Portable OpenSSH

Portable OpenSSH es un proyecto de software de código abierto, una versión portátil del conjunto de protocolos de conectividad de red OpenSSH (Open Source Secure Shell) que se utilizan hoy en día en Internet por un número cada vez mayor de personas. . Se ha diseñado a partir del desplazamiento para encriptar todo el tráfico de la red, incluidