Portable OpenSSH

Portable OpenSSH est un projet logiciel open source, une version portable de la suite d'outils de connectivité réseau OpenSSH (Open Source Secure Shell) qui sont utilisés aujourd'hui sur Internet par un nombre croissant de personnes . Il a été conçu à partir du décalage pour chiffrer tout le trafic réseau, y compris les mots de passe, afin d'éliminer efficacement les attaques potentielles que vous ne pouvez pas prédire, telles que les tentatives de piratage de connexion ou l'écoute électronique.

Les fonctionnalités clés comprennent un cryptage fort basé sur les algorithmes Blowfish, AES, 3DES et Arcfour, le transfert X11 en cryptant le trafic du système X Window, une authentification forte basée sur les protocoles Kerberos Authentication, Public Key et One-Time Password, ainsi que transfert de port en cryptant des canaux pour les protocoles hérités.

De plus, le logiciel est fourni avec le transfert d'agent basé sur la spécification SSO (Single-Sign-On), le passage de ticket AFS et Kerberos, le support client SFTP (Secure FTP) dans les protocoles SSH1 et SSH2, la compression de données et l'interopérabilité, ce qui rend le programme conforme aux normes de protocole SSH 1.3, 1.5 et 2.0.

Qu'est-ce qui est inclus?

Une fois installé, OpenSSH remplacera automatiquement les utilitaires Telnet et rlogin par le programme SSH (Secure Shell), ainsi que l'outil FTP avec SFTP et RCP avec SCP. De plus, il inclut le démon SSH (sshd) et divers utilitaires utiles, tels que ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan et sftp-server.

Le projet entier est écrit dans le langage de programmation C et distribué sous la forme d'une archive source universelle pour tous les systèmes d'exploitation GNU / Linux, vous permettant de l'installer sur des ordinateurs 32 bits ou 64 bits (recommandés).

Notez que les sources tarball nécessitent de configurer et de compiler le projet avant l'installation. Nous recommandons donc vivement aux utilisateurs finaux d'essayer de l'installer à partir des référentiels logiciels par défaut de leur système d'exploitation GNU / Linux.

Nouveautés dans cette version:

• ssh (1), sshd (8): Corrige la compilation en désactivant automatiquement les chiffrements non supportés par OpenSSL. bz # 2466
• misc: Corrige les échecs de compilation sur certaines versions du compilateur AIX liées à la définition de la macro VA_COPY. bz # 2589
• sshd (8): liste plus d'architectures pour activer le sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): désactive le traçage des processus sur Solaris en utilisant setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): Sous Solaris, n'appelez pas Solaris setproject () avec UsePAM = yes c'est la responsabilité de PAM. bz # 2425

Quoi de neuf dans la version:

• ssh (1), sshd (8): Correction de la compilation par désactivation automatique des chiffrements non pris en charge par OpenSSL. bz # 2466
• misc: Corrige les échecs de compilation sur certaines versions du compilateur AIX liées à la définition de la macro VA_COPY. bz # 2589
• sshd (8): liste plus d'architectures pour activer le sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): désactive le traçage des processus sur Solaris en utilisant setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): Sous Solaris, n'appelez pas Solaris setproject () avec UsePAM = yes c'est la responsabilité de PAM. bz # 2425

Quoi de neuf dans la version 7.4p1:

• ssh (1), sshd (8): Corrige la compilation en désactivant automatiquement les chiffrements non supportés par OpenSSL. bz # 2466
• misc: Corrige les échecs de compilation sur certaines versions du compilateur AIX liées à la définition de la macro VA_COPY. bz # 2589
• sshd (8): liste plus d'architectures pour activer le sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): désactive le traçage des processus sur Solaris en utilisant setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): Sous Solaris, n'appelez pas Solaris setproject () avec UsePAM = yes c'est la responsabilité de PAM. bz # 2425

Nouveautés dans la version 7.3p1:

