem. bz # 2085 * Erstat S_IWRITE, som ikke er standardiseret, med S_IWUSR, som er. bz # 2085 * Tilføj en null implementering af endgrent til platforme, der ikke har det (f.eks. Android) bz # 2087 * Support platforme, som f.eks. Android, der mangler struct passwd.pw_gecos. bz # 2086

Hvad er nyt i version 6.2p2:

• sshd (8): Linux-sekcompfilter-sandkassen understøttes nu på ARM platforme hvor kernen understøtter det.
• sshd (8): Sekcomp-filter sandkassen bliver ikke aktiveret, hvis systemoverskrifterne understøtter det på kompileringstid, uanset om det kan aktiveres så. Hvis run-time-systemet ikke understøtter seccomp-filter, falder sshd tilbage til rlimit pseudo-sandkassen.
• ssh (1): Forbind ikke i Kerberos biblioteker. De er ikke nødvendige på klienten, bare på sshd (8). bz # 2072
• Fix GSSAPI linking på Solaris, der bruger et andet navngivet GSSAPI bibliotek. bz # 2073
• Løs samling på systemer med openssl-1.0.0-fips.
• Løs en række fejl i RPM spec-filerne.

Hvad er nyt i version 5.8p1:

• Bærbare OpenSSH fejlrettelser:
• Fix samlingsfejl, når du aktiverer SELinux-support.
• Forsøg ikke at ringe til SELinux-funktioner, når SELinux er deaktiveret. bz # 1851
22 Jun 18