LINUX.ORG.RU

PuTTY 0.64

 , ,


0

4

После полутора лет разработки вышла новая версия SSH-клиента PuTTY.

В этой версии:

  • Устранена уязвимость, заключающаяся в том, что после проведения аутентификации с помощью закрытого ключа, он оставался висеть в памяти, откуда мог попасть в подкачку, дамп памяти и прочие непредусмотренные места (разработчик программы забыл исправить это в прошлой версии).
  • Поддержка совместного использования SSH-подключений (несколько экземпляров PuTTY, подключенных к одному и тому же серверу, могут использовать одно соединение).
  • Добавлены опция командной строки и опция в настройках, позволяющие явно указать ожидаемые от сервера ключи.
  • Опция «Предпочитаемая версия протокола SSH» теперь по умолчанию выставлена в «только 2» (ранее предпочиталась версия 2, но допускалась и 1).
  • Ошибки сокета при соединениях, использующих перенаправление портов, теперь записываются в журнал событий.
  • Повторные обмены ключами в середине SSH-сессии больше не вызывают появления назойливого оповещения об изменении ключа сервера.
  • Сброшены настройки полужирного текста (в версии 0.63 из-за рефакторинга кода их значения были выставлены ошибочно).
  • Литералы IPv6 (например, ::1) теперь будут корректно обрабатываться программой, при условии, что они обрамлены квадратными скобками, чтобы не путать их с прочими двоеточиями (например, с :port).
  • Снова заработало динамическое перенаправление портов IPv6.

>>> Подробности

anonymous

Проверено: fallout4all ()
Последнее исправление: cetjs2 (всего исправлений: 2)
Ответ на: комментарий от anonymous

Не вижу связи между упоминанием и деятельности. Вижу только неадекватную реакцию. Вообще, полагаю, и оценка деятельности будет такой же неадекватной :), но это меня не интересует и не касается.

buratino ★★★★★
()
Ответ на: комментарий от buratino

Купи глазные капли. Упоминание != восхваление. Если тебя это не интересует, что ты тут в теме уже несколько сообщений отписал?

anonymous
()
Ответ на: комментарий от anonymous

Меня не интересует, какая ахинея у тебя в голове. Я только спросил, стоит ли искать в ней логику или нет. Уже вижу, что не стоит.

buratino ★★★★★
()
Ответ на: комментарий от buratino

Твой ник соответствует твоей личности.

anonymous
()
Ответ на: комментарий от anc

ну, да, я неправильно выразился.

Мысль была в том, что нельзя указать что «слушать любые IP, висящие на указаном интерфейсе», как это много где можно (в том же dnsmasq хотя бы).
Потому что, вот, указываешь ты ему IPv4 и IPv6-адрес, которые вешаются на tun/tap-интерфейс своей шифро-mesh-vpn-локалочки. Но, то ли за время между стартом интерфейса и стартом sshd адреса не успевают навеситься, то ли ещё чего, но фактом остаётся то, что IPv4-адрес он слушает, а IPv6 — нет. Если убрать IPv4 и оставить только IPv6 — не слушает вообще никакой.

mva
()
Ответ на: комментарий от mva

Мысль была в том, что нельзя указать что «слушать любые IP, висящие на указаном интерфейсе», как это много где можно (в том же dnsmasq хотя бы).

Не логично собирать ip с интерфейса для серверных приложений, особенно таких как sshd. Если много интерфейсов так слушаем на 0/0 а уж ограничить дело fw.
А dnsmasq это и dhcpd, так что там все правильно.

anc ★★★★★
()
Ответ на: комментарий от anonymous

Это хорошо, это ты молодец и я это говорю без сарказма. Когда подконтрольных машин будет больше двух десятков — пиши, расскажу какие слова гуглить и какие книжки читать. Если не сольёшься на старте от сложностей концепций и языка

Спасибо, что в меня веришь(без сарказма). В моей зоне ответственности сейчас несколько сотен машин, а всего в нашей инфраструктуре их много тысяч. Расскажи какие слова гуглить, вдруг я правда что не так делаю.

selivan ★★★
()
Ответ на: комментарий от selivan

Спасибо, что в меня веришь(без сарказма). В моей зоне ответственности сейчас несколько сотен машин, а всего в нашей инфраструктуре их много тысяч. Расскажи какие слова гуглить, вдруг я правда что не так делаю.