• ssh (1), sshd (8): Corrige la compilation en désactivant automatiquement les chiffrements non supportés par OpenSSL. bz # 2466
• misc: Corrige les échecs de compilation sur certaines versions du compilateur AIX liées à la définition de la macro VA_COPY. bz # 2589
• sshd (8): liste plus d'architectures pour activer le sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): désactive le traçage des processus sur Solaris en utilisant setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): Sous Solaris, n'appelez pas Solaris setproject () avec UsePAM = yes c'est la responsabilité de PAM. bz # 2425

Quoi de neuf dans la version 7.2p2:

• Corrections de bugs:
• ssh (1), sshd (8): ajoutez des solutions de contournement de compatibilité pour FuTTY
• ssh (1), sshd (8): affine les solutions de contournement de compatibilité pour WinSCP
• Correction d'un certain nombre de fautes de mémoire (double-libre, libre de mémoire non initialisée, etc.) dans ssh (1) et ssh-keygen (1). Rapporté par Mateusz Kocielski.

Nouveautés dans la version 7.1p1:

• Corrections de bogues:
• ssh (1), sshd (8): ajoutez des solutions de contournement de compatibilité pour FuTTY
• ssh (1), sshd (8): affine les solutions de contournement de compatibilité pour WinSCP
• Correction d'un certain nombre de fautes de mémoire (double-libre, libre de mémoire non initialisée, etc.) dans ssh (1) et ssh-keygen (1). Rapporté par Mateusz Kocielski.

Nouveautés dans la version 6.9p1:

• sshd (8): Formatage du paramètre UsePAM lors de l'utilisation de sshd -T, une partie de bz # 2346
• Recherchez '$ {host} -ar' avant 'ar', ce qui facilite la compilation croisée; bz # 2352.
• Plusieurs correctifs de compilation portables: bz # 2402, bz # 2337, bz # 2370
• moduli (5): mise à jour des modules DH-GEX

Quoi de neuf dans la version 6.8p1:

• Support --without-openssl au moment de la configuration. Désactive et supprime la dépendance à OpenSSL. De nombreuses fonctionnalités, notamment le protocole SSH 1, ne sont pas prises en charge et l'ensemble des options de chiffrement est fortement restreint. Cela ne fonctionnera que sur les systèmes natifs arc4random ou / dev / urandom. Considéré comme hautement expérimental pour le moment.
• Support --without-ssh1 option au moment de la configuration. Permet de désactiver la prise en charge du protocole SSH 1.
• sshd (8): Corrige la compilation sur les systèmes avec support IPv6 dans utmpx; bz # 2296
• Autorise le nom de service personnalisé pour sshd sur Cygwin. Autorise l'utilisation de plusieurs sshd avec différents noms de service.

Nouveautés dans la version 6.7p1:

• Portable OpenSSH prend désormais en charge la construction de libressl-portable.
• Portable OpenSSH requiert maintenant openssl 0.9.8f ou supérieur. Les anciennes versions ne sont plus supportées.
• Dans la vérification de la version d'OpenSSL, autorisez les mises à jour de version corrigées (mais pas les versions dégradées.) Bogue de Debian # 748150.
• sshd (8): Sur Cygwin, déterminez l'utilisateur de séparation de privilèges au moment de l'exécution, car il peut être nécessaire d'être un compte de domaine.
• sshd (8): N'essayez pas d'utiliser vhangup sous Linux. Il ne fonctionne pas pour les utilisateurs non root, et pour eux, il ne fait que modifier les paramètres de tty.
• Utilisez CLOCK_BOOTTIME plutôt que CLOCK_MONOTONIC lorsqu'il est disponible. Il considère que le temps passé est suspendu, garantissant ainsi que les délais d'expiration (par exemple pour les clés d'agent arrivant à expiration) se déclenchent correctement. bz # 2228
• Ajout du support pour ed25519 au script d'initialisation opensshd.init.
• sftp-server (8): Sur les plateformes qui le supportent, utilisez prctl () pour empêcher sftp-server d'accéder à / proc / self / {mem, maps}

