Portable OpenSSH

Portable OpenSSH adalah proyek perangkat lunak open source, versi portabel dari paket protokol OpenSSH (Open Source Secure Shell) dari utilitas konektivitas jaringan yang digunakan saat ini di Internet oleh semakin banyak orang . Ini telah dirancang dari offset untuk mengenkripsi semua lalu lintas jaringan, termasuk kata sandi, untuk secara efektif menghilangkan potensi serangan yang tidak dapat Anda prediksi, seperti upaya pembajakan koneksi atau menguping.

Fitur utama termasuk enkripsi kuat berdasarkan pada algoritma Blowfish, AES, 3DES dan Arcfour, X11 forwarding dengan mengenkripsi lalu lintas Sistem X Window, otentikasi yang kuat berdasarkan pada Kerberos Authentication, Public Key dan One-Time Password protocols, serta port forwarding dengan mengenkripsi saluran untuk protokol legacy.

Selain itu, perangkat lunak ini dilengkapi dengan forwarding agen berdasarkan spesifikasi SSO (Single-Sign-On), tiket AFS dan Kerberos, dukungan untuk klien dan server SFTP (Secure FTP) di kedua SSH1 dan protokol SSH2, kompresi data , dan interoperabilitas, yang membuat program untuk mematuhi standar protokol SSH 1.3, 1.5 dan 2.0.

Apa sajakah yang disertakan?

Setelah diinstal, OpenSSH akan secara otomatis mengganti utilitas Telnet dan rlogin dengan program SSH (Secure Shell), serta alat FTP dengan SFTP dan RCP dengan SCP. Selain itu, ini termasuk daemon SSH (sshd) dan berbagai utilitas yang berguna, seperti ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan dan sftp-server.

Seluruh proyek ditulis dalam bahasa pemrograman C dan didistribusikan sebagai arsip sumber universal untuk semua sistem operasi GNU / Linux, memungkinkan Anda untuk menginstalnya pada komputer 32-bit atau 64-bit (direkomendasikan).

Harap dicatat bahwa sumber tarball mengharuskan Anda untuk mengonfigurasi dan mengkompilasi proyek sebelum pemasangan, jadi kami sangat menyarankan pengguna akhir untuk mencoba menginstalnya dari repositori perangkat lunak default sistem operasi GNU / Linux mereka.

Apa yang baru dalam rilis ini:

• ssh (1), sshd (8): Perbaiki kompilasi dengan menonaktifkan secara otomatis cipher yang tidak didukung oleh OpenSSL. bz # 2466
• misc: Memperbaiki kegagalan kompilasi pada beberapa versi kompiler AIX yang terkait dengan definisi makro VA_COPY. bz # 2589
• sshd (8): Memutuskan daftar putih arsitektur untuk mengaktifkan kotak pasir bpf-seccomp. bz # 2590
• ssh-agent (1), sftp-server (8): Nonaktifkan proses pelacakan pada Solaris menggunakan setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): Pada Solaris, jangan panggil Solaris setproject () dengan UsePAM = ya itu tanggung jawab PAM. bz # 2425

Apa yang baru dalam versi:

• ssh (1), sshd (8): Perbaiki kompilasi oleh secara otomatis menonaktifkan cipher yang tidak didukung oleh OpenSSL. bz # 2466
• misc: Memperbaiki kegagalan kompilasi pada beberapa versi kompiler AIX yang terkait dengan definisi makro VA_COPY. bz # 2589
• sshd (8): Memutuskan daftar putih arsitektur untuk mengaktifkan kotak pasir bpf-seccomp. bz # 2590
• ssh-agent (1), sftp-server (8): Nonaktifkan proses pelacakan pada Solaris menggunakan setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): Pada Solaris, jangan panggil Solaris setproject () dengan UsePAM = ya itu tanggung jawab PAM. bz # 2425

Apa yang baru di versi 7.4p1:

• ssh (1), sshd (8): Perbaiki kompilasi dengan secara otomatis melumpuhkan cipher yang tidak didukung oleh OpenSSL. bz # 2466
• misc: Memperbaiki kegagalan kompilasi pada beberapa versi kompiler AIX yang terkait dengan definisi makro VA_COPY. bz # 2589
• sshd (8): Memutuskan daftar putih arsitektur untuk mengaktifkan kotak pasir bpf-seccomp. bz # 2590
• ssh-agent (1), sftp-server (8): Nonaktifkan proses pelacakan pada Solaris menggunakan setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): Pada Solaris, jangan panggil Solaris setproject () dengan UsePAM = ya itu tanggung jawab PAM. bz # 2425

Apa yang baru di versi 7.3p1:

• ssh (1), sshd (8): Perbaiki kompilasi dengan menonaktifkan secara otomatis cipher yang tidak didukung oleh OpenSSL. bz # 2466
• misc: Memperbaiki kegagalan kompilasi pada beberapa versi kompiler AIX yang terkait dengan definisi makro VA_COPY. bz # 2589
• sshd (8): Memutuskan daftar putih arsitektur untuk mengaktifkan kotak pasir bpf-seccomp. bz # 2590
• ssh-agent (1), sftp-server (8): Nonaktifkan proses pelacakan pada Solaris menggunakan setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): Pada Solaris, jangan panggil Solaris setproject () dengan UsePAM = ya itu tanggung jawab PAM. bz # 2425

Apa yang baru di versi 7.2p2:

• Perbaikan bug:
• ssh (1), sshd (8): menambahkan comparability workarounds untuk FuTTY
• ssh (1), sshd (8): memperbaiki compatability workarounds untuk WinSCP
• Perbaiki sejumlah kesalahan memori (bebas-ganda, bebas dari memori yang tidak terinisialisasi, dll) dalam ssh (1) dan ssh-keygen (1). Dilaporkan oleh Mateusz Kocielski.

Apa yang baru di versi 7.1p1:

• Perbaikan bug:
• ssh (1), sshd (8): menambahkan comparability workarounds untuk FuTTY
• ssh (1), sshd (8): memperbaiki compatability workarounds untuk WinSCP
• Perbaiki sejumlah kesalahan memori (bebas-ganda, bebas dari memori yang tidak terinisialisasi, dll) dalam ssh (1) dan ssh-keygen (1). Dilaporkan oleh Mateusz Kocielski.

Apa yang baru di versi 6.9p1:

• sshd (8): Format Gunakan pengaturan PAM saat menggunakan sshd -T, bagian dari bz # 2346
• Carilah '$ {host} -ar' sebelum 'ar', membuat kompilasi silang lebih mudah; bz # 2352.
• Beberapa perbaikan kompilasi portabel: bz # 2402, bz # 2337, bz # 2370
• moduli (5): memperbarui moduli DH-GEX

Apa yang baru di versi 6.8p1:

• Dukungan --tanpa-terbuka pada waktu konfigurasi. Menonaktifkan dan menghapus ketergantungan pada OpenSSL. Banyak fitur, termasuk protokol SSH 1 tidak didukung dan set opsi crypto sangat dibatasi. Ini hanya akan bekerja pada sistem dengan arc4random asli atau / dev / urandom. Dianggap sangat eksperimental untuk saat ini.
• Dukungan - tanpa opsi -ssh1 pada waktu konfigurasi. Memungkinkan penonaktifan dukungan untuk protokol SSH 1.
• sshd (8): Perbaiki kompilasi pada sistem dengan dukungan IPv6 di utmpx; bz # 2296
• Izinkan nama layanan kustom untuk sshd di Cygwin. Mengizinkan penggunaan beberapa sshd berjalan dengan nama layanan yang berbeda.

Apa yang baru di versi 6.7p1:

• Portable OpenSSH sekarang mendukung bangunan terhadap libressl-portable.
• Portable OpenSSH sekarang membutuhkan openssl 0.9.8f atau lebih tinggi. Versi lama tidak lagi didukung.
• Pada pemeriksaan versi OpenSSL, perbolehkan memperbaiki peningkatan versi (tetapi tidak menurunkan peringkat. Bug Debian # 748150.
• sshd (8): Pada Cygwin, tentukan privilege separation user pada saat runtime, karena ini mungkin harus menjadi akun domain.
• sshd (8): Jangan mencoba menggunakan vhangup di Linux. Ini tidak bekerja untuk pengguna non-root, dan bagi mereka itu hanya mengacaukan pengaturan tty.
• Gunakan CLOCK_BOOTTIME dalam preferensi ke CLOCK_MONOTONIC saat tersedia. Ini menganggap waktu yang dihabiskan ditangguhkan, sehingga memastikan waktu tunggu (misalnya untuk kunci agen yang habis masa berlakunya) diaktifkan dengan benar. bz # 2228
• Tambahkan dukungan untuk ed25519 ke skrip init openshd.init.
• sftp-server (8): Pada platform yang mendukungnya, gunakan prctl () untuk mencegah sftp-server mengakses / proc / self / {mem, maps}

