Portable OpenSSH

Portable OpenSSH é um projeto de software de código aberto, uma versão portátil do pacote de protocolos de conectividade de rede OpenSSH (Open Source Secure Shell) que são usados ​​hoje na Internet por um número crescente de pessoas . Ele foi projetado a partir do deslocamento para criptografar todo o tráfego de rede, incluindo senhas, a fim de eliminar efetivamente os possíveis ataques que você não pode prever, como tentativas de invasão de conexão ou espionagem.

Os principais recursos incluem criptografia robusta baseada nos algoritmos Blowfish, AES, 3DES e Arcfour, encaminhamento X11 criptografando o tráfego do X Window System, autenticação forte baseada nos protocolos Kerberos Authentication, Public Key e One-Time Password, bem como encaminhamento de porta criptografando canais para protocolos legados.

Além disso, o software vem com o encaminhamento de agentes com base na especificação SSO (Single-Sign-On), passagem de tickets AFS e Kerberos, suporte a cliente e servidor SFTP (Secure FTP) nos protocolos SSH1 e SSH2, compactação de dados e interoperabilidade, o que torna o programa compatível com os padrões de protocolo SSH 1.3, 1.5 e 2.0.

O que é incluído?

Uma vez instalado, o OpenSSH substituirá automaticamente os utilitários Telnet e rlogin pelo programa SSH (Secure Shell), assim como a ferramenta FTP com SFTP e RCP com SCP. Além disso, inclui o daemon SSH (sshd) e vários utilitários úteis, como o ssh-agent, o ssh-add, o ssh-keygen, o ssh-keysign, o ssh-keyscan e o sftp-server.

O projeto inteiro é escrito na linguagem de programação C e é distribuído como um arquivo universal de fontes para todos os sistemas operacionais GNU / Linux, permitindo a instalação em computadores de 32 ou 64 bits (recomendados).

Por favor, note que o tarball de fontes requer que você configure e compile o projeto antes da instalação, portanto recomendamos fortemente que os usuários finais tentem instalá-lo a partir dos repositórios de software padrão do sistema operacional GNU / Linux.

O que há de novo nesta versão:

• ssh (1), sshd (8): Corrige a compilação desativando automaticamente as cifras não suportadas pelo OpenSSL. bz # 2466
• misc: corrija falhas de compilação em algumas versões do compilador do AIX relacionadas à definição da macro VA_COPY. bz # 2589
• sshd (8): Adicione mais arquiteturas para ativar a sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Desativa o rastreamento de processo no Solaris usando setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): No Solaris, não chame o Solaris setproject () com UsePAM = sim, é responsabilidade do PAM. bz # 2425

O que há de novo na versão:

• ssh (1), sshd (8): correção de compilação por desabilitando automaticamente as cifras não suportadas pelo OpenSSL. bz # 2466
• misc: corrija falhas de compilação em algumas versões do compilador do AIX relacionadas à definição da macro VA_COPY. bz # 2589
• sshd (8): Adicione mais arquiteturas para ativar a sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Desativa o rastreamento de processo no Solaris usando setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): No Solaris, não chame o Solaris setproject () com UsePAM = sim, é responsabilidade do PAM. bz # 2425

O que há de novo na versão 7.4p1:

• ssh (1), sshd (8): corrija a compilação desabilitando automaticamente cifras não suportadas por OpenSSL. bz # 2466
• misc: corrija falhas de compilação em algumas versões do compilador do AIX relacionadas à definição da macro VA_COPY. bz # 2589
• sshd (8): Adicione mais arquiteturas para ativar a sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Desativa o rastreamento de processo no Solaris usando setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): No Solaris, não chame o Solaris setproject () com UsePAM = sim, é responsabilidade do PAM. bz # 2425

O que há de novo na versão 7.3p1:

• ssh (1), sshd (8): Corrige a compilação desativando automaticamente as cifras não suportadas pelo OpenSSL. bz # 2466
• misc: corrija falhas de compilação em algumas versões do compilador do AIX relacionadas à definição da macro VA_COPY. bz # 2589
• sshd (8): Adicione mais arquiteturas para ativar a sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): Desativa o rastreamento de processo no Solaris usando setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): No Solaris, não chame o Solaris setproject () com UsePAM = sim, é responsabilidade do PAM. bz # 2425

O que há de novo na versão 7.2p2:

• Correções de erros:
• ssh (1), sshd (8): adicione soluções alternativas de compatibilidade para o FuTTY
• ssh (1), sshd (8): refine as alternativas de compatibilidade para o WinSCP
• Corrigir um número de falhas de memória (duplo-livre, livre de memória não inicializada, etc) em ssh (1) e ssh-keygen (1). Relatado por Mateusz Kocielski.