Nouveautés dans la version 6.5p1:

• Nouvelles fonctionnalités:
• ssh (1), sshd (8): Ajout de la prise en charge de l'échange de clés à l'aide de la courbe elliptique Diffie Hellman dans Curve25519 de Daniel Bernstein. Cette méthode d'échange de clés est la méthode par défaut lorsque le client et le serveur la prennent en charge.
• ssh (1), sshd (8): ajoute le support pour Ed25519 en tant que type de clé publique. Ed25519 est un schéma de signature de courbe elliptique qui offre une meilleure sécurité que ECDSA et DSA et de bonnes performances. Il peut être utilisé pour les clés utilisateur et hôte.
• Ajoutez un nouveau format de clé privée qui utilise un KDF bcrypt pour mieux protéger les clés au repos. Ce format est utilisé sans condition pour les clés Ed25519, mais peut être demandé lors de la génération ou de l'enregistrement de clés existantes d'autres types via l'option -o ssh-keygen (1). Nous avons l'intention de faire le nouveau format par défaut dans un proche avenir. Les détails du nouveau format se trouvent dans le fichier PROTOCOL.key.
• ssh (1), sshd (8): Ajouter un nouveau chiffrement de transport "chacha20-poly1305@openssh.com" qui combine le chiffrement de flux ChaCha20 de Daniel Bernstein et Poly1305 MAC pour construire un mode de chiffrement authentifié. Les détails sont dans le fichier PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): Refuse les clés RSA des anciens clients et serveurs propriétaires qui utilisent le schéma de signature RSA + MD5 obsolète. Il sera toujours possible de se connecter avec ces clients / serveurs, mais seules les clés DSA seront acceptées, et OpenSSH refusera entièrement la connexion dans une future version.
• ssh (1), sshd (8): Refuser les anciens clients propriétaires et les serveurs qui utilisent un calcul de hachage d'échange de clé plus faible.
• ssh (1): augmente la taille des groupes Diffie-Hellman demandés pour chaque taille de clé symétrique. Nouvelles valeurs de la publication spéciale NIST 800-57 avec la limite supérieure spécifiée par RFC4419.
• ssh (1), ssh-agent (1): Support des pkcs # 11 tokes qui ne fournissent que des certificats X.509 à la place des clés publiques brutes (demandé comme bz # 1908).
• ssh (1): Ajouter un ssh_config (5) & quot; Match & quot; mot-clé qui permet d'appliquer la configuration conditionnelle en faisant correspondre le nom d'hôte, l'utilisateur et le résultat de commandes arbitraires.
• ssh (1): Ajout de la prise en charge de la canonisation du nom d'hôte côté client en utilisant un ensemble de suffixes et de règles DNS dans ssh_config (5). Cela permet de canaliser des noms non qualifiés vers des noms de domaine complets afin d'éliminer toute ambiguïté lors de la recherche de clés dans known_hosts ou de la vérification des noms de certificats d'hôtes.
• sftp-server (8): Ajout de la possibilité de liste blanche et / ou de liste noire des requêtes de protocole sftp par nom.
• sftp-server (8): Ajouter un sftp & quot; fsync@openssh.com & quot; pour prendre en charge l'appel fsync (2) sur un handle de fichier ouvert.
• sshd (8): Ajoutez un ssh_config (5) PermitTTY pour interdire l'allocation de TTY, en mettant en miroir l'option de longue date no-pty authorized_keys.
• ssh (1): Ajoutez une option ProxyUseFDPass ssh_config qui prend en charge l'utilisation de ProxyCommands qui établissent une connexion, puis transmettent un descripteur de fichier connecté à ssh (1). Cela permet à ProxyCommand de quitter plutôt que de rester pour transférer des données.
• Corrections de bogues:
• ssh (1), sshd (8): Correction de l'épuisement potentiel de la pile causée par les certificats imbriqués.