Apa yang baru di versi 6.5p1:

• Fitur baru:
• ssh (1), sshd (8): Tambahkan dukungan untuk pertukaran kunci menggunakan elliptic-curve Diffie Hellman dalam Curve25519 milik Daniel Bernstein. Metode pertukaran kunci ini adalah default ketika klien dan server mendukungnya.
• ssh (1), sshd (8): Tambahkan dukungan untuk Ed25519 sebagai jenis kunci publik. Ed25519 adalah skema tanda tangan eliptik kurva yang menawarkan keamanan yang lebih baik daripada ECDSA dan DSA dan kinerja yang baik. Ini dapat digunakan untuk kunci pengguna dan host.
• Tambahkan format kunci pribadi baru yang menggunakan KDF bcrypt untuk melindungi kunci dengan lebih baik saat istirahat. Format ini digunakan tanpa syarat untuk kunci Ed25519, tetapi dapat diminta saat membuat atau menyimpan kunci yang ada dari jenis lain melalui opsi -o ssh-keygen (1). Kami bermaksud menjadikan format baru sebagai default dalam waktu dekat. Rincian format baru ada dalam file PROTOCOL.key.
• ssh (1), sshd (8): Tambahkan kode transport baru & quot; chacha20-poly1305@openssh.com" yang menggabungkan stream stream ChaCha20 Daniel Bernstein dan Poly1305 MAC untuk membangun mode enkripsi yang diotentikasi. Detail ada dalam file PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): Menolak kunci RSA dari klien dan server lama yang menggunakan skema tanda tangan RSA + MD5 yang sudah usang. Masih mungkin untuk terhubung dengan klien / server ini tetapi hanya kunci DSA yang akan diterima, dan OpenSSH akan menolak koneksi sepenuhnya dalam rilis mendatang.
• ssh (1), sshd (8): Menolak klien lama dan server yang menggunakan perhitungan hash pertukaran kunci yang lebih lemah.
• ssh (1): Meningkatkan ukuran kelompok Diffie-Hellman yang diminta untuk setiap ukuran kunci simetrik. Nilai baru dari NIST Special Publication 800-57 dengan batas atas ditentukan oleh RFC4419.
• ssh (1), ssh-agent (1): Mendukung pkcs # 11 tokes yang hanya memberikan sertifikat X.509 alih-alih kunci publik mentah (diminta sebagai bz # 1908).
• ssh (1): Tambahkan ssh_config (5) & quot; Cocok & quot; kata kunci yang memungkinkan konfigurasi bersyarat diterapkan dengan mencocokkan pada nama host, pengguna, dan hasil dari perintah arbitrer.
• ssh (1): Tambahkan dukungan untuk canonicalisation nama host sisi-klien menggunakan seperangkat sufiks DNS dan aturan dalam ssh_config (5). Ini memungkinkan nama yang tidak memenuhi syarat untuk dapat dikkanonisasi ke nama domain yang sepenuhnya memenuhi syarat untuk menghilangkan ambiguitas ketika mencari kunci di known_hosts atau memeriksa nama-nama sertifikat host.
• sftp-server (8): Tambahkan kemampuan ke daftar putih dan / atau blacklist permintaan protokol sftp berdasarkan nama.
• sftp-server (8): Tambahkan sftp & quot; fsync@openssh.com" untuk mendukung pemanggilan fsync (2) pada pegangan file yang terbuka.
• sshd (8): Tambahkan ssh_config (5) PermitTTY untuk tidak mengizinkan alokasi TTY, mencerminkan opsi authorized_keys no-pty lama.
• ssh (1): Tambahkan opsi ProxyUseFDPass ssh_config yang mendukung penggunaan ProxyCommands yang membuat koneksi dan kemudian meneruskan deskriptor file yang terhubung kembali ke ssh (1). Ini memungkinkan ProxyCommand untuk keluar daripada tetap berkeliling untuk mentransfer data.
• Perbaikan bug:
• ssh (1), sshd (8): Perbaiki potensi keletihan tumpukan yang disebabkan oleh sertifikat bertingkat.
