Для нормальной работы сайта необходимо разрешить JavaScript, включая скрипты с доменов googlesyndication.com и doubleclick.net для отображения системы поиска по сайту и прочих сервисов Google.

Доступен релиз OpenSSH 6.9

openssh-logo В свет вышел выпуск OpenSSH 6.9 - открытая реализация SSH и SFTP сервера и клиента. OpenSSH 6.9 сформирован незадолго перед появлением новой версии 7.0, выпуск которой ожидается в этом месяце. OpenSSH 6.9 содержит в основном исправление ошибок и является своего рода анонсом версии 7.0.

В версии OpenSSH 7.0 планируется прекратить поддержку ряда возможностей, что может негативным образом сказаться на совместимости с текущими конфигурациями. Из изменений в OpenSSH 7.0, которые могут нарушить совместимость, можно выделить:

  • Умолчание конфигурационной директивы PermitRootLogin будет изменено с "yes" на "no", - иными словами удалённый вход пользователя root потребует явного изменения значения этой директивы;
  • Протокол SSH-1 отмечен как небезопасный, устаревший и не рекомендуется к использованию, а поэтому его поддержка будет отключена по умолчанию ещё на стадии компиляции. OpenSSH без OpenSSL сможет работать только при условии использования протокола SSH-2, потому как встроенные алгоритмы шифрования (curve25519, chacha20+poly1305, aes-ctr и ed25519) не могут быть применены к SSH-1. Отключение SSH-1 на уровне сборки должно облегичить распространение в дистрибутивах собранных без привязки к OpenSSL;
  • Поддержка обмена 1024-битными ключами diffie-hellman-group1-sha1 отключена по-умолчанию;
  • Отключена поддержка ключей пользователя и хоста ssh-dss-cert-* и ssh-dss;
  • Удалён код для поддержки формата сертификатов v00;
  • По умолчанию отключены алиасы rijndael-cbc для AES и шифры blowfish-cbc, все варианты arcfour и cast128-cbc;
  • Запрещено использовать любые RSA-ключи, которые по-размеру меньше 1024 бита.

Изменения в выпуске OpenSSH 6.9:

  • В sshd и ssh теперь по-умолчанию предлагается шифр chacha20-poly1305@openssh.com;
  • В ssh устранена проблема с ложным срабатыванием ограничений XSECURITY в случае применения опции ForwardX11Trusted=no при установке проброса соединений к X11 после истечения таймаута (ForwardX11Timeout);
  • В ssh-agent устранены недочеты в блокировке агента (ssh-add -x), которые могли приводить к излишней задержке при неверно введённом пароле, что могло быть использовано при выполнении атаки подбора пароля;
  • В sshd команду, AuthorizedKeysCommand, администратор теперь может указать произвольные аргументы;
  • Добавлена новая команда AuthorizedPrincipalsCommand, которая даёт возможность получать информацию не из файла, а из субпроцесса;
  • В ssh-add и ssh добавлена поддержка устройств PKCS#11 имеющих внешние устройства ввода PIN-кода;
  • Для поиска в known_hosts и вывода хэшей ключей вместо их полного содержимого в ssh-keygen добавлена команда "ssh-keygen -lF hostname";
  • В ssh-agent появилась опция "-D" отключающая отладку и переход в фоновый режим.

Вышла также и сборка "OpenSSH server for Windows"

Больше деталей о изменениях: http://www.openssh.com/txt/release-6.9


Проблемы?

Hm, kex protocol error

После обновления до версии OpenSSH 6.9 и при попытке подключится к SSH серверу с помощью PuTTY на ОС Windows, в Системном журнале событий можно встретить:

Не найдено описание для события с кодом ( 0 ) в источнике ( sshd ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: sshd: PID 1512: error: Hm, kex protocol error: type 30 seq 1.

Связано с удалением устаревшего стандарта RFC4419 https://tools.ietf.org/html/rfc4419 (Diffie-Hellman Group Exchange for the Secure Shell (SSH) Transport Layer Protocol) обмена сообщениями (SSH_MSG_KEX_DH_GEX_REQUEST_OLD):

http://www.openssh.com/txt/release-6.9

* ssh(1), sshd(8): deprecate legacy SSH2_MSG_KEX_DH_GEX_REQUEST_OLD message and do not try to use it against some 3rd-party SSH implementations that use it (older PuTTY, WinSCP).

Откройте "PuTTY Configuration - Connection - SSH - Kex", где в окне "Algoritm selection policy" передвиньте "Deffine-Hellman group exchange" в самый низ, после "--warn bellow here--" и не забудьте сохранить настройки сессии для избежания проблем при дальнейших подключениях.

Рекомендуемый контент



Добавить комментарий


Защитный код
Обновить

Рейтинг@Mail.ru 2 megabytes