В OpenSSH 5.9 появились «песочницы»
Сегодня объявлено об очередном релизе популярнейшей свободной реализации протокола SSH — OpenSSH 5.9.Главным новшеством OpenSSH 5.9 можно назвать появление так называемых «песочниц» (sandboxes), нацеленных на повышение безопасности. Для этого в sshd_config появился режим «UsePrivilegeSeparation=sandbox», который активирует определенные ограничения на осуществление системных вызовов. Для реализации этих ограничений используются systrace, seatbelt и rlimit (можно выбирать на этапе конфигурации OpenSSH перед сборкой, некоторые из них доступны только для определенных платформ). Пока песочницы находятся в экспериментальном статусе, но эта функция будет стандартной в следующем релизе.Среди прочих изменений: добавлена поддержка hmac-sha2-256, hmac-sha2-256-96, hmac-sha2-512 и hmac-sha2-512-96; ssh(1) выводит предупреждение, если сервер отказывает в X11 forwarding; в «AuthorizedKeysFile» (sshd_config) появилась поддержка множества файлов (перечислять их надо через пробел); в «Host» (ssh_config) появилась поддержка отрицания вхождения хоста, которое обозначается восклицательным знака (например, «Host *.example.org !c.example.org»); sh-add(1) научился принимать ключи через конвейер из стандартного ввода (например, «ssh-add — < /path/to/key»).© nixp