• ssh (1): bz # 1211: faites fonctionner BindAddress avec UsePrivilegedPort.
• sftp (1): bz # 2137: corrige la progression de la reprise du transfert.
• ssh-add (1): bz # 2187: ne demande pas le code PIN de la carte à puce lors de la suppression des clés de ssh-agent.
• sshd (8): bz # 2139: correction du repli de l'exec lorsque le binaire sshd d'origine ne peut pas être exécuté.
• ssh-keygen (1): Faire des temps d'expiration de certificat spécifiés par rapport à l'heure actuelle et non l'heure de début de validité.
• sshd (8): bz # 2161: corrige AuthorizedKeysCommand dans un bloc Match.
• sftp (1): bz # 2129: symlinker un fichier canaliserait de manière incorrecte le chemin cible.
• ssh-agent (1): bz # 2175: corrige un use-after-free dans l'exécutable de l'agent PKCS # 11.
• sshd (8): améliore la journalisation des sessions pour inclure le nom d'utilisateur, l'hôte et le port distant, le type de session (shell, commande, etc.) et le TTY alloué (le cas échéant).
• sshd (8): bz # 1297: indique au client (via un message de débogage) quand son adresse d'écoute préférée a été remplacée par le paramètre GatewayPorts du serveur.
• sshd (8): bz # 2162: inclut le port du rapport dans le message de la bannière de mauvais protocole.
• sftp (1): bz # 2163: correction d'une fuite de mémoire dans le chemin d'erreur dans do_readdir ().
• sftp (1): bz # 2171: ne fuit pas le descripteur de fichier en cas d'erreur.
• sshd (8): Incluez l'adresse locale et le port dans & quot; Connection from ... & quot; message (uniquement affiché au niveau de journalisation & gt; = verbeux).
• Portable OpenSSH:
• Veuillez noter qu'il s'agit de la dernière version de Portable OpenSSH qui prendra en charge les versions d'OpenSSL antérieures à 0.9.6. Le support (c.-à-d. SSH_OLD_EVP) sera supprimé après la version 6.5p1.
• Portable OpenSSH tentera de se compiler et de se lier en tant qu'exécutable indépendant de la position sur Linux, OS X et OpenBSD sur les compilateurs récents de type gcc. Les autres plates-formes et les compilateurs plus anciens / autres peuvent demander cela en utilisant l'option de configuration --with-pie.
• Un certain nombre d'autres options de renforcement liées aux chaînes d'outils sont utilisées automatiquement si elles sont disponibles, notamment -ftrapv pour annuler le débordement d'entier signé et les options pour protéger en écriture les informations de liaison dynamique. L'utilisation de ces options peut être désactivée en utilisant l'option de configuration --without-hardening.
• Si la chaîne d'outils le supporte, l'un des indicateurs de compilation -fstack-protector-strong, -fstack-protector-all ou -fstack-protector est utilisé pour ajouter des gardes pour atténuer les attaques basées sur les débordements de pile. L'utilisation de ces options peut être désactivée à l'aide de l'option de configuration --without-stackprotect.
• sshd (8): Ajout de la prise en charge du sandboxing de pré-authentification à l'aide de l'API Capsicum introduite dans FreeBSD 10.
• Basculez vers un PRNG arc4random () basé sur ChaCha20 pour les plates-formes qui ne fournissent pas les leurs.
• sshd (8): bz # 2156: restaure le paramètre oom_adj de Linux lors de la gestion de SIGHUP pour maintenir le comportement par rapport à retart.
• sshd (8): bz # 2032: utilise le nom d'utilisateur local dans la vérification krb5_kuserok plutôt que le nom du client complet qui peut être du type utilisateur @ REALM.
• ssh (1), sshd (8): Testez à la fois la présence de numéros NID ECC dans OpenSSL et le fait qu'ils fonctionnent réellement. Fedora (au moins) a NID_secp521r1 qui ne fonctionne pas.
• bz # 2173: utilisez pkg-config --libs pour inclure l'emplacement -L correct pour libedit.

