LINUX.ORG.RU

Релиз OpenSSH 6.2

 


0

1

Представлена новая версия OpenSSH — 6.2.

Некоторые изменения:

  • добавлена поддержка AES-GCM в протоколе SSH 2;
  • добавлена поддержка режима encrypt-then-mac (EtM) подстановки MAC (Message Authentication Code). Этот режим считается более безопасным и отныне используется по умолчанию;
  • поддержка алгоритма UMAC-128;
  • исправлены некоторые известные ошибки.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Ответ на: комментарий от CYB3R

Подозреваю, что

Added a sshd_config option AuthorizedKeysCommand to support fetching authorized_keys from a command in addition to (or instead of) from the filesystem. The command is run under an account specified by an AuthorizedKeysCommandUser sshd_config option.

leave ★★★★★
()
Ответ на: комментарий от CYB3R

* sshd(8): Added a sshd_config(5) option AuthorizedKeysCommand to
support fetching authorized_keys from a command in addition to (or
instead of) from the filesystem. The command is run under an account
specified by an AuthorizedKeysCommandUser sshd_config(5) option.

anonymous
()
Ответ на: комментарий от anonymous

значит патч не готов к включению в апстрим
Авторизация по ключам в LDAP тоже делается сторонним патчем, и ничего - жить можно

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 2)
Ответ на: комментарий от anonymous

Прости, но я что-то по ссылке ничего про сторонний патч не увидел. Укажи, пожалуйста, где про него говорится.

anonymous
()
Ответ на: комментарий от anonymous

А по ссылке вообще только опосредованное отношение к X.509 цертам, там из церта достается публичный/приватный ключ и на основе них создается пара ssh-ключей. Т.е. по факту ssh не знает ничего про X.509, ни про верификацию, ни про проверку по CRL. Чтобы её этому научить есть вот этот патч: http://roumenpetrov.info/openssh/

anonymous
()

Годно, нужно, отличная вещь.

IPR ★★★★★
()

Когда уже реализуют работу с сертификатами? Патчи для этого существуют минимум 6 лет.

Без сертификатов ssh не может считаться достаточно безопасным для большинства применений. Это скорее rsh на стеройдах...

AVL2 ★★★★★
()

Упс, каменты не читал, а про сертификаты уже все написали...

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Я, конечно, не знаток сертификатов и не понимаю, чем они лучше SSH-евских ключей, но что касается CRL - вот цитата из аналогичной новости с опеннета:

В sshd и ssh-keygen добавлена поддержка KRL (Key Revocation Lists), компактного бинарного формата для представления списков отозванных ключей и сертификатов, требующего всего одного дополнительного бита на каждый сертификат, отозванный по серийному номеру. Для генерации KRL может применяться утилита ssh-keygen. Загрузка в sshd осуществляется через указания пути к файлу через директиву RevokedKeys;

anonymous
()
Ответ на: комментарий от AVL2

Без сертификатов ssh не может считаться достаточно безопасным для большинства применений.

Для большинства — как раз прекрасно может.

sv75 ★★★★★
()
Ответ на: комментарий от anonymous

Шел XXI век...

...а разработчики патча не могут его причесать до нужных coding standarts. Чья эта вина - затрудняюсь сказать. Может разработчики ленивые, может coding standarts апстрима говно - в код не смотрел, гадать на кофейной гуще не хочу.

Pinkbyte ★★★★★
()
Ответ на: комментарий от anonymous

Я, конечно, не знаток сертификатов и не понимаю, чем они лучше SSH-евских ключей,

Ничем. Внутри сертификата лежат такие точно такие же ключи rsa или dsa 1024/2048/4096, как в ssh. Собственно, эти ключи из брелка с сертификатами прекрасно используются openssh напрямую через pki11.

Сертификат, это те же ключи + подписанное цепочкой сертификационных центров описание хоста или клиента. Клиент может проверить хост, а хост клиента. Это совершенно другой уровень контроля ключей и сферы их применения.

но что касается CRL - вот цитата из аналогичной новости с опеннета:

Это малая часть сертификата.

AVL2 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.