OpenSSH 7.7
OpenSSH — это реализация протокола SSH 2.0, включающая в себя sftp клиент и сервер.
В этом релизе прекращена поддержка некоторых очень старых реализаций SSH, включая ssh.com старше 2.* и OpenSSH старше 3.*. Эти версии были выпущены до 2001 года и на тот момент еще не было конечной версии RFC, следовательно прекращение поддержки не влияет на совместимые с RFC реализации SSH.
Новая функциональность:
- Добавлена экспериментальная поддержка ключей PQC XMSS (Extended Hash-Based Signatures). Не присутствует в сборке по умолчанию.
- В sshd_config добавлен критерий «rdomain», позволяющий указывать определенные параметры в зависимости от того, с какого домена маршрутизации пришло соединение (поддерживается только OpenBSD и Linux).
- Добавлена опция «expiry-time», позволяющая указать время жизни записей в authorized_keys.
- Добавлена опция BindInterface, позволяющая завязать исходящее соединение с адресом интерфейса.
- В LocalCommand теперь можно использовать спецификатор %T, указывающий на интерфейс, созданный при перенаправлении tun/tap. Это позволяет использовать LocalCommand для настройки интерфейса при старте.
- Добавлена поддержка URI для ssh, sftp и scp, например ssh://user@host или sftp://user@host/path. При этом другие параметры не поддерживаются.
- В ssh-keygen можно указывать только начала действия или только конца действия сертификата (ранее можно было только оба или ни одного).
- sftp теперь поддерживает команды «cd» и «lcd» без явного указания пути в аргументе. «lcd» при этом будет переходить в домашнюю директорию пользователя, а «cd» в директорию, откуда началась сессия.
- Теперь проверка конфигурационного файла (sshd -T) происходит с учетом критериев.
Некоторые из исправленных ошибок:
- Более пристальная проверка типов подписей во время обмена ключей. Не позволяет снизить безопасность переходом от SHA-256/512 к SHA-1.
- Исправлена поддержка клиентов с версией протокола »1.99» (отображает, что клиент подготовлен для как SSHv1, так и SSHv2).
- ssh теперь отображает предупреждение в том случае, если агент возвращает SHA1 вместо SHA2–256/512.
- В ssh-keyscan добавлена опция »-D», выводящая результат в формате SSHFP.
- Отключена поддержка RemoteCommand и RequestyTTY в том случае, если сессия начата scp.
- ssh-keygen теперь будет завершать свою работу в том случае, если невозможно записать все ключи. Ранее он мог тихо проигнорировать ошибки.
- Таймеры теперь используют монотонное время.
- Множественные исправления в руководствах.
Переносимость:
- MIPS ABI теперь определяется корректно во время конфигурирования.
- Прекращена поддержка UNICOS. Решение связано с наличием оборудования в основном только в музеях, следовательно поддерживать проблемно.
- Включена поддержка флага «retpoline» (если он доступен) для снижения вероятности эксплуатации Spectre 2.
- Множественные исправления в RPM spec’е.
>>> Подробности