Как всегда по графику вышел очередной релиз популярнейшего набора утилит для безопасной связи между компьютерами OpenSSH. Это в основном багфикс-релиз (схема назначения версий такая же, как в основном проекте OpenBSD и не зависит от кардинальности изменений).
Следует отметить, что в этой версии появилась поддержка разделения привилегий с использованием seccomp sandbox в Линуксе (пока объявлена экспериментальной), а также реализована возможность отмены перенаправления портов при использовании мультиплексирования сессии.
После четырёх лет разработки 12 июля вышла новая версия PuTTY.
В этой версии:
Kerberos/GSSAPI аутентификация в SSH-2.
Поддержка локальной авторизации X11 в Windows.
Поддержка немоноширинных шрифтов в Windows.
Поддержка GTK2 в Unix.
Поддержка логических имён машин независимо от их физических адресов.
Оптимизации управления потоками и криптографии.
Поддержка метода сжатия zlib@openssh.com SSH-2.
Поддержка новых свойств интерфейса Windows 7.
Поддержка шифрованных личных ключей OpenSSH AES в PuTTYgen.
Личные ключи OpenSSH с простыми числами теперь поддерживаются в любом порядке.
Исправлены сбои проброски портов.
Исправлены различные сбои и зависания при ошибках.
Исправлено подвисание последовательного порта в Windows.
Асинхронный буфер обмена в случае, если владелец буфера обмена находится на удалённой машине (через проброску портов или туннель rdesktop), что избавляет от тупиковых блокировок.
Разработчики кроссплаформенной библиотеки libssh объявили о выходе ее новой версии 0.5.0, распространяемой под лицензией LGPLv2.1. Библиотека позволяет реализовать работу с протоколами SSHv2 и SSHv1 на серверной и клиентской сторонах. Разработчики заявляют, что серьезным изменениям подверглись и были переписаны большие основополагающие участки кода, что позволит библиотеке в будущем полностью поддерживать асинхронную работу. В частности для этого сеть в проекте имеет событийную модель.
Из других нововведений стоит отметить добавление префикса «ssh_» ко всем public-функциям, полноценная поддержка ОС Windows, улучшения в реализации серверной стороны, дополнительные юнит-тесты, добавление асинхронного запроса на обслуживание, а также кроссплатформенная функция ssh_getpass(). Разумеется, присутствуют многочисленные минорные улучшения, уменьшение утечек памяти. Документация значительно расширилась и теперь к ней прилагаются уроки.
Таким образом, все нововведения сглаживают различия между libssh и libssh2, аналогичного продукта, распространяемого под лицензией BSD.
Библиотеку libssh можно скачать в виде архива исходных текстов, RPM-пакетов для openSUSE, SUSE Linux Enterprise и Fedora, а также в виде установочного пакета Windows на официальном сайте, или напрямую получить из GIT-репозитория.
Remmina - это программа для подключения к удаленному рабочему столу, поддерживающая протоколы RDP, VNC, NX, XDMCP и SSH. Использует GTK+ и имеет апплеты для быстрого подключения для панелей из Gnome и Xfce. Изменения в версии 0.8:
Для RDP теперь используется FreeRDP, имеющий множество преимуществ по сравнению с rdesktop.
Этот выпуск является корректирующим и не вносит новой функциональности.
Список изменений по сравнению с версией 5.4:
Опция AuthorizedKeysFile снова работает с путями относительно $HOME
Исправлены проблемы компиляции на платформах с отсутствующим dlopen()
Протоколирование аутентификации пользовательских сертификатов происходит теперь более согласовано между методами TrustedUserCAKeys и authorized_keys
Исправлено шесть ошибок в переносимой версии OpenSSH, в частности теперь ChrootDirectory работает при включенном SELinux, добавлена поддержка HaikuOS в configure.ac, а на FreeBSD включено использование utmpx
SSH идеально подходит для сохранения конфиденциальности и обеспечения целостности данных при обмене данными между двумя сетями или системами. Основным его преимуществом является аутентификация на сервере с использованием криптографии с открытым ключом. Однако эту службу необходимо грамотно настроить.
В пакете openssh-server, входящем в состав Red Hat Enteprise Linux 5.4 и Fedora 11, обнаружена опасная уязвимость, потенциально позволяющая удаленному пользователю выполнить произвольный код с правами root.
