Релиз OpenSSH 6.2

Доступен релиз OpenSSH 6.2, открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.

Из наиболее заметных улучшений можно отметить:

  • Добавлена возможность использования сразу нескольких обязательных методов аутентификации в протоколе SSH 2. Список методов задаётся через новую директиву конфигурации AuthenticationMethods, в которой через запятую перечисляются имена одного или нескольких методов аутентификации. Необходимым условием завершения аутентификации является успешное завершение каждого из перечисленных методов. Например, можно указать о необходимости прохождения аутентификации по открытому ключу или GSSAPI, перед началом аутентификации по паролю;
  • В реализацию протокола SSH 2 добавлена поддержка аутентифицированного шифрования с использованием блочного шифра AES-GCM, позволяющего гарантировать неизменность передаваемого шифрованного потока. Новые шифры доступны как aes128-gcm и aes256-gcm и используют одинаковый формат пакетов при работе в режиме AES-GCM, определённом в RFC 5647 в сочетании с упрощёнными и изменёнными правила выбора в процессе обмена ключами;
  • В реализацию протокола SSH 2 добавлена и задействована по умолчанию поддержка EtM-режимов (encrypt-then-mac) подстановки MAC (Message Authentication Code). Отличие новых режимов состоит в том, что вычисление MAC производится на основании размера пакета и уже зашифрованного пакета, а не на основании незашифрованных данных. Подобный подход рассматривается как более безопасный;
  • Добавлена поддержка алгоритма вычисления MAC-кодов UMAC-128 для использования в режиме encrypt-then-mac;
  • В sshd и ssh-keygen добавлена поддержка KRL (Key Revocation Lists), компактного бинарного формата для представления списков отозванных ключей и сертификатов, требующего всего одного дополнительного бита на каждый сертификат, отозванный по серийному номеру. Для генерации KRL может применяться утилита ssh-keygen. Загрузка в sshd осуществляется через указания пути к файлу через директиву RevokedKeys;
  • Директива настройки sshd AllowTcpForwarding теперь поддерживает параметры "local" и "remote" в дополнение к ранее применяемым значениям "yes" и "no". Использование новых параметров позволяет отдельно разрешить локальное или внешнее перенаправление соединений;
  • Добавлена новая директива AuthorizedKeysCommand для настройки в sshd загрузки содержимого authorized_keys в форме вывода произвольной команды, в не только в форме открытия готового файла. Идентификатор пользовтеля, под которым выполняется команда для динамической генерации authorized_keys задаётся через директиву AuthorizedKeysCommandUser;
  • В sftp-server добавлена поддержка опции "-d" с указанием начальной директории, что позволяет выбрать путь, отличный от домашней директории пользователя;
  • В ssh-keygen добавлена поддержка создания слепков ключей (fingerprinting), размещённых в хранилищах PKCS#11. Для создания слепка нужно использовать команду "ssh-keygen -lD pkcs11_provider";
  • При использовании протокола SSH2 в ssh, который используется по умолчанию, отныне заголовок с версией протокола SSH отправляется клиентом сразу, не дожидаясь ответа с версией протокола от сервера, что позволяет сократить время на установку соединения;
  • В команду ssh добавлена поддержка escape-последовательностей "~v" и "~V" для увеличения или уменьшения детализации лога. Escape-команда "-?" теперь выводит подсказку в зависимости от контекста и показывает справку только по командам, допустимым в текущей ситуации;
  • В переносимой версии sshd поддержка режима изоляции с использованием seccomp-filter теперь доступна и на Linux-системах, собранных для архитектуры ARM.


Источник:
http://www.opennet.ru/opennews/art.shtml?num=36463

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>