OpenSSH 7.7

good-penguin.png

OpenSSH — это реализация протокола SSH 2.0, включающая в себя sftp клиент и сервер.

В этом релизе прекращена поддержка некоторых очень старых реализаций SSH, включая ssh.com старше 2.* и OpenSSH старше 3.*. Эти версии были выпущены до 2001 года и на тот момент еще не было конечной версии RFC, следовательно прекращение поддержки не влияет на совместимые с RFC реализации SSH.

Новая функциональность:

  • Добавлена экспериментальная поддержка ключей PQC XMSS (Extended Hash-Based Signatures). Не присутствует в сборке по умолчанию.
  • В sshd_config добавлен критерий «rdomain», позволяющий указывать определенные параметры в зависимости от того, с какого домена маршрутизации пришло соединение (поддерживается только OpenBSD и Linux).
  • Добавлена опция «expiry-time», позволяющая указать время жизни записей в authorized_keys.
  • Добавлена опция BindInterface, позволяющая завязать исходящее соединение с адресом интерфейса.
  • В LocalCommand теперь можно использовать спецификатор %T, указывающий на интерфейс, созданный при перенаправлении tun/tap. Это позволяет использовать LocalCommand для настройки интерфейса при старте.
  • Добавлена поддержка URI для ssh, sftp и scp, например ssh://user@host или sftp://user@host/path. При этом другие параметры не поддерживаются.
  • В ssh-keygen можно указывать только начала действия или только конца действия сертификата (ранее можно было только оба или ни одного).
  • sftp теперь поддерживает команды «cd» и «lcd» без явного указания пути в аргументе. «lcd» при этом будет переходить в домашнюю директорию пользователя, а «cd» в директорию, откуда началась сессия.
  • Теперь проверка конфигурационного файла (sshd -T) происходит с учетом критериев.

Некоторые из исправленных ошибок:

  • Более пристальная проверка типов подписей во время обмена ключей. Не позволяет снизить безопасность переходом от SHA-256/512 к SHA-1.
  • Исправлена поддержка клиентов с версией протокола »1.99» (отображает, что клиент подготовлен для как SSHv1, так и SSHv2).
  • ssh теперь отображает предупреждение в том случае, если агент возвращает SHA1 вместо SHA2–256/512.
  • В ssh-keyscan добавлена опция »-D», выводящая результат в формате SSHFP.
  • Отключена поддержка RemoteCommand и RequestyTTY в том случае, если сессия начата scp.
  • ssh-keygen теперь будет завершать свою работу в том случае, если невозможно записать все ключи. Ранее он мог тихо проигнорировать ошибки.
  • Таймеры теперь используют монотонное время.
  • Множественные исправления в руководствах.

Переносимость:

  • MIPS ABI теперь определяется корректно во время конфигурирования.
  • Прекращена поддержка UNICOS. Решение связано с наличием оборудования в основном только в музеях, следовательно поддерживать проблемно.
  • Включена поддержка флага «retpoline» (если он доступен) для снижения вероятности эксплуатации Spectre 2.
  • Множественные исправления в RPM spec’е.

>>> Подробности

©  Linux.org.ru