Portable OpenSSH

Portable OpenSSH er et open source-programvareprosjekt, en bærbar versjon av OpenSSH (Open Source Secure Shell) protokollpakken med nettverkstilkoblingsverktøy som brukes i dag på Internett av et økende antall personer . Det er designet fra offset for å kryptere all nettverkstrafikk, inkludert passord, for effektivt å eliminere potensielle angrep som du ikke kan forutsi, for eksempel tilkoblingskapsler eller avlytting.

Viktige funksjoner inkluderer sterk kryptering basert på Blowfish, AES, 3DES og Arcfour algoritmer, X11 videresending ved å kryptere X Window System trafikk, sterk autentisering basert på Kerberos Authentication, Public Key og One-Time Password protokoller, samt port videresending ved å kryptere kanaler for eldre protokoller.

I tillegg kommer programvaren med videresending av agent basert på SSO (Single Sign-On) spesifikasjonen, AFS og Kerberos-billettoverføring, støtte for SFTP (Secure FTP) klient og server i både SSH1 og SSH2 protokoller, datakomprimering , og interoperabilitet, noe som gjør at programmet overholder SSH 1.3, 1.5 og 2.0 protokollstandardene.

Hva er inkludert?

Når installert, vil OpenSSH automatisk erstatte Telnet- og rlogin-verktøyene med SSH (Secure Shell) -programmet, samt FTP-verktøyet med SFTP og RCP med SCP. I tillegg inneholder den SSH-demonen (sshd) og forskjellige nyttige verktøy, for eksempel ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan og sftp-server.

Hele prosjektet er skrevet på C-programmeringsspråket og distribueres som et universelt kilderarkiv for alle GNU / Linux-operativsystemer, slik at du kan installere det på enten 32-biters eller 64-bits (anbefalte) datamaskiner.

Vær oppmerksom på at kildene tarball krever at du konfigurerer og samler prosjektet før installasjonen. Vi anbefaler derfor sluttbrukerne å prøve å installere den fra standardprogramvarelagerene i deres GNU / Linux-operativsystem.

Hva er nytt i denne versjonen:

• ssh (1), sshd (8): Lagre kompilering ved å deaktivere kifre som ikke støttes av OpenSSL automatisk. bz # 2466
• Diverse: Løs kompileringsfeil på noen versjoner av AIXs kompilator relatert til definisjonen av VA_COPY-makroen. bz # 2589
• sshd (8): Hviteliste flere arkitekturer for å aktivere sekcomp-bpf sandkassen. bz # 2590
• ssh-agent (1), sftp-server (8): Deaktiver prosesssporing på Solaris ved hjelp av setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): På Solaris må du ikke ringe Solaris setproject () med UsePAM = ja det er PAMs ansvar. bz # 2425

Hva er nytt i versjon:

• ssh (1), sshd automatisk deaktivering av cifre som ikke støttes av OpenSSL. bz # 2466
• Diverse: Løs kompileringsfeil på noen versjoner av AIXs kompilator relatert til definisjonen av VA_COPY-makroen. bz # 2589
• sshd (8): Hviteliste flere arkitekturer for å aktivere sekcomp-bpf sandkassen. bz # 2590
• ssh-agent (1), sftp-server (8): Deaktiver prosesssporing på Solaris ved hjelp av setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): På Solaris må du ikke ringe Solaris setproject () med UsePAM = ja det er PAMs ansvar. bz # 2425

Hva er nytt i versjon 7.4p1:

• ssh (1), sshd (8): Løs kompilering ved å deaktivere kifre som ikke støttes av OpenSSL. bz # 2466
• Diverse: Løs kompileringsfeil på noen versjoner av AIXs kompilator relatert til definisjonen av VA_COPY-makroen. bz # 2589
• sshd (8): Hviteliste flere arkitekturer for å aktivere sekcomp-bpf sandkassen. bz # 2590
• ssh-agent (1), sftp-server (8): Deaktiver prosesssporing på Solaris ved hjelp av setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): På Solaris må du ikke ringe Solaris setproject () med UsePAM = ja det er PAMs ansvar. bz # 2425

Hva er nytt i versjon 7.3p1:

• ssh (1), sshd (8): Lagre kompilering ved å deaktivere kifre som ikke støttes av OpenSSL automatisk. bz # 2466
• Diverse: Løs kompileringsfeil på noen versjoner av AIXs kompilator relatert til definisjonen av VA_COPY-makroen. bz # 2589
• sshd (8): Hviteliste flere arkitekturer for å aktivere sekcomp-bpf sandkassen. bz # 2590
• ssh-agent (1), sftp-server (8): Deaktiver prosesssporing på Solaris ved hjelp av setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): På Solaris må du ikke ringe Solaris setproject () med UsePAM = ja det er PAMs ansvar. bz # 2425

Hva er nytt i versjon 7.2p2:

• Feilrettelser:
• ssh (1), sshd (8): legg til kompatibilitetsløsninger for FuTTY
• ssh (1), sshd (8): Forbedre løsninger for kompatibilitet for WinSCP
• Løs opp en rekke minnefeil (dobbeltfri, fri for uninitialisert minne osv.) i ssh (1) og ssh-keygen (1). Rapportert av Mateusz Kocielski.