Несколько сотен — это ты уже как-то пересидел сильно :) Гугли «CFEngine», «Promise theory» и читай вот это:

http://www.amazon.com/Learning-CFEngine-Automated-system-administration-ebook... http://habrahabr.ru/post/164445/ http://habrahabr.ru/post/164923/ http://habrahabr.ru/post/249249/

Можно прямо в этом порядке. Где-то между предпоследней и последней статьёй у тебя будет достаточно знаний, чтобы что-то где-то начать пробовать практически полезное на своём рабочем и домашнем компьютере — ~/.ssh/authorized_keys2 раскладывать, настройки шелла, какой-то софт ставить, который ты везде используешь, пароли жёстко энфорсить. Заодно потопчешься по граблям там, где это можно делать без травм. После последней статьи смело начинай присматриваться к проду. Для «мягкого» входа в продакшен можно начать с замены всех кронджобов на промисы CFEngine, начинать следить за процессами (скажем, чтобы не падал Apache), за паролями пользователей, ну и так вот постепенно перевести управление инфраструктурой на CFE.

Правда, по началу будет очень сложно. Особенно когда надо будет донести до фанатов Chef (Puppet, Ansible, Cobbler, Saltstack, решений написанных под влиянием острого NIH-синдрома, «ручного админства» и так далее), почему и когда им стоит перестать хотеть то, чем они сейчас пользуются и начинать хотеть CFE.

anonymous
()
Ответ на: комментарий от anonymous

CFEngine, Promise theory

Обязательно почитаю, но сильно сомневаюсь, что декларативное программирование - это тот самый silver bullet.

~/.ssh/authorized_keys2 раскладывать, настройки шелла, какой-то софт ставить, который ты везде используешь, пароли жёстко энфорсить

ansible-pull это прекрасно делает. Кроме паролей, для этого есть централизованная аутентификация.

постепенно перевести управление инфраструктурой на CFE

Чуваки, айда выбросим годы человеко-часов и переведём всю инфраструктуру на CFE? Это даст нам профит в виде... ммм... ну, оно очень крутое и мне нравится

selivan ★★★
()
Ответ на: комментарий от selivan

Всё так, но: у cfe из зависимостей только libc. И этому сложно что-то противопоставить, особенно когда надо автоматизировать ввод в строй железа. Ansible-pull не спасает, он не дописан до рабочего вида, Майкл пока рулил, он сам писал, мол, пулл — для идиотов. Ну может быть с его уходом что-то сдвинется. Но с другой стороны, однопоточный Питон и SSH — это не выход вообще. Как поднять SSH, если системе конфигурирования нужен SSH? На счёт выбрасывания старого кода, ну да, это приходится иногда делать. Какие-то решения устаревают и их надо менять. Эволюция, все дела. О правильности применения декларативного подхода можно спорить, но в данном случае альтернатив для сравнения нет.

anonymous
()
Ответ на: комментарий от anonymous

у cfe из зависимостей только libc. И этому сложно что-то противопоставить, особенно когда надо автоматизировать ввод в строй железа. ... Как поднять SSH, если системе конфигурирования нужен SSH?

Первоначальную наливку серверов с помощью ansible не сделаешь, но это не такая большая проблема - налить начальный образ по сети несложно. У нас для этого есть внутренняя самописная тулза, на прошлой работе я делал такое с помощью TFTP + Clonezilla. А уж pyshon2 и ssh есть в любом дистрибутиве уже много лет как.

Со всякими сетевыми железками ещё проще - можно заливать начальный конфиг по TFTP.

Возможно, это может быть проблемой для всяких мелких embedded-железок, где каждый байт считать надо, но у нас такого не водится.

selivan ★★★
()
Ответ на: комментарий от anonymous

Как поднять SSH, если системе конфигурирования нужен SSH?