O que há de novo na versão 7.1p1:

• Correções de erros:
• ssh (1), sshd (8): adicione soluções alternativas de compatibilidade para o FuTTY
• ssh (1), sshd (8): refine as alternativas de compatibilidade para o WinSCP
• Corrigir um número de falhas de memória (duplo-livre, livre de memória não inicializada, etc) em ssh (1) e ssh-keygen (1). Relatado por Mateusz Kocielski.

O que há de novo na versão 6.9p1:

• sshd (8): Formatar a configuração UsePAM ao usar o sshd -T, parte do bz # 2346
• Procure por '$ {host} -ar' antes de 'ar', facilitando a compilação cruzada; bz # 2352.
• Várias correções de compilação portátil: bz # 2402, bz # 2337, bz # 2370
• moduli (5): atualize os módulos DH-GEX

O que há de novo na versão 6.8p1:

• Suporte --without-openssl no momento da configuração. Desativa e remove a dependência do OpenSSL. Muitos recursos, incluindo o protocolo SSH 1, não são suportados e o conjunto de opções de criptografia é bastante restrito. Isso só funcionará em sistemas com arc4random nativo ou / dev / urandom. Considerado altamente experimental por enquanto.
• Suporte --without-ssh1 opção no momento da configuração. Permite desabilitar o suporte para o protocolo SSH 1.
• sshd (8): Correção de compilação em sistemas com suporte a IPv6 em utmpx; bz # 2296
• Permitir o nome do serviço personalizado para o sshd no Cygwin. Permite o uso de vários sshd em execução com diferentes nomes de serviço.

O que há de novo na versão 6.7p1:

• O Portable OpenSSH agora suporta a construção contra o libressl-portable.
• O OpenSSH portátil agora requer o openssl 0.9.8f ou superior. Versões mais antigas não são mais suportadas.
• Na verificação de versão do OpenSSL, permita atualizações de versão de correção (mas não de downgrades. Erro Debian # 748150.
• sshd (8): no Cygwin, determine o usuário da separação de privilégios em tempo de execução, pois pode ser necessário que seja uma conta de domínio.
• sshd (8): Não tente usar o vhangup no Linux. Ele não funciona para usuários não-root, e para eles isso simplesmente atrapalha as configurações do tty.
• Use CLOCK_BOOTTIME em vez de CLOCK_MONOTONIC quando estiver disponível. Considera o tempo gasto suspenso, garantindo, assim, que os tempos limite (por exemplo, para as chaves de agente expiradas) sejam acionados corretamente. bz # 2228
• Adicione suporte para o script de inicialização ed25519 para opensshd.init.
• sftp-server (8): Em plataformas que o suportam, use prctl () para evitar que o sftp-server acesse / proc / self / {mem, maps}

O que há de novo na versão 6.5p1:

