Релиз OpenSSH 5.4

Увидел свет релиз OpenSSH 5.4, открытой реализации клиента и сервера для работы по протоколу SSH версии 1.3, 1.5 и 2.0.

Кроме исправления более 30 ошибок в новой версии представлены следующие новшества:

  • По умолчанию отключена поддержка протокола SSH 1. Для работы устаревших клиентов (OpenSSH более 10 лет поддерживал SSH 1 как дань обратной совместимости) необходимо вручную включить поддержку SSH 1 в файле конфигурации;
  • В sftp-сервер добавлена поддержка режима "только для чтения", при котором запрещены все связанные с модификацией содержимого команды. Также в sftp-сервер добавлена возможность переопределения локального для пользователя значения umask;
  • Много улучшений добавлено в код sftp-клиента: поддержка автодополнения команд по нажатию клавиши "табуляция"; опция "-h" для вывода списка файлов в ls в более читаемом виде; поддержка всех доступных в scp опций (sftp может выступать как замена scp); поддержка рекурсивной загрузки дерева директорий через PUT/GET или "-r" в командной строке;
  • Добавлен режим работы в стиле netcat (ssh -W host:port ...), при котором входной поток с машины клиента перенаправляется на указанный порт сервера;
  • Добавлена поддержка аутентификации пользователей и хостов с использованием нового минималистичного формата сертификатов OpenSSH, отличающегося от X.509. Сертификаты содержат в себе публичный ключ, идентификационную информацию и список ограничений области действия. Для подписи ключа используется стандартная утилита ssh-keygen. Ключи сопоставленные с заданным удостоверяющим центром (CA) могут быть помечены как доверительные в файле authorized_keys, через опцию конфигурации TrustedUserCAKeys или в файле known_hosts;
  • Добавлена возможность отзывать ключи в sshd и ssh. Аннулирование ключей можно производить через директиву "RevokedKeys" файла конфигурации sshd_config или через указание специальной конструкции в файле known_hosts;
  • С целью обеспечения работы в неблокирующем режиме переписан код, связанный с мультиплексированием соединений в ssh;
  • Удален код для работы со смарт-картами, основанный на libsectok/OpenSC, вместо него для осуществления аутентификации с использованием смарт-карт добавлена поддержка криптографического стандарта PKCS #11;
  • Пароль для доступа к секретным ключам SSH 2 теперь шифруется при помощи AES-128 вместо 3DES.