Уязвимость вызвана некорректным бэкпортированием поддержки ChrootDirectory в используемую в RHEL версию openssh 4.3. В бэкпорте, сделанном Red Hat, допускается, что ChrootDirectory может быть доступен для записи обычным пользователям системы. В результате, злоумышленник может поместить в chroot жесткие ссылки на setuid-программы из основной системы. При запуске эти программы будут использовать библиотеки и файлы конфигурации, размещенные в ChrootDirectory, что позволяет злоумышленнику выполнить произвольный код с привилегиями root, но без возможности выйти за пределы chroot-окружения.
Для успешной эксплуатации этой уязвимости необходимо:
Наличие доступа к консоли без chroot, для того, чтобы сделать hardlink на suid-файл внутри chroot-окружения.
Нахождение требуемой setuid-программы в одной файловой системе с chroot-окружением (иначе не удастся сделать жесткую ссылку).
Обновления доступны уже две недели. Не забываем обновляться каждое утро!
Состоялся релиз OpenSSH 5.3, полностью открытой реализации протокола SSH версий 1.3, 1.5 и 2.0
Это релиз призван отметить десятилетний юбилей проекта OpenSSH. Релиз носит характер исправлений и не добавляет новой функциональности. Исправлено 2 незначительные ошибки в основной версии и 13 в версии, предназначенной для портирования.
Исходные тексты будут в скорости доступны на основном сайте проекта OpenSSH.org
Участники хотели бы поблагодарить своих верных пользователей, которые поддерживали проект все эти годы, в особенности тех, кто писал багрепорты и присылал патчи.
А мы в свою очередь поблагодарим разработчиков и поздравим их: с юбилеем, OpenSSH!
Из этого руководства Вы узнаете, как обеспечить безопасность SSH-сессий, настроить правила межсетевого экрана и организовать обнаружение вторжений и оповещение о возможных атаках на ваш сервер, работающий под GNU/Linux. Получив из этого руководства серьезные знания по основам обеспечения безопасности серверов, вы сможете затем углублять их для дальнейшего укрепления безопасности своих систем.
Освойте эти 10 практических приёмов и станьте самым лучшим администратором Linux®-систем во Вселенной — ну пусть и не во Вселенной, но для игр в высшей лиге эти знания точно понадобятся. Узнайте о туннелях SSH, VNC, восстановлении паролей, консольном шпионаже и прочем. Каждый приём сопровождается примерами, что даёт вам возможность воспроизвести его на своих машинах.
Американское полугосударственное агентство компьютерной безопасности US-CERT (U.S. Computer Emergency Readiness Team)
предупреждает об основанных на краже или взломе SSH-ключей "активных атаках" на Linux-системы. Атаки используют украденные ключи для получения исходного доступа к системе, чтобы затем, используя локальные уязвимости ядра, получить рутовый доступ и установить руткит, известный как phalanx2 (модификацию известного с 2005 года руткита phalanx). Он позволяет взломщику скрывать файлы, процессы и сокеты и включает в себя сниффер, tty-бэкдор и автоматическую самозагрузку при старте системы. Особенности работы руткита и возможные методы его обнаружения можно посмотреть на сайте US-CERT.
Для уменьшения опасности подвергнуться атаке, CERT рекомендует по возможности использовать пароли для доступа к системе вместо SSH-ключей, а также проверить системы аутентификации и наложить все необходимые патчи. Если подтвердится предположение, что атаки используют недавно выявленную уязвимость генератора случайных чисел в Debian, агентство, возможно, порекомендует отказаться от аутентификации по SSH-ключам и провести полный аудит затронутых систем.
В OpenSSH включена поддержка визуализации отпечатка ssh-ключа хоста. Это сделано для упрощения контроля над ключами хостов, к которым выполняется доступ.
То есть контроль за своими ssh-соединениями можно будет вести на уровне "к этому хосту у меня был котик, а теперь там слоник. Что-то случилось, не иначе". :-)
NoMachine объявила о выпуске новой версии своей кроссплатформенной системы компрессии и
кеширования протокола X11. Использование NX сервера, клиента и узла
позволяет использовать удаленный доступ через графический терминал на скоростях
линии вплоть до 10kb/s. Также представлена унифицированная система доступа к
дискам и звуковым потокам. Имеется инкапсуляция протоколов VNC и RDP.
Несмотря на то, что NoMachine является коммерческим продуктом, доступна Free
NX Edition, позволяющая одновременно не более двух соединений с сервером.
Кроме того, исходные коды практически всех компонент системы доступны на сайте проекта
под GPL2.