Выпуск OpenSSH 6.901.07.2015 19:16

Доступен выпуск OpenSSH 6.9 — открытой реализации клиента и сервера для работы по протоколам SSH и SFTP. Сообщается, что OpenSSH 6.9 сформирован незадолго до выпуска OpenSSH 7.0, в котором будет прекращена поддержка ряда возможностей, что может негативно отразиться на совместимости с существующими конфигурациями. OpenSSH 6.9 в основном содержит исправление ошибок и подводит своеобразный итог перед появлением новой значительной версии, которая ожидается в этом месяце.

Из изменений в OpenSSH 7.0, нарушающих совместимость, выделяется:

  • По умолчанию значение директивы конфигурации PermitRootLogin изменено с «yes» на «no», т.е. удалённый вход под пользователем root потребует явного изменения значения опции.
  • Поддержка первой версии протокола SSH будет отключена по умолчанию на стадии компиляции. Протокол SSH-1 отмечен как устаревший, небезопасный и не рекомендуемый для использования. Кроме того, работа OpenSSH без OpenSSL возможна только при использовании протокола SSH-2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSH-1. Отключение SSH-1 по умолчанию на уровне сборки упростит распространение в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL.
  • Отключена по умолчанию поддержка обмена 1024-битными ключами diffie-hellman-group1-sha1;
  • Отключена по умолчанию поддержка ключей пользователя и хоста ssh-dss и ssh-dss-cert-*;
  • Удалён код для поддержки формата сертификатов v00;
  • По умолчанию отключены шифры blowfish-cbc, cast128-cbc, все варианты arcfour и алиасы rijndael-cbc для AES;
  • Запрещено использование любых RSA-ключей, размером менее 1024 бита.

Изменения в выпуске OpenSSH 6.9:

  • По умолчанию в ssh и sshd теперь предлагается шифр chacha20-poly1305@openssh.com;
  • В ssh устранена проблема с ложным срабатыванием ограничений XSECURITY при установке проброса соединений к X11 после истечения таймаута (ForwardX11Timeout) в случае применения опции ForwardX11Trusted=no;
  • В ssh-agent устранены недоработки в блокировке агента (ssh-add -x), которые приводят к лишней задержке в случае ввода неверного пароля и могут использоваться для принятия решения при выполнении подбора пароля.
  • В команду AuthorizedKeysCommand для sshd добавлена возможность указания заданных администратором произвольных аргументов;
  • Добавлена команда AuthorizedPrincipalsCommand, позволяющая настроить получение информации из субпроцесса, а не файла;
  • В ssh и ssh-add добавлена поддержка устройств PKCS#11 с внешним устройством ввода PIN-кода;
  • В ssh-keygen добавлена команда «ssh-keygen -lF hostname» для поиска в known_hosts и вывода хэшей ключей вместо их полного содержимого;
  • В ssh-agent добавлена опция »-D» для запуска без перехода в фоновый режим и без включения отладки.

© OpenNet