• ssh (1): bz # 1211: buat BindAddress berfungsi dengan UsePrivilegedPort.
• sftp (1): bz # 2137: perbaiki pengukur kemajuan untuk transfer yang dilanjutkan.
• ssh-add (1): bz # 2187: jangan minta PIN smartcard saat melepas kunci dari ssh-agent.
• sshd (8): bz # 2139: perbaiki re-exec fallback ketika biner sshd asli tidak dapat dijalankan.
• ssh-keygen (1): Buat waktu kadaluwarsa sertifikat yang ditentukan relatif terhadap waktu saat ini dan bukan waktu mulai validitas.
• sshd (8): bz # 2161: perbaiki AuthorizedKeysCommand di dalam blok Pencocokan.
• sftp (1): bz # 2129: symlink file akan salah mengimonisasi jalur target.
• ssh-agent (1): bz # 2175: perbaiki penggunaan setelah bebas di helper agen PKCS # 11 yang dapat dieksekusi.
• sshd (8): Meningkatkan pencatatan sesi untuk memasukkan nama pengguna, host dan port jarak jauh, jenis sesi (shell, perintah, dll.) dan mengalokasikan TTY (jika ada).
• sshd (8): bz # 1297: beri tahu klien (melalui pesan debug) ketika alamat mendengarkan yang mereka sukai telah ditimpa oleh pengaturan GatewayPorts server.
• sshd (8): bz # 2162: sertakan port laporan dalam pesan spanduk protokol yang buruk.
• sftp (1): bz # 2163: memperbaiki kebocoran memori pada jalur kesalahan di do_readdir ().
• sftp (1): bz # 2171: jangan deskriptor file bocor pada kesalahan.
• sshd (8): Sertakan alamat dan port lokal di & quot; Sambungan dari ... & quot; pesan (hanya ditampilkan di loglevel & gt; = verbose).
• Portable OpenSSH:
• Harap dicatat bahwa ini adalah versi terakhir dari Portable OpenSSH yang akan mendukung versi OpenSSL sebelum 0.9.6. Dukungan (mis. SSH_OLD_EVP) akan dihapus setelah rilis 6.5p1.
• Portable OpenSSH akan mencoba mengkompilasi dan menautkan sebagai Posisi Dapat Dieksekusi Independen di Linux, OS X dan OpenBSD pada kompiler gcc-like baru-baru ini. Platform lain dan kompiler yang lebih tua / lainnya dapat meminta ini menggunakan flag configure --with-pie.
• Sejumlah opsi pengerasan terkait toolchain lainnya digunakan secara otomatis jika tersedia, termasuk -ftrapv untuk membatalkan pada overflow bilangan bulat yang ditandai dan opsi untuk menulis-melindungi informasi penautan dinamis. Penggunaan opsi ini dapat dinonaktifkan menggunakan flag konfigurasi - tanpa-pengerasan.
• Jika toolchain mendukungnya, salah satu -fstack-protector-strong, -fstack-protector-all atau -fstack-protector compilation flag digunakan untuk menambah penjaga untuk mengurangi serangan berdasarkan tumpukan overflows. Penggunaan opsi-opsi ini dapat dinonaktifkan menggunakan opsi konfigurasi --tanpa-stackprotect.
• sshd (8): Tambahkan dukungan untuk sandboxing pra-otentikasi menggunakan API Capsicum yang diperkenalkan di FreeBSD 10.
• Beralih ke arc4random () PRNG berbasis ChaCha20 untuk platform yang tidak menyediakan milik mereka sendiri.
• sshd (8): bz # 2156: memulihkan pengaturan oom_adj Linux saat menangani SIGHUP untuk mempertahankan perilaku di atas retart.
• sshd (8): bz # 2032: gunakan nama pengguna lokal di cek krb5_kuserok daripada nama klien lengkap yang mungkin dari bentuk pengguna @ REALM.
• ssh (1), sshd (8): Uji baik kehadiran nomor ECC NID di OpenSSL dan bahwa mereka benar-benar berfungsi. Fedora (setidaknya) memiliki NID_secp521r1 yang tidak berfungsi.
• bz # 2173: gunakan pkg-config --libs untuk menyertakan lokasi -L yang benar untuk libedit.

