Portable OpenSSH

Portable OpenSSH är ett program med öppen källkod, en portabel version av OpenSSH (Open Source Secure Shell) protokollpaketet för nätverksanslutningsverktyg som används idag på Internet av allt fler . Den har konstruerats från offset för att kryptera all nätverkstrafik, inklusive lösenord, för att effektivt eliminera potentiella attacker som du inte kan förutsäga, till exempel anslutningshackningsförsök eller avlyssning.

Viktiga funktioner inkluderar stark kryptering baserad på Blowfish, AES, 3DES och Arcfour-algoritmer, X11 vidarebefordran genom kryptering av X Window System-trafiken, stark autentisering baserad på Kerberos Authentication, Public Key och One-Time Password protokoll, samt port vidarebefordran genom att kryptera kanaler för äldre protokoll.

Dessutom levereras mjukvaran med agenter vidarebefordran baserat på SSO (Single Sign-On) specifikationen, AFS och Kerberos biljettöverföring, stöd för SFTP (Secure FTP) klient och server i både SSH1 och SSH2 protokoll, datakomprimering , och driftskompatibilitet, vilket gör att programmet uppfyller SSH 1.3, 1.5 och 2.0 protokollstandarderna.

Vad ingår?

När installerat kommer OpenSSH automatiskt att ersätta Telnet och rlogin-verktygen med SSH (Secure Shell) -programmet, liksom FTP-verktyget med SFTP och RCP med SCP. Dessutom innehåller den SSH-demonen (sshd) och olika användbara verktyg, såsom ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan och sftp-server.

Hela projektet är skrivet i C-programmeringsspråket och det distribueras som ett universellt källarkiv för alla GNU / Linux-operativsystem, så att du kan installera det på antingen 32-bitars eller 64-bitars (rekommenderade) datorer.

Observera att källorna tarball kräver att du konfigurerar och sammanställer projektet före installationen, så vi rekommenderar starkt slutanvändare att försöka installera det från standardprogramvarorna i deras GNU / Linux-operativsystem.

Vad är nytt i den här utgåvan:

• ssh (1), sshd (8): Fix kompilering genom att automatiskt avaktivera cifrar som inte stöds av OpenSSL. BZ # 2466
• Misc: Lös kompileringsfel på vissa versioner av AIXs kompilator relaterad till definitionen av VA_COPY-makro. BZ # 2589
• sshd (8): Vita mer arkitekturer för att aktivera sekcomp-bpf-sandlåten. BZ # 2590
• ssh-agent (1), sftp-server (8): Inaktivera processspårning på Solaris med setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): På Solaris, ring inte Solaris setproject () med UsePAM = ja det är PAMs ansvar. BZ # 2425

Vad är nytt i version:

• ssh (1), sshd (8): Fixera kompilering av Deaktiverar automatiskt cifrar som inte stöds av OpenSSL. BZ # 2466
• Misc: Lös kompileringsfel på vissa versioner av AIXs kompilator relaterad till definitionen av VA_COPY-makro. BZ # 2589
• sshd (8): Vita mer arkitekturer för att aktivera sekcomp-bpf-sandlåten. BZ # 2590
• ssh-agent (1), sftp-server (8): Inaktivera processspårning på Solaris med setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): På Solaris, ring inte Solaris setproject () med UsePAM = ja det är PAMs ansvar. BZ # 2425

Vad är nytt i version 7.4p1:

• ssh (1), sshd (8): Fix kompilering genom att automatiskt avaktivera cifrar som inte stöds av OpenSSL. BZ # 2466
• Misc: Lös kompileringsfel på vissa versioner av AIXs kompilator relaterad till definitionen av VA_COPY-makro. BZ # 2589
• sshd (8): Vita mer arkitekturer för att aktivera sekcomp-bpf-sandlåten. BZ # 2590
• ssh-agent (1), sftp-server (8): Inaktivera processspårning på Solaris med setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): På Solaris, ring inte Solaris setproject () med UsePAM = ja det är PAMs ansvar. BZ # 2425

Vad är nytt i version 7.3p1:

• ssh (1), sshd (8): Fix kompilering genom att automatiskt avaktivera cifrar som inte stöds av OpenSSL. BZ # 2466
• Misc: Lös kompileringsfel på vissa versioner av AIXs kompilator relaterad till definitionen av VA_COPY-makro. BZ # 2589
• sshd (8): Vita mer arkitekturer för att aktivera sekcomp-bpf-sandlåten. BZ # 2590
• ssh-agent (1), sftp-server (8): Inaktivera processspårning på Solaris med setpflags (__ PROC_PROTECT, ...). BZ # 2584
• sshd (8): På Solaris, ring inte Solaris setproject () med UsePAM = ja det är PAMs ansvar. BZ # 2425