Hva er nytt i versjon 7.1p1:

• Bugfikses:
• ssh (1), sshd (8): legg til kompatibilitetsløsninger for FuTTY
• ssh (1), sshd (8): Forbedre løsninger for kompatibilitet for WinSCP
• Løs opp en rekke minnefeil (dobbeltfri, fri for uninitialisert minne osv.) i ssh (1) og ssh-keygen (1). Rapportert av Mateusz Kocielski.

Hva er nytt i versjon 6.9p1:

• sshd (8): Format BrukPAM-innstilling når du bruker sshd -T, en del av bz # 2346
• Se etter '$ {host} -ar' før 'ar', noe som gjør kryssammenstillingen enklere; bz # 2352.
• Flere bærbare samlingsoppdateringer: bz # 2402, bz # 2337, bz # 2370
• modul (5): Oppdater DH-GEX modulen

Hva er nytt i versjon 6.8p1:

• Støtte - uten åpningsl ved konfigureringstid. Deaktiverer og fjerner avhengighet av OpenSSL. Mange funksjoner, inkludert SSH-protokoll 1, støttes ikke, og settet med kryptoalternativer er sterkt begrenset. Dette vil bare fungere på systemer med innfødte arc4random eller / dev / urandom. Betraktes som svært eksperimentelle for nå.
• Støtte - uten-ssh1-alternativ ved konfigureringstid. Tillater deaktivering av støtte for SSH-protokoll 1.
• sshd (8): Lagre kompilering på systemer med IPv6-støtte i UTMPX; bz # 2296
• Tillat tilpasset tjeneste navn for sshd på Cygwin. Tillater bruken av flere sshd-kjører med forskjellige servicenavn.

Hva er nytt i versjon 6.7p1:

• Bærbar OpenSSH støtter nå bygging mot libressl-bærbar.
• Bærbar OpenSSH krever nå openssl 0.9.8f eller høyere. Eldre versjoner støttes ikke lenger.
• I OpenSSL-versjonskontrollen, tillat oppdateringsversjoner (men ikke nedgraderinger. Debian bug # 748150.
• sshd (8): På Cygwin, fastslå privilegiseparasjonsbruker ved kjøring, siden det kan være nødvendig å være en domene konto.
• sshd (8): Ikke forsøk å bruke vhangup på Linux. Det virker ikke for brukere uten roten, og for dem er det bare rote opp tty-innstillingene.
• Bruk CLOCK_BOOTTIME i stedet for CLOCK_MONOTONIC når den er tilgjengelig. Den vurderer tidsavbrudd suspendert, og sikrer dermed tidsavbrudd (for eksempel for utgående agentnøkler) brann riktig. bz # 2228
• Legg til støtte for ed25519 til opensshd.init init script.
• sftp-server (8): På plattformer som støtter den, bruk prctl () for å forhindre at sftp-serveren får tilgang til / proc / self / {mem, maps}

Hva er nytt i versjon 6.5p1:

• Nye funksjoner:
• ssh (1), sshd (8): Legg til støtte for nøkkelutveksling ved hjelp av elliptisk kurve Diffie Hellman i Daniel Bernsteins Curve25519. Denne nøkkelutvekslingsmetoden er standard når både klienten og serveren støtter den.
• ssh (1), sshd (8): Legg til støtte for Ed25519 som en offentlig nøkkeltype. Ed25519 er en elliptisk kurvesignatur som gir bedre sikkerhet enn ECDSA og DSA og god ytelse. Den kan brukes til både bruker- og vertsnøkler.
• Legg til et nytt privat nøkkelformat som bruker en bcrypt KDF for å bedre beskytte nøklene i ro. Dette formatet brukes ubetinget for Ed25519-nøkler, men kan bli bedt om når du genererer eller lagrer eksisterende nøkler av andre typer via -o ssh-keygen (1). Vi har til hensikt å gjøre det nye formatet standard i nær fremtid. Detaljer om det nye formatet er i PROTOCOL.key-filen.
• ssh (1), sshd (8): Legg til en ny transportkryptering "chacha20-poly1305@openssh.com" som kombinerer Daniel Bernsteins ChaCha20-strømkodning og Poly1305 MAC for å bygge en autentisert krypteringsmodus. Detaljer er i filen PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): Avvis RSA-nøkler fra gamle proprietære klienter og servere som bruker den utdaterte RSA + MD5 signaturordningen. Det vil fortsatt være mulig å koble til disse klientene / serverne, men bare DSA-nøkler vil bli akseptert, og OpenSSH vil nekte tilkobling helt i en fremtidig utgave.
• ssh (1), sshd (8): Avslå gamle proprietære klienter og servere som bruker en svakere nøkkelvekslerhashberegning.
• ssh (1): Øk størrelsen på Diffie-Hellman-gruppene som er forespurt for hver symmetrisk nøkkelstørrelse. Nye verdier fra NIST Spesialpublikasjon 800-57 med den øvre grensen spesifisert av RFC4419.
• ssh (1), ssh-agent (1): Støtte pkcs # 11 tokes som bare gir X.509 certs i stedet for raske offentlige nøkler (forespurt som bz # 1908).
• ssh (1): Legg til en ssh_config (5) "Match" søkeord som gjør at betinget konfigurasjon kan brukes ved å samsvare på vertsnavn, bruker og resultat av vilkårlig kommandoer.
• ssh (1): Legg til støtte for kunde-side vertsnavn kanonicalisering ved hjelp av et sett med DNS-suffikser og regler i ssh_config (5). Dette gjør at ukvalifiserte navn kan bli kanonicalisert til fullt kvalifiserte domenenavn for å eliminere tvetydighet når du ser opp nøkler i known_hosts eller sjekker vertscertifikatnavn.
• sftp-server (8): Legg til muligheten til å hvitliste og / eller svarteliste sftp-protokollforespørsler etter navn.
• sftp-server (8): Legg til en sftp "fsync@openssh.com" for å støtte ringer fsync (2) på et åpent filhåndtak.
• sshd (8): Legg til en ssh_config (5) PermitTTY for å avvise TTY-tildeling, som speiler den langvarige no-pty authorized_keys-alternativet.
• ssh (1): Legg til et ssh_config ProxyUseFDPass-alternativ som støtter bruk av ProxyCommands som etablerer en tilkobling og deretter sende en tilkoblet filbeskrivelse tilbake til ssh (1). Dette gjør at ProxyCommand kan gå ut i stedet for å holde seg rundt for å overføre data.
• Bugfikses:
• ssh (1), sshd (8): Fix potensiell stakutmattelse forårsaket av nestede sertifikater.
• ssh (1): bz # 1211: la BindAddress jobbe med UsePrivilegedPort.
• sftp (1): bz # 2137: fikse fremdriftsmåleren for gjenopptatt overføring.
• ssh-add (1): bz # 2187: Ikke be om smartkort-PIN når du fjerner nøkler fra ssh-agent.
• sshd (8): bz # 2139: fikser reexec-tilbakebetaling når original sshd binær ikke kan utføres.
• ssh-keygen (1): Lag relative angitte sertifikatutløpstidene i forhold til gjeldende tid og ikke gyldighetstiden.
• sshd (8): bz # 2161: fikse AuthorizedKeysCommand inne i en kampblokk.
• sftp (1): bz # 2129: symlinking av en fil ville feilaktig kanonicalisere målbanen.
• ssh-agent (1): bz # 2175: reparer en bruk-etter-fri i PKCS # 11 agenthjelpen kjørbar.
• sshd (8): Forbedre logging av økter for å inkludere brukernavn, ekstern vert og port, øktype (shell, kommando, etc.) og allokert TTY (hvis noen).
• sshd (8): bz # 1297: Fortell klienten (via en feilsøkingsmelding) når den foretrukne lytteadressen er overstyrt av serverens GatewayPorts-innstilling.
• sshd (8): bz # 2162: inkludere rapportport i dårlig protokollbannermelding.
• sftp (1): bz # 2163: reparer minnelekkasje i feilbane i do_readdir ().
• sftp (1): bz # 2171: ikke lekk filbeskrivelsen ved feil.
• sshd (8): Inkluder den lokale adressen og porten i "Tilkobling fra ..." melding (vises kun ved loglevel & gt; = verbose).
• Bærbar OpenSSH:
• Vær oppmerksom på at dette er den siste versjonen av Portable OpenSSH som vil støtte versjoner av OpenSSL før 0.9.6. Støtte (dvs. SSH_OLD_EVP) vil bli fjernet etter 6.5p1-utgivelsen.
• Portable OpenSSH vil forsøke å kompilere og lenke som en posisjon uavhengig kjørbar på Linux, OS X og OpenBSD på nyere gcc-lignende kompilatorer. Andre plattformer og eldre / andre kompilatorer kan be om dette ved hjelp av -with-pie-konfigurasjonsflagget.
• En rekke andre verktøykjerne-relaterte herdingsalternativer brukes automatisk hvis tilgjengelig, inkludert -ftrapv for å avbryte signert heltal overløp og alternativer for å skrivebeskytte dynamisk koblingsinformasjon. Bruken av disse alternativene kan være deaktivert ved hjelp av - uten herdingskonfigurasjonsflagg.
• Hvis verktøykjeden støtter det, brukes et av flaggene for -fackbeskytter-sterkt, -fack-beskytter-alle eller -fack-protektor-kompilering til å legge til vekter for å redusere angrep basert på stablingsoverløp. Bruken av disse alternativene kan være deaktivert ved hjelp av alternativet -without-stackprotect configure.
• sshd (8): Legg til støtte for sandkasse før godkjenning ved hjelp av Capsicum API innført i FreeBSD 10.
• Bytt til en ChaCha20-basert arc4random () PRNG for plattformer som ikke gir sine egne.
• sshd (8): bz # 2156: gjenopprett Linux oom_adj-innstillingen når du håndterer SIGHUP for å opprettholde oppførsel over retart.
• sshd (8): bz # 2032: bruk lokalt brukernavn i krb5_kuserok sjekk i stedet for fullt klientnavn som kan være av skjema bruker @ REALM.
• ssh (1), sshd (8): Test for både forekomsten av ECC NID-tall i OpenSSL, og at de faktisk fungerer. Fedora (minst) har NID_secp521r1 som ikke fungerer.
• bz # 2173: bruk pkg-config - libs for å inkludere riktig -L plassering for libedit.