• Novos recursos:
• ssh (1), sshd (8): Adiciona suporte para troca de chaves usando a curva elíptica Diffie Hellman em Curve25519 de Daniel Bernstein. Esse método de troca de chaves é o padrão quando o cliente e o servidor o suportam.
• ssh (1), sshd (8): Adicione suporte para Ed25519 como um tipo de chave pública. O Ed25519 é um esquema de assinatura de curva elíptica que oferece melhor segurança do que ECDSA e DSA e bom desempenho. Pode ser usado tanto para chaves de usuário quanto de host.
• Adicione um novo formato de chave privada que use um KDF bcrypt para proteger melhor as chaves em repouso. Este formato é usado incondicionalmente para as chaves Ed25519, mas pode ser solicitado ao gerar ou salvar chaves existentes de outros tipos através da opção -o ssh-keygen (1). Pretendemos tornar o novo formato o padrão no futuro próximo. Detalhes do novo formato estão no arquivo PROTOCOL.key.
• ssh (1), sshd (8): Adicione uma nova codificação de transporte & quot; chacha20-poly1305@openssh.com" que combina a cifra de fluxo ChaCha20 de Daniel Bernstein e o Poly1305 MAC para criar um modo de criptografia autenticado. Detalhes estão no arquivo PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): Recusa chaves RSA de antigos clientes e servidores proprietários que usam o esquema de assinatura RSA + MD5 obsoleto. Ainda será possível conectar-se a esses clientes / servidores, mas somente chaves DSA serão aceitas, e o OpenSSH recusará a conexão inteiramente em uma versão futura.
• ssh (1), sshd (8): Recusa antigos clientes e servidores proprietários que usam um cálculo de hash de troca de chaves mais fraco.
• ssh (1): Aumenta o tamanho dos grupos Diffie-Hellman solicitados para cada tamanho de chave simétrica. Novos valores da publicação especial NIST 800-57 com o limite superior especificado por RFC4419.
• ssh (1), ssh-agent (1): suporta pkcs # 11 tokes que fornecem apenas X.509 certs em vez de chaves públicas brutas (solicitadas como bz # 1908).
• ssh (1): Adicione um comando ssh_config (5) & quot; Match & quot; palavra-chave que permite que a configuração condicional seja aplicada por correspondência no nome do host, usuário e resultado de comandos arbitrários.
• ssh (1): Adicione suporte para a canonização do nome do host do lado do cliente usando um conjunto de sufixos DNS e regras em ssh_config (5). Isso permite que nomes não qualificados sejam canonizados para nomes de domínio totalmente qualificados para eliminar ambigüidade ao procurar chaves em known_hosts ou verificar nomes de certificados de host.
• sftp-server (8): Adiciona a capacidade de fazer o whitelist e / ou solicitações do protocolo sftp da lista negra por nome.
• sftp-server (8): Adicione um sftp & quot; fsync@openssh.com" para suportar a chamada do fsync (2) em um identificador de arquivo aberto.
• sshd (8): Adicione um ssh_config (5) PermitTTY para não permitir a alocação de TTY, espelhando a antiga opção no_type authorized_keys.
• ssh (1): Adicione uma opção ssh_config ProxyUseFDPass que suporte o uso de ProxyCommands que estabelecem uma conexão e passam um descritor de arquivo conectado de volta para ssh (1). Isso permite que o ProxyCommand saia em vez de ficar por perto para transferir dados.
• Correções de erros:
• ssh (1), sshd (8): Corrigir o esgotamento potencial da pilha causado por certificados aninhados.
• ssh (1): bz # 1211: faça o BindAddress funcionar com UsePrivilegedPort.
• sftp (1): bz # 2137: corrija o medidor de progresso para retomar a transferência.
• ssh-add (1): bz # 2187: não solicite o PIN do smartcard ao remover chaves do ssh-agent.
• sshd (8): bz # 2139: corrija o retrocesso de reexecução quando o binário sshd original não puder ser executado.
• ssh-keygen (1): Faça tempos de expiração de certificados relativos em relação à hora atual e não à hora de início da validade.
• sshd (8): bz # 2161: corrija AuthorizedKeysCommand dentro de um bloco Match.
• sftp (1): bz # 2129: o symlinking de um arquivo incorretamente canoniza o caminho de destino.
• ssh-agent (1): bz # 2175: corrija um uso-depois-livre no executável auxiliar do agente PKCS # 11.
• sshd (8): Melhore o registro de sessões para incluir o nome de usuário, host e porta remotos, o tipo de sessão (shell, comando, etc.) e o TTY alocado (se houver).
• sshd (8): bz # 1297: informe ao cliente (por meio de uma mensagem de depuração) quando o endereço de escuta preferido foi substituído pela configuração GatewayPorts do servidor.
• sshd (8): bz # 2162: inclua porta de relatório na mensagem de banner de protocolo incorreta.
• sftp (1): bz # 2163: corrija o vazamento de memória no caminho do erro em do_readdir ().
• sftp (1): bz # 2171: não vaze descritor de arquivo em erro.
• sshd (8): inclua o endereço local e a porta em & quot; Conexão de ... & quot; message (mostrada somente no loglevel & gt; = verbose).
• Portable OpenSSH:
• Por favor, note que esta é a última versão do Portable OpenSSH que suportará versões do OpenSSL anteriores a 0.9.6. O suporte (por exemplo, SSH_OLD_EVP) será removido após a liberação 6.5p1.
• O OpenSSH portátil tentará compilar e vincular como um Executável Independente de Posição no Linux, OS X e OpenBSD em compiladores recentes do tipo gcc. Outras plataformas e compiladores antigos / outros podem solicitar isso usando o sinalizador de configuração --with-pie.
• Várias outras opções de proteção relacionadas a toolchain são usadas automaticamente, se disponíveis, incluindo -ftrapv para abortar no estouro de inteiro assinado e opções para proteção contra gravação de informações de vinculação dinâmica. O uso dessas opções pode ser desativado usando o sinalizador de configuração --without-hardening.
• Se o toolchain oferecer suporte a ele, um dos sinalizadores de compilação -fstack-protector-strong, -fstack-protector-all ou -fstack-protector será usado para adicionar proteções para mitigar ataques com base em estouros de pilha. O uso dessas opções pode ser desativado usando a opção de configuração --without-stackprotect.
• sshd (8): Adicione suporte para o sandbox de pré-autenticação usando a API do Capsicum introduzida no FreeBSD 10.
• Mude para um arcNrandom () PRNG baseado em ChaCha20 para plataformas que não fornecem seus próprios.
• sshd (8): bz # 2156: restaure a configuração do Linux oom_adj ao manipular o SIGHUP para manter o comportamento durante a reinicialização.
• sshd (8): bz # 2032: use o nome de usuário local na verificação krb5_kuserok, em vez do nome completo do cliente, que pode ser do formato user @ REALM.
• ssh (1), sshd (8): Teste a presença de números NID ECC no OpenSSL e que eles realmente funcionam. O Fedora (pelo menos) tem o NID_secp521r1 que não funciona.
• bz # 2173: use pkg-config --libs para incluir a localização -L correta para o libedit.