Vad är nytt i version 7.2p2:

• Buggfixar:
• ssh (1), sshd (8): lägg till kompatibilitetslösningar för FuTTY
• ssh (1), sshd (8): Förbättra lösningar för kompatibilitet för WinSCP
• Fixa ett antal minnesfel (dubbelfritt, fria från oinitialiserat minne etc) i ssh (1) och ssh-keygen (1). Rapporterad av Mateusz Kocielski.

Vad är nytt i version 7.1p1:

• Felkorrigeringar:
• ssh (1), sshd (8): lägg till kompatibilitetslösningar för FuTTY
• ssh (1), sshd (8): Förbättra lösningar för kompatibilitet för WinSCP
• Fixa ett antal minnesfel (dubbelfritt, fria från oinitialiserat minne etc) i ssh (1) och ssh-keygen (1). Rapporterad av Mateusz Kocielski.

Vad är nytt i version 6.9p1:

• sshd (8): Formater AnvändPP-inställning när du använder sshd -T, del av bz # 2346
• Leta efter "$ {värd} -ar" före "ar", vilket gör cross-compilation enklare; BZ # 2352.
• Flera portabla kompileringsfixar: bz # 2402, bz # 2337, bz # 2370
• modul (5): uppdatera DH-GEX modulen

Vad är nytt i version 6.8p1:

• Stöd - utan öppningsl vid konfigurationstid. Inaktiverar och tar bort beroendet av OpenSSL. Många funktioner, inklusive SSH-protokoll 1, stöds inte och uppsättningen kryptoalternativ är starkt begränsad. Detta kommer bara att fungera på system med inbyggt arc4random eller / dev / urandom. Ansågs mycket experimentell för nu.
• Stöd - utan ssh1-alternativ vid konfigurationstid. Tillåter att inaktivera stöd för SSH-protokoll 1.
• sshd (8): Fix kompilering på system med IPv6-stöd i utmpx; BZ # 2296
• Tillåt anpassat servicenamn för sshd på Cygwin. Tillåter användningen av flera sshd-körningar med olika servicenamn.

Vad är nytt i version 6.7p1:

• Bärbar OpenSSH stöder nu att bygga mot libressl-bärbara.
• Bärbar OpenSSH kräver nu openssl 0.9.8f eller högre. Äldre versioner stöds inte längre.
• I OpenSSL-versionskontrollen tillåter du uppgraderingar av fixversioner (men inte nedgraderingar. Debian bug # 748150.
• sshd (8): På Cygwin bestämmer du behörighetsseparationsanvändaren vid körning, eftersom det kan behöva vara ett domänkonto.
• sshd (8): Försök inte använda vhangup på Linux. Det fungerar inte för icke-root-användare, och för dem klarar det bara tty-inställningarna.
• Använd CLOCK_BOOTTIME i stället för CLOCK_MONOTONIC när den är tillgänglig. Den betraktar tidsavbrott, så att tidsintervaller (t ex för utgående agentnycklar) stannar korrekt. BZ # 2228
• Lägg till stöd för ed25519 till opensshd.init init script.
• sftp-server (8): På plattformar som stöder det, använd prctl () för att förhindra sftp-servern att komma åt / proc / self / {mem, maps}

Vad är nytt i version 6.5p1:

• Nya funktioner:
• ssh (1), sshd (8): Lägg till stöd för nyckelutbyte med elliptisk kurva Diffie Hellman i Daniel Bernsteins Curve25519. Denna nyckelbytesmetod är standard när både klienten och servern stöder den.
• ssh (1), sshd (8): Lägg till support för Ed25519 som en allmän nyckeltyp. Ed25519 är ett elliptisk kurvsignaturschema som ger bättre säkerhet än ECDSA och DSA och bra prestanda. Den kan användas för både användar- och värdnycklar.
• Lägg till ett nytt privatnyckelformat som använder en bcrypt KDF för att bättre skydda nycklarna i vila. Det här formatet används oavsiktligt för Ed25519-tangenter, men kan begäras när du skapar eller sparar befintliga nycklar för andra typer via alternativet -o ssh-keygen (1). Vi avser att göra det nya formatet standard inom en snar framtid. Detaljer om det nya formatet finns i filen PROTOCOL.key.
• ssh (1), sshd (8): Lägg till en ny transportkodning "chacha20-poly1305@openssh.com" som kombinerar Daniel Bernsteins ChaCha20 strömkodning och Poly1305 MAC för att bygga ett autentiserat krypteringsläge. Detaljer finns i filen PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): Avvisa RSA-nycklar från gamla proprietära klienter och servrar som använder det föråldrade RSA + MD5-signaturprogrammet. Det kommer fortfarande att vara möjligt att ansluta till dessa klienter / servrar, men endast DSA-nycklar accepteras, och OpenSSH kommer vägra anslutningen helt i en framtida release.
• ssh (1), sshd (8): Avvisa gamla proprietära klienter och servrar som använder en svagare beräkning av key exchange hash.
• ssh (1): Öka storleken på Diffie-Hellman-grupperna som begärs för varje symmetrisk nyckelstorlek. Nya värden från NIST Specialpublikation 800-57 med den övre gränsen som anges av RFC4419.
• ssh (1), ssh-agent (1): Stöd pkcs # 11 tokes som endast ger X.509 certs istället för råa offentliga nycklar (begärd som bz # 1908).
• ssh (1): Lägg till en ssh_config (5) "Match" sökord som tillåter villkorlig konfiguration att användas genom att matcha på värdnamn, användare och resultat av godtyckliga kommandon.
• ssh (1): Lägg till stöd för kanonicalisering av klientens värdnamn med hjälp av en uppsättning DNS-suffixer och regler i ssh_config (5). Detta gör att ovala namn kan bli kanoniseras till fullt kvalificerade domännamn för att eliminera otydlighet när man tittar upp nycklar i known_hosts eller kontrollerar värdcertifikatnamn.
• sftp-server (8): Lägg till förmågan att vitlista och / eller svartlista sftp-protokollförfrågningar med namn.
• sftp-server (8): Lägg till en sftp "fsync@openssh.com" att stödja samtal fsync (2) på ett öppet filhandtag.
• sshd (8): Lägg till en ssh_config (5) PermitTTY för att tillåta TTY-allokering, vilket speglar alternativet longstanding no-pty authorized_keys.
• ssh (1): Lägg till ett ssh_config ProxyUseFDPass-alternativ som stöder användningen av ProxyCommands som etablerar en anslutning och skickar sedan en ansluten filbeskrivare tillbaka till ssh (1). Detta gör det möjligt för ProxyCommand att avsluta snarare än att stanna runt för att överföra data.
• Felkorrigeringar:
• ssh (1), sshd (8): Fix potentiell stackutmattning orsakad av kapslade certifikat.
• ssh (1): bz # 1211: få BindAddress att fungera med UsePrivilegedPort.
• sftp (1): bz # 2137: fixa framdriftsmätaren för återupptagen överföring.
• ssh-add (1): bz # 2187: begär inte smartkort-PIN när du tar bort nycklar från ssh-agent.
• sshd (8): bz # 2139: fix reexec fallback när original sshd binär inte kan utföras.
• ssh-keygen (1): Gör relativspecificerade certifikatutgångstider i förhållande till aktuell tid och inte giltighetstidens starttid.
• sshd (8): bz # 2161: Fix AuthorizedKeysCommand i ett Match-block.
• sftp (1): bz # 2129: symlinking av en fil skulle felaktigt kanonicalisera målvägen.
• ssh-agent (1): bz # 2175: fixa en användning-efter-fri i PKCS # 11-agenthjälpen exekverbar.
• sshd (8): Förbättra loggning av sessioner för att inkludera användarnamnet, fjärrvärden och porten, typ av session (skal, kommando, etc.) och allokerad TTY (om någon).
• sshd (8): bz # 1297: berätta för klienten (via ett felsökningsmeddelande) när deras föredragna lyssningsadress har överskridits av serverns GatewayPorts-inställning.
• sshd (8): bz # 2162: inkludera rapportporten i felprotokoll banner meddelande.
• sftp (1): bz # 2163: fixa minnesläcka i felbanan i do_readdir ().
• sftp (1): bz # 2171: läs inte filbeskrivningen vid fel.
• sshd (8): Inkludera den lokala adressen och porten i "Anslutning från ..." meddelande (visas endast på loglevel & gt; = verbose).
• Portable OpenSSH:
• Observera att det här är den senaste versionen av Portable OpenSSH som stöder versioner av OpenSSL före 0.9.6. Stöd (dvs SSH_OLD_EVP) kommer att tas bort efter 6.5p1-utgåvan.
• Portable OpenSSH kommer att försöka kompilera och länka som en position oberoende körbar på Linux, OS X och OpenBSD på nyligen gcc-liknande kompilatorer. Andra plattformar och äldre / andra kompilatorer kan begära detta genom att använda flaggan med - med-pie-konfiguration.
• Ett antal andra verktygsrelaterade härdningsalternativ används automatiskt om det finns tillgängligt, inklusive -ftrapv att avbryta med signerat heltal överflöde och alternativ för att skriva skyddad dynamisk länkinformation. Användningen av dessa alternativ kan vara inaktiverade med hjälp av flaggan utan härdning.
• Om verktyget kedjan stöder det, används en av flaggan för -fack-protector-strong, -fack-protector-all or -fack-protector-kompileringen för att lägga till vaktar för att mildra attacker baserade på stack-överflöden. Användningen av dessa alternativ kan vara inaktiverade med alternativet - med undantag för stackprotect configure.
• sshd (8): Lägg till stöd för sandkodning före autentisering med hjälp av Capsicum API som introducerades i FreeBSD 10.
• Byt till en ChaCha20-baserad arc4random () PRNG för plattformar som inte tillhandahåller egna.
• sshd (8): bz # 2156: Återställ Linux oom_adj-inställningen när du hanterar SIGHUP för att upprätthålla beteendet över omstart.
• sshd (8): bz # 2032: använd lokalt användarnamn i krb5_kuserok-check istället för fullständigt klientnamn som kan vara av formuläranvändare @ REALM.
• ssh (1), sshd (8): Test för både närvaron av ECC NID-nummer i OpenSSL och att de faktiskt fungerar. Fedora (åtminstone) har NID_secp521r1 som inte fungerar.
• bz # 2173: använd pkg-config --libs för att inkludera rätt -L plats för libedit.