Как поднять cfe если ему надо cfe-agent? И ещё боооольший вопрос от чего лучше зависеть - от наличия в системе питона и настроенного sshd или наличия на нём настроенного же fe-agent? Остальное - лирика.

anonymous
()
Ответ на: комментарий от anonymous

CFE — это 1 пакет, 2 файла (ключи) и один одноразовый инит-скрипт (запуск самоконфигурации при первом запуске после поднятия сетевых интерфейсов, по которым доступен policy hub), всё это ставится при установке системы с генерируемого скриптом образа + preseed (когда его не ломают) или просто образа диска (когда ломают preseed). Откуда взялся в системе питон я не понимаю, но возможно в NetBSD это как-то не так, но мы таким не пользуемся:

$ sudo debootstrap --arch=amd64 testing $(pwd)/vm-tst1 http://ftp.jp.debian.org/debian/

$ sudo find vm-tst1 | grep python
vm-tst1/usr/share/gcc-4.9/python
vm-tst1/usr/share/gcc-4.9/python/libstdcxx
vm-tst1/usr/share/gcc-4.9/python/libstdcxx/v6
vm-tst1/usr/share/gcc-4.9/python/libstdcxx/v6/__init__.py
vm-tst1/usr/share/gcc-4.9/python/libstdcxx/v6/printers.py
vm-tst1/usr/share/gcc-4.9/python/libstdcxx/__init__.py
vm-tst1/usr/share/nano/python.nanorc
vm-tst1/usr/lib/python2.7
vm-tst1/usr/lib/python2.7/dist-packages
vm-tst1/usr/lib/python2.7/dist-packages/debconf.py
vm-tst1/usr/lib/python3
vm-tst1/usr/lib/python3/dist-packages
vm-tst1/usr/lib/python3/dist-packages/debconf.py

Как можно поднимать сетевые сервисы до того, как сконфигурирован фаерволл и, собственно, они сами я тоже не вполне понимаю, но судя по всему у вас такое позволяется. У нас — нет.

anonymous
()
Ответ на: комментарий от selivan

Первоначальную наливку серверов с помощью ansible не сделаешь, но это не такая большая проблема - налить начальный образ по сети несложно. У нас для этого есть внутренняя самописная тулза, на прошлой работе я делал такое с помощью TFTP + Clonezilla. А уж pyshon2 и ssh есть в любом дистрибутиве уже много лет как.

Есть, но не везде SSH можно, и речь не про embedded и не про всякое специфическое железо типа роутеров (хотя вот туда бы я в первую очередь ставил, rancid ужасен и от expect'а у меня оба глаза дёргаются уже), а про, например, лаптопы сотрудников. Политика компании, конечно же, каждый сам себе Linux-админ, а кто не может — тому Windows без локального админа. Но поскольку каждому админить на самом деле лень, то они приходят к нам и мы им ставим клизму^Wcfe. Как ты понимаешь, входящий SSH там невозможен в принципе. А на некоторых системах нам удалённый доступ запрещают пиджаки из трёхбуквенных организаций, и таких вот чемоданов без ручек у нас по инвентаризации больше 50 хостов и ещё две сотни юзеров. И весь этот зоопарк админится из одной консоли.

anonymous
()
Ответ на: комментарий от PerdunJamesBond

чтобы cli на циске, удобно же

anonymous
()

Для доступа к Линуксу из оффтопика использую не PuTTY, а его форк - KiTTY, в нём есть возможность запоминать пароли. Правда обе программы не умеют копировать текст из консоли в буфер обмена, зато они свободны.

sunny1983 ★★★★★
()
Ответ на: комментарий от surefire

В меню есть пункт копировать, но он копирует всю историю консоли от начала. Подождите, а что значит «автоматическое при выделении»? Просто выделить мышкой что-ли? Это что, я зря так мучался всё это время.

sunny1983 ★★★★★
()
Ответ на: комментарий от sunny1983

Просто выделить мышкой что-ли?

Офигеть_вы_простофиля.jpg

Вообще выделение и middle mouse click - это стандартный копипаст в буфере иксов. В Windows и Putty это соответственно Right mouse click и стандартный виндовый буфер обмена(можно перенастроить).

Pinkbyte ★★★★★
()
Ответ на: комментарий от sunny1983

Это что, я зря так мучался всё это время.

Да, зря :)

surefire ★★★
()
Ответ на: комментарий от sunny1983

Просто выделить мышкой что-ли? Это что, я зря так мучался всё это время.

Да.
Открою еще один «большой секрет», в консоле (не иксовой) линукса тоже самое. :) У putty что касается работы с мышью все сделано по «образу и подобию» включая те же манипуляции только с шифтом под mc.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.