Quoi de neuf dans la version 6.4p1:

• Cette version corrige un bug de sécurité: sshd (8) : corrige un problème de corruption de mémoire déclenché lors du changement de clé lorsqu'un algorithme AES-GCM est sélectionné. Tous les détails de la vulnérabilité sont disponibles sur: http://www.openssh.com/txt/gcmrekey.adv

Nouveautés dans la version 6.3p1:

• Caractéristiques:
• sshd (8): ajoute le support de ssh-agent (1) à sshd (8); autorise les raccourcis clavier ou les raccourcis clavier sur les cartes à puce.
• ssh (1) / sshd (8): autorise le rekeing optionnel basé sur le temps via un deuxième argument à l'option RekeyLimit existante. RekeyLimit est maintenant supporté dans sshd_config ainsi que sur le client.
• sshd (8): standardise la journalisation des informations lors de l'authentification de l'utilisateur.
• La clé / certificat présentée et le nom d'utilisateur distant (si disponible) sont maintenant enregistrés dans le message d'authentification succès / échec sur la même ligne de journal que le nom d'utilisateur local, hôte / port distant et protocole utilisé. Le contenu des certificats et l'empreinte digitale de l'autorité de certification signataire sont également consignés.
• L'inclusion de toutes les informations pertinentes sur une seule ligne simplifie l'analyse des journaux car il n'est plus nécessaire de relier les informations dispersées entre plusieurs entrées de journal.
• ssh (1): ajoute la possibilité d'interroger les chiffrements, les algorithmes MAC, les types de clés et les méthodes d'échange de clés pris en charge dans le fichier binaire.
• ssh (1): supporte ProxyCommand = - pour autoriser les cas de support où stdin et stdout pointent déjà vers le proxy.
• ssh (1): autoriser IdentityFile = none
• ssh (1) / sshd (8): ajoute l'option -E à ssh et sshd pour ajouter des journaux de débogage à un fichier spécifié au lieu de stderr ou syslog.
• sftp (1): ajoute le support pour reprendre les téléchargements partiels en utilisant le "reget" commande et sur la ligne de commande sftp ou sur le & quot; get & quot; la ligne de commande en utilisant le & quot; -a & quot; (append) option.
• ssh (1): ajoutez un & quot; IgnoreUnknown & quot; option de configuration pour supprimer de manière sélective les erreurs résultant de directives de configuration inconnues.
• sshd (8): ajoute le support pour les sous-méthodes à ajouter aux méthodes d'authentification requises listées via AuthenticationMethods.
• Corrections de bogues:
• sshd (8): correction du refus d'accepter le certificat si une clé d'un type différent de la clé de l'autorité de certification est apparue dans authorized_keys avant la clé de l'autorité de certification.
• ssh (1) / ssh-agent (1) / sshd (8): utilisez une source de temps monotone pour les minuteurs afin que les choses comme keepalives et rekeying fonctionnent correctement sur les pas d'horloge.
• sftp (1): met à jour le progressmeter quand les données sont acquittées, pas quand elles sont envoyées. bz # 2108
• ssh (1) / ssh-keygen (1): améliore les messages d'erreur lorsque l'utilisateur actuel n'existe pas dans / etc / passwd; bz # 2125
• ssh (1): réinitialise l'ordre dans lequel les clés publiques sont essayées après succès de l'authentification partielle.
• ssh-agent (1): nettoie les fichiers socket après SIGINT en mode debug; bz # 2120
• ssh (1) et autres: évitez les messages d'erreur confus dans le cas de configurations de résolveur système brisées; bz # 2122
• ssh (1): définissez TCP nodelay pour les connexions démarrées avec -N; bz # 2124
• ssh (1): manuel correct pour les permissions sur ~ / .ssh / config; bz # 2078
• ssh (1): corrige le timeout de ControlPersist qui ne se déclenche pas dans les cas où les connexions TCP ont été bloquées. bz # 1917
• ssh (1): détache correctement un maître ControlPersist de son terminal de contrôle.
• sftp (1): évite les plantages dans libedit lorsqu'il a été compilé avec un support de caractères multi-octets. bz # 1990
• sshd (8): lors de l'exécution de sshd -D, fermez stderr à moins que nous ayons explicitement demandé la journalisation dans stderr. bz # 1976,
• ssh (1): corrige bzero incomplet; bz # 2100
• sshd (8): journal et erreur et quitte si ChrootDirectory est spécifié et s'exécute sans les privilèges root.
• De nombreuses améliorations à la suite de tests de régression. En particulier les fichiers journaux sont maintenant sauvegardés à partir de ssh et sshd après les échecs.
• Corrige un certain nombre de fuites de mémoire. bz # 1967 bz # 2096 et autres
• sshd (8): corrige l'authentification par clé publique lorsqu'un style: est ajouté au nom d'utilisateur demandé.
• ssh (1): ne quitte pas fatalement lorsque vous essayez de nettoyer des canaux créés par multiplexage qui sont incomplètement ouverts. bz # 2079
• Portable OpenSSH:
• Révision majeure de contrib / cygwin / README
• Corrigez les accès non alignés dans umac.c pour les architectures à alignement strict. bz # 2101
• Activez -Wsizeof-pointer-memaccess si le compilateur le supporte. bz # 2100
• Corrigez les erreurs de rapport de ligne de commande incorrectes. bz # 1448
• N'incluez que les méthodes d'échange de clés basées sur SHA256 et ECC si libcrypto a le support requis.
• Correction d'un crash dans le code de transfert dynamique SOCKS5 sur les architectures à alignement strict.
• Un certain nombre de correctifs de portabilité pour Android: * N'essayez pas d'utiliser lastlog sur Android; bz # 2111 * Revenez à l'utilisation de la fonction DES_crypt d'openssl sur les platanes qui n'ont pas de fonction native crypt (); bz # 2112 * Testez fd_mask, howmany et NFDBITS plutôt que d'essayer d'énumérer les plaforms qui ne les ont pas. bz # 2085 * Remplace S_IWRITE, qui n'est pas standardisé, par S_IWUSR, qui est. bz # 2085 * Ajouter une implémentation nulle d'endgrent pour les plates-formes qui ne l'ont pas (par exemple Android) bz # 2087 * Les plates-formes de soutien, comme Android, qui manquent struct passwd.pw_gecos. bz # 2086

Quoi de neuf dans la version 6.2p2:

• sshd (8): Le sandbox seccomp-filter de Linux est maintenant supporté sur ARM plates-formes où le noyau le prend en charge.
• sshd (8): Le sandbox seccomp-filter ne sera pas activé si les en-têtes du système le supportent au moment de la compilation, qu'il soit activé. Si le système d'exécution ne prend pas en charge seccomp-filter, sshd retournera à la pseudo-sandbox rlimit.
• ssh (1): Ne pas lier dans les bibliothèques Kerberos. Ils ne sont pas nécessaires sur le client, juste sur sshd (8). bz # 2072
• Correction de la liaison GSSAPI sur Solaris, qui utilise une bibliothèque GSSAPI nommée différemment. bz # 2073
• Corrige la compilation sur les systèmes avec openssl-1.0.0-fips.
• Corrigez un certain nombre d'erreurs dans les fichiers de spécification RPM.

Quoi de neuf dans la version 5.8p1:

• Correctifs portatifs OpenSSH:
• Correction d'un échec de compilation lors de l'activation du support SELinux.
• N'essayez pas d'appeler les fonctions SELinux lorsque SELinux est désactivé. bz # 1851