Hva er nytt i versjon 6.4p1:

• Denne utgivelsen løser en sikkerhetsfeil: sshd : Rett opp et problem med minnekorrupsjon utløst under rekeying når en AES-GCM-kryptering er valgt. Fullstendig informasjon om sikkerhetsproblemet er tilgjengelig på: http://www.openssh.com/txt/gcmrekey.adv

Hva er nytt i versjon 6.3p1:

• Egenskaper:
• sshd (8): legg til ssh-agent (1) støtte til sshd (8); tillater krypterte vertsprogrammer eller vertsvideoer på smartkort.
• ssh (1) / sshd (8): Tillat valgfri tidsbasert rekeying via et annet argument til det eksisterende RekeyLimit-alternativet. RekeyLimit støttes nå i sshd_config så vel som på klienten.
• sshd (8): standardiser logging av informasjon under brukerautentisering.
• Presentert nøkkel / cert og fjernnavnet (hvis tilgjengelig) er nå logget inn i autentiseringssuksess / feilmeldingen på samme logglinje som det lokale brukernavnet, fjernverten / porten og protokollen som er i bruk. Sertifikatinnhold og nøkkelfingeravtrykk av signatur-CA er logget også.
• Inkluderer all relevant informasjon på en enkelt linje forenkler logganalyse, da det ikke lenger er nødvendig å forholde informasjon som er spredt over flere loggoppføringer.
• ssh (1): Legg til muligheten til å spørre hvilke cifre, MAC algoritmer, nøkkeltyper og nøkkelutvekslingsmetoder støttes i binæret.
• ssh (1): support ProxyCommand = - for å tillate støttesaker der stdin og stdout allerede peker på proxyen.
• ssh (1): Tillat IdentityFile = none
• ssh (1) / sshd (8): add -E alternativet til ssh og sshd å legge til feilsøkingslogger til en spesifisert fil i stedet for stderr eller syslog.
• sftp (1): Legg til støtte for å gjenoppta delvise nedlastinger ved hjelp av "reget" kommandoen og på sftp-kommandolinjen eller på "få" kommandolinje ved bruk av "-a" (tillegg) alternativ.
• ssh (1): Legg til en "Ignorer Ukjent" konfigurasjonsalternativ for å selektivt undertrykke feil som oppstår fra ukjente konfigurasjonsdirektiver.
• sshd (8): legg til støtte for submethods som skal legges til nødvendige godkjenningsmetoder oppført via AuthenticationMethods.
• Bugfikses:
• sshd (8): fikser avslag på å godta sertifikat hvis en nøkkel av en annen type til CA-nøkkelen dukket opp i authorized_keys før CA-nøkkelen.
• ssh (1) / ssh-agent (1) / sshd (8): Bruk en monotonisk tidskilde for timere, slik at ting som keepalives og rekeying fungerer som de skal.
• sftp (1): Oppdater progressmeter når data er bekreftet, ikke når det er sendt. bz # 2108
• ssh (1) / ssh-keygen (1): forbedre feilmeldinger når den nåværende brukeren ikke eksisterer i / etc / passwd; bz # 2125
• ssh (1): Tilbakestill rekkefølgen der offentlige nøkler blir prøvd etter delvis autentiseringssuksess.
• ssh-agent (1): Ryd opp socketfiler etter SIGINT når i feilsøkingsmodus; bz # 2120
• ssh (1) og andre: unngå forvirrende feilmeldinger i tilfelle ødelagte systemoppløserkonfigurasjoner; bz # 2122
• ssh (1): sett TCP nodelay for forbindelser startet med -N; bz # 2124
• ssh (1): riktig håndbok for tillatelseskrav på ~ / .ssh / config; bz # 2078
• ssh (1): fikser ControlPersist timeout ikke utløse i tilfeller der TCP-tilkoblinger har hengt. bz # 1917
• ssh (1): Dekker en ControlPersist-master riktig fra sin kontrollterminal.
• sftp (1): unngå krasjer i libedit når den er blitt kompilert med multibytes tegnstøtte. bz # 1990
• sshd (8): Når du kjører sshd -D, lukk stderr med mindre vi har eksplisitt bedt om logging til stderr. bz # 1976
• ssh (1): reparer ufullstendig bzero; bz # 2100
• sshd (8): logg og feil og avslutt hvis ChrootDirectory er spesifisert og kjører uten root privilegier.
• Mange forbedringer i regresjonstestpakken. Spesielt loggfiler er nå lagret fra ssh og sshd etter feil.
• Korrigere en rekke minnelekkasjer. bz # 1967 bz # 2096 og andre
• sshd (8): Fiks offentlig nøkleautentisering når en: stil legges til det forespurte brukernavnet.
• ssh (1): Gå ikke dødelig ut når du prøver å rydde opp multipleksjonsopprettede kanaler som ikke er åpent. bz # 2079
• Bærbar OpenSSH:
• Major overhaling av bidrag / cygwin / README
• Fiks ujusterte tilganger i umac.c for strengejusteringsarkitekturer. bz # 2101
• Aktiver -Wsizeof-pointer-memaccess hvis kompilatoren støtter den. bz # 2100
• Løs feilbrukte kommandolinjerapporteringsfeil. bz # 1448
• Bare inkludere SHA256 og ECC-baserte nøkkelutvekslingsmetoder hvis libcrypto har den nødvendige støtten.
• Fix krasj i SOCKS5 dynamisk videresendingskode på strengejusteringsarkitekturer.
• En rekke bærbarhetsrettelser for Android: * Ikke prøv å bruke lastlogg på Android; bz # 2111 * Fall tilbake til bruk av openssls DES_crypt-funksjon på platorms som ikke har en native crypt () -funksjon; bz # 2112 * Test for fd_mask, howmany og NFDBITS i stedet for å prøve å oppregne plankene som ikke har dem. bz # 2085 * Erstatt S_IWRITE, som ikke er standardisert, med S_IWUSR, som er. bz # 2085 * Legg til null implementering av endgrent for plattformer som ikke har det (f.eks. Android) bz # 2087 * Støtteplattformer, for eksempel Android, som mangler struct passwd.pw_gecos. bz # 2086

Hva er nytt? i versjon 6.2p2:

• sshd (8): Linux sekcomp-filter sandbok støttes nå på ARM plattformer hvor kjernen støtter den.
• sshd (8): Sandkassen sekcomp-filter vil ikke bli aktivert hvis systemoverskriftene støtter det på kompileringstid, uansett om det kan aktiveres da. Hvis kjøretidssystemet ikke støtter sekcomp-filter, vil sshd falle tilbake til rlimit pseudo-sandkassen.
• ssh (1): Ikke koble i Kerberos-bibliotekene. De er ikke nødvendige på klienten, bare på sshd (8). bz # 2072
• Løs GSSAPI-kobling på Solaris, som bruker et annet navn GSSAPI-bibliotek. bz # 2073
• Lag kompilering på systemer med openssl-1.0.0-fips.
• Løs et antall feil i RPM-spesifikasjonsfilene.

Hva er nytt i versjon 5.8p1:

• Bærbare OpenSSH feilrettinger:
• Opprett samlingssvikt ved aktivering av SELinux-støtte.
• Ikke prøv å ringe SELinux-funksjoner når SELinux er deaktivert. bz # 1851