Vad är nytt i version 6.4p1:

• Den här utgåvan åtgärdar en säkerhetsbugg: sshd : åtgärda ett problem med minneskorruption som utlöses under omnyckeln när en AES-GCM-kryptering väljs. Fullständiga uppgifter om sårbarheten finns på http://www.openssh.com/txt/gcmrekey.adv

Vad är nytt i version 6.3p1:

• Egenskaper:
• sshd (8): Lägg till ssh-agent (1) support till sshd (8); tillåter krypterade värdkodar eller värdkodor på smartcards.
• ssh (1) / sshd (8): tillåter valfri tidsbaserad omnyckning via ett andra argument till det befintliga RekeyLimit-alternativet. RekeyLimit stöds nu i sshd_config såväl som på klienten.
• sshd (8): standardisera loggning av information under användarautentisering.
• Den presenterade nyckeln / cert och fjärr användarnamnet (om tillgängligt) är nu inloggad i autentiseringssucces / felmeddelandet på samma loggrad som det lokala användarnamnet, fjärrvärden / porten och protokollet som används. Certifikatinnehållet och nyckelfingeravtrycket av signatur-CA är också inloggade.
• Inkluderar all relevant information på en enda rad förenklar logganalys eftersom det inte längre är nödvändigt att relatera information spridda över flera loggposter.
• ssh (1): Lägg till förmågan att fråga vilka cifrar, MAC-algoritmer, nyckeltyper och nyckelbytesmetoder som stöds i binäret.
• ssh (1): support ProxyCommand = - för att tillåta supportfall där stdin och stdout redan pekar på proxyn.
• ssh (1): Tillåt IdentityFile = none
• ssh (1) / sshd (8): add -E alternativet till ssh och sshd att lägga till felsökningsloggar till en angiven fil istället för stderr eller syslog.
• sftp (1): lägg till support för att återuppta partiella nedladdningar med hjälp av "reget" kommandot och på sftp-kommandoraden eller på "få" kommandoraden med användning av "-a" (lägg till) alternativ.
• ssh (1): lägg till en "ignoreraUnknown" konfigurationsalternativ för att selektivt undertrycka fel som härrör från okända konfigurationsdirektiv.
• sshd (8): lägg till stöd för submetoder som ska bifogas nödvändiga autentiseringsmetoder listade via AuthenticationMethods.
• Felkorrigeringar:
• sshd (8): fixa vägran att acceptera certifikat om en nyckel av en annan typ till CA-nyckeln visas i authorized_keys före CA-tangenten.
• ssh (1) / ssh-agent (1) / sshd (8): Använd en monotonisk tidskälla för timers så att saker som keepalives och rekeying fungerar korrekt över klocksteg.
• sftp (1): Uppdatera progressmätare när data bekräftas, inte när det skickas. BZ # 2108
• ssh (1) / ssh-keygen (1): förbättra felmeddelanden när den nuvarande användaren inte finns i / etc / passwd; BZ # 2125
• ssh (1): Återställ ordningen i vilken offentliga nycklar försökt efter delvis autentiseringsframgång.
• ssh-agent (1): städa upp socketfiler efter SIGINT när den är i felsökningsläge; BZ # 2120
• ssh (1) och andra: Undvik förvirrande felmeddelanden vid brutna systemupplösningskonfigurationer; BZ # 2122
• ssh (1): Ställ in TCP nodelay för anslutningar startade med -N; BZ # 2124
• ssh (1): Rätt handbok för behörighetskrav på ~ / .ssh / config; BZ # 2078
• ssh (1): fixa ControlPersist timeout utlöses inte i fall där TCP-anslutningar har hängt. BZ # 1917
• ssh (1): Avlägsna en ControlPersist-mästare från sin kontrollterminal.
• sftp (1): Undvik krascher i libedit när det har sammanställts med multibytstegs support. bz # 1990
• sshd (8): När du kör sshd -D, stäng stderr om vi inte uttryckligen har begärt att logga till stderr. BZ # 1976
• ssh (1): fixa ofullständig bzero; BZ # 2100
• sshd (8): logga och fel och avsluta om ChrootDirectory är specificerad och körs utan root privilegier.
• Många förbättringar i regressionspaketet. I synnerhet loggfiler sparas nu från ssh och sshd efter fel.
• Fixa ett antal minnesläckor. bz # 1967 bz # 2096 och andra
• sshd (8): Fix public key authentication när en: stil bifogas det begärda användarnamnet.
• ssh (1): Avsluta inte fett när du försöker att rengöra multiplexing-skapade kanaler som är ofullständigt öppnade. BZ # 2079
• Portable OpenSSH:
• Stort översyn av bidrag / cygwin / README
• Fixa oanpassade åtkomster i umac.c för strikt anpassningsarkitekturer. BZ # 2101
• Aktivera -Wsizeof-pointer-memaccess om kompilatorn stöder den. BZ # 2100
• Åtgärda felaktiga fel på felmeddelanden i kommandoraden. BZ # 1448
• Endast SHA256 och ECC-baserade nyckelbytesmetoder om libcrypto har det nödvändiga stödet.
• Fixa krasch i SOCKS5 dynamisk vidarekopplingskod på strikt anpassningsarkitekturer.
• Ett antal portabilitetsfixar för Android: * Försök inte använda sista logg på Android; bz # 2111 * Återgå till att använda openssls DES_crypt-funktion på plator som inte har någon funktion för inbyggd kryp (); bz # 2112 * Test för fd_mask, howmany och NFDBITS istället för att försöka räkna upp de plattformar som inte har dem. bz # 2085 * Ersätt S_IWRITE, som inte är standardiserad, med S_IWUSR, vilket är. bz # 2085 * Lägg till en null implementering av endgrent för plattformar som inte har den (t.ex. Android) bz # 2087 * Supportplattformar, till exempel Android, som saknar struct passwd.pw_gecos. BZ # 2086

Vad är nytt i version 6.2p2:

• sshd (8): Linux-sekompfilter-sandlådan stöds nu på ARM plattformar där kärnan stöder den.
• sshd (8): Sandkompatibilitetssandboxen kommer inte att aktiveras om systemhuvudena stöder det vid kompileringstid, oavsett om det kan aktiveras då. Om körtidssystemet inte stöder sekcomp-filter kommer sshd att falla tillbaka till rlimit pseudo-sandboxen.
• ssh (1): Länk inte i Kerberos-biblioteken. De är inte nödvändiga för klienten, bara på sshd (8). BZ # 2072
• Fixa GSSAPI-länk på Solaris, som använder ett annat namngivet GSSAPI-bibliotek. BZ # 2073
• Fixa kompilering på system med openssl-1.0.0-fips.
• Fixa ett antal fel i RPM-specfilerna.

Vad är nytt i version 5.8p1:

• Bärbara OpenSSH-buggfixar:
• Lös kompileringsfel när du aktiverar SELinux-support.
• Försök inte att ringa SELinux-funktioner när SELinux är inaktiverat. BZ # 1851