Apa yang baru di versi 6.4p1:

• Rilis ini memperbaiki bug keamanan: sshd (8) : memperbaiki masalah korupsi memori yang dipicu selama rekeying ketika sandi AES-GCM dipilih. Detail lengkap tentang kerentanan tersedia di: http://www.openssh.com/txt/gcmrekey.adv

Apa yang baru di versi 6.3p1:

• Fitur:
• sshd (8): tambahkan ssh-agent (1) dukungan ke sshd (8); memungkinkan kunci host yang dienkripsi, atau tombol host pada smartcard.
• ssh (1) / sshd (8): mengizinkan rekeying berbasis waktu opsional melalui argumen kedua ke opsi RekeyLimit yang ada. RekeyLimit sekarang didukung di sshd_config dan juga pada klien.
• sshd (8): standardisasi pencatatan informasi selama otentikasi pengguna.
• Kunci / sertifikat yang disajikan dan nama pengguna jauh (jika tersedia) sekarang dicatat dalam pesan keberhasilan / kegagalan otentikasi pada baris log yang sama dengan nama pengguna lokal, host remote / port dan protokol yang digunakan. Isi sertifikat dan sidik jari kunci dari penandatanganan CA juga dicatat.
• Menyertakan semua informasi yang relevan pada satu baris menyederhanakan analisis log karena tidak lagi diperlukan untuk menghubungkan informasi yang tersebar di beberapa entri log.
• ssh (1): menambahkan kemampuan untuk menanyakan cipher mana, algoritme MAC, jenis kunci, dan metode pertukaran kunci yang didukung dalam biner.
• ssh (1): mendukung ProxyCommand = - untuk memungkinkan kasus-kasus dukungan di mana stdin dan stdout sudah mengarah ke proxy.
• ssh (1): izinkan IdentityFile = none
• ssh (1) / sshd (8): menambahkan opsi -E ke ssh dan sshd untuk menambahkan log debug ke file yang ditentukan, bukan stderr atau syslog.
• sftp (1): tambahkan dukungan untuk melanjutkan unduhan sebagian menggunakan & quot; reget & quot; perintah dan pada baris perintah sftp atau di & quot; dapatkan & quot; baris perintah menggunakan & quot; -a & quot; (tambahkan) opsi.
• ssh (1): tambahkan & quot; IgnoreUnknown & quot; opsi konfigurasi untuk secara selektif menekan kesalahan yang timbul dari arahan konfigurasi yang tidak dikenal.
• sshd (8): menambahkan dukungan untuk submetode yang akan ditambahkan ke metode autentikasi yang diperlukan yang dicantumkan melalui AuthenticationMethods.
• Perbaikan bug:
• sshd (8): memperbaiki penolakan untuk menerima sertifikat jika kunci dari jenis yang berbeda ke kunci CA muncul di authorized_keys sebelum tombol CA.
• ssh (1) / ssh-agent (1) / sshd (8): Gunakan sumber waktu monoton untuk timer sehingga hal-hal seperti keepalives dan rekeying akan berfungsi dengan baik di atas langkah jam.
• sftp (1): memutakhirkan progresif ketika data diketahui, bukan ketika dikirim. bz # 2108
• ssh (1) / ssh-keygen (1): memperbaiki pesan kesalahan saat pengguna saat ini tidak ada di / etc / passwd; bz # 2125
• ssh (1): mereset urutan ketika kunci publik dicoba setelah keberhasilan otentikasi sebagian.
• ssh-agent (1): membersihkan file soket setelah SIGINT ketika dalam mode debug; bz # 2120
• ssh (1) dan lainnya: hindari pesan-pesan kesalahan yang membingungkan dalam kasus konfigurasi penyelesai sistem yang rusak; bz # 2122
• ssh (1): mengatur TCP nodelay untuk koneksi yang dimulai dengan -N; bz # 2124
• ssh (1): manual yang benar untuk persyaratan izin pada ~ / .ssh / config; bz # 2078