O que há de novo na versão 6.4p1:

• Esta versão corrige um bug de segurança: sshd (8) : corrige um problema de corrupção de memória acionado durante a nova chamada quando uma cifra AES-GCM é selecionada. Todos os detalhes da vulnerabilidade estão disponíveis em: http://www.openssh.com/txt/gcmrekey.adv

O que há de novo na versão 6.3p1:

• Recursos:
• sshd (8): adiciona suporte a ssh-agent (1) para sshd (8); permite chaves de host criptografadas ou teclas de host em smartcards.
• ssh (1) / sshd (8): permite a recodificação baseada em tempo opcional por meio de um segundo argumento para a opção RekeyLimit existente. O RekeyLimit agora é suportado no sshd_config, bem como no cliente.
• sshd (8): padroniza o registro de informações durante a autenticação do usuário.
• A chave / certificado apresentada e o nome de usuário remoto (se disponível) agora são registrados na mensagem de sucesso / falha de autenticação na mesma linha de registro que o nome de usuário local, host / porta remota e protocolo em uso. O conteúdo dos certificados e a impressão digital da chave da AC de assinatura também são registrados.
• A inclusão de todas as informações relevantes em uma única linha simplifica a análise de registros, pois não é mais necessário relacionar informações espalhadas por várias entradas de log.
• ssh (1): adiciona a capacidade de consultar quais cifras, algoritmos MAC, tipos de chaves e métodos de troca de chaves são suportados no binário.
• ssh (1): support ProxyCommand = - para permitir casos de suporte em que stdin e stdout já apontam para o proxy.
• ssh (1): permitir IdentityFile = nenhum
• ssh (1) / sshd (8): adicione a opção -E ao ssh e sshd para anexar logs de depuração a um arquivo especificado em vez de stderr ou syslog.
• sftp (1): adiciona suporte para retomar downloads parciais usando o & quot; reget & quot; comando e na linha de comando sftp ou no & quot; get & quot; linha de comando usando o & quot; -a & quot; opção (append).
• ssh (1): adicione um & quot; IgnoreUnknown & quot; opção de configuração para suprimir seletivamente os erros decorrentes de diretivas de configuração desconhecidas.
• sshd (8): inclua suporte para que os submethods sejam anexados aos métodos de autenticação necessários listados via AuthenticationMethods.
• Correções de erros:
• sshd (8): conserta a recusa em aceitar o certificado se uma chave de um tipo diferente da chave da AC aparecer em authorized_keys antes da chave da AC.
• ssh (1) / ssh-agent (1) / sshd (8): Use uma fonte de tempo monótona para os timers, para que coisas como keepalives e rekeying funcionem corretamente nas etapas do relógio.
• sftp (1): atualiza o progressímetro quando os dados são confirmados, não quando são enviados. bz # 2108
• ssh (1) / ssh-keygen (1): melhora as mensagens de erro quando o usuário atual não existe em / etc / passwd; bz # 2125
• ssh (1): redefine a ordem em que as chaves públicas são tentadas após o sucesso parcial da autenticação.
• ssh-agent (1): limpa os arquivos de soquete após o SIGINT quando estiver no modo de depuração; bz # 2120
• ssh (1) e outros: evite confundir mensagens de erro no caso de configurações quebradas do resolvedor do sistema; bz # 2122
• ssh (1): define o nó do nó TCP para conexões iniciadas com -N; bz # 2124
• ssh (1): manual correto para requisitos de permissão em ~ / .ssh / config; bz # 2078
• ssh (1): corrige o tempo limite de ControlPersist que não é acionado nos casos em que as conexões TCP foram interrompidas. bz # 1917
• ssh (1): apronta corretamente um mestre ControlPersist de seu terminal de controle.
• sftp (1): evita falhas no libedit quando compilado com suporte a caracteres de múltiplos bytes. bz # 1990
• sshd (8): ao executar o sshd -D, feche o stderr a menos que tenhamos solicitado explicitamente o logging para o stderr. bz # 1976,
• ssh (1): conserta bzero incompleto; bz # 2100
• sshd (8): registra e erro e sai se o ChrootDirectory estiver especificado e em execução sem privilégios de root.
• Muitas melhorias no conjunto de testes de regressão. Em particular, arquivos de log agora são salvos a partir de ssh e sshd após falhas.
• Corrigir vários vazamentos de memória. bz # 1967 bz # 2096 e outros
• sshd (8): corrija a autenticação de chave pública quando um estilo: é anexado ao nome de usuário solicitado.
• ssh (1): não saia fatalmente ao tentar limpar canais criados por multiplexação que estão abertos incompletamente. bz # 2079
• Portable OpenSSH:
• Grande revisão de contrib / cygwin / README
• Corrigir acessos desalinhados em umac.c para arquiteturas de alinhamento estrito. bz # 2101
• Ative -Wsizeof-pointer-memaccess se o compilador suportar. bz # 2100
• Corrigir erros de relatório de linha de comando incorretos quebrados. bz # 1448
• Incluir somente métodos de troca de chaves baseados em SHA256 e ECC se o libcrypto tiver o suporte necessário.
• Corrigir falha no código de encaminhamento dinâmico do SOCKS5 em arquiteturas de alinhamento estrito.
• Várias correções de portabilidade para Android: * Não tente usar o lastlog no Android; bz # 2111 * Volte a usar a função DES_crypt do openssl em platorms que não possuem uma função crypt () nativa; bz # 2112 * Teste para fd_mask, howmany e NFDBITS ao invés de tentar enumerar os plaforms que não os possuem. bz # 2085 * Substitua S_IWRITE, que não é padronizado, com S_IWUSR, que é. bz # 2085 * Adicionar uma implementação nula de endgrent para plataformas que não o possuem (por exemplo, Android) bz # 2087 * Plataformas de suporte, como o Android, que não possuem struct passwd.pw_gecos. bz # 2086

O que há de novo na versão 6.2p2:

• sshd (8): A caixa de proteção do filtro seccomp do Linux agora é suportada no ARM plataformas onde o kernel suporta.
• sshd (8): A caixa de proteção do seccomp-filter não será ativada se os cabeçalhos do sistema suportarem em tempo de compilação, independentemente de poder ou não ser habilitado. Se o sistema de tempo de execução não suportar seccomp-filter, o sshd voltará à pseudo-sandbox rlimit.
• ssh (1): Não vincule nas bibliotecas do Kerberos. Eles não são necessários no cliente, apenas no sshd (8). bz # 2072
• Corrija a vinculação GSSAPI no Solaris, que usa uma biblioteca GSSAPI com nomes diferentes. bz # 2073
• Corrigir a compilação em sistemas com o openssl-1.0.0-fips.
• Corrigir vários erros nos arquivos de especificação do RPM.

O que há de novo na versão 5.8p1:

• Correções de erros OpenSSH portáteis:
• Corrigir falha na compilação ao habilitar o suporte ao SELinux.
• Não tente chamar funções do SELinux quando o SELinux estiver desativado. bz # 1851