• ssh (1): memperbaiki batas waktu ControlPersist tidak memicu dalam kasus di mana koneksi TCP telah digantung. bz # 1917
• ssh (1): hubungkan master ControlPersist dengan benar dari terminal kontrolnya.
• sftp (1): hindari crash di libedit ketika telah dikompilasi dengan dukungan karakter multi-byte. bz # 1990
• sshd (8): ketika menjalankan sshd -D, tutup stderr kecuali kami telah secara eksplisit meminta logging ke stderr. bz # 1976,
• ssh (1): memperbaiki bzero yang tidak lengkap; bz # 2100
• sshd (8): log and error dan keluar jika ChrootDirectory ditentukan dan berjalan tanpa hak akses root.
• Banyak perbaikan pada rangkaian uji regresi. Dalam file log tertentu sekarang disimpan dari ssh dan sshd setelah kegagalan.
• Perbaiki sejumlah kebocoran memori. bz # 1967 bz # 2096 dan lainnya
• sshd (8): perbaiki autentikasi kunci publik ketika: gaya ditambahkan ke nama pengguna yang diminta.
• ssh (1): jangan keluar secara fatal ketika mencoba untuk membersihkan saluran yang dibuat dengan multiplexing yang tidak sepenuhnya dibuka. bz # 2079
• Portable OpenSSH:
• Perbaikan utama contrib / cygwin / README
• Perbaiki akses yang tidak tepat dalam umac.c untuk arsitektur penyelarasan yang ketat. bz # 2101
• Aktifkan -Wsizeof-pointer-memaccess jika compiler mendukungnya. bz # 2100
• Memperbaiki kesalahan pelaporan baris perintah yang salah. bz # 1448
• Hanya menyertakan SHA256 dan metode pertukaran kunci berbasis ECC jika libcrypto memiliki dukungan yang diperlukan.
• Memperbaiki kemacetan dalam kode penerusan dinamis SOCKS5 pada arsitektur ketat-penyelarasan.
• Sejumlah perbaikan portabilitas untuk Android: * Jangan mencoba menggunakan lastlog di Android; bz # 2111 * Jatuh kembali menggunakan fungsi DES_crypt openssl pada platorm yang tidak memiliki fungsi crypt () asli; bz # 2112 * Tes untuk fd_mask, howmany dan NFDBITS daripada mencoba untuk menyebutkan plaform yang tidak memilikinya. bz # 2085 * Ganti S_IWRITE, yang tidak distandarisasi, dengan S_IWUSR, yang mana. bz # 2085 * Tambahkan implementasi nol dari endgrent untuk platform yang tidak memilikinya (misalnya Android) bz # 2087 * Platform dukungan, seperti Android, yang tidak memiliki struct passwd.pw_gecos. bz # 2086

Apa yang baru di versi 6.2p2:

• sshd (8): Kotak pasir filter-scc Linux sekarang didukung di ARM platform di mana kernel mendukungnya.
• sshd (8): Kotak pasir filter-seccomp tidak akan diaktifkan jika header sistem mendukungnya pada waktu kompilasi, terlepas dari apakah itu dapat diaktifkan kemudian. Jika sistem run-time tidak mendukung seccomp-filter, sshd akan kembali ke pseudo-sandbox rlimit.
• ssh (1): Jangan tautkan di pustaka Kerberos. Mereka tidak diperlukan pada klien, hanya pada sshd (8). bz # 2072
• Perbaiki GSSAPI yang menaut pada Solaris, yang menggunakan pustaka GSSAPI dengan nama berbeda. bz # 2073
• Perbaiki kompilasi pada sistem dengan openssl-1.0.0-fips.
• Perbaiki sejumlah kesalahan dalam file spesifikasi RPM.

Apa yang baru di versi 5.8p1:

• Perbaikan Bug OpenSSH Portable:
• Memperbaiki kegagalan kompilasi saat mengaktifkan dukungan SELinux.
• Jangan mencoba memanggil fungsi SELinux saat SELinux dinonaktifkan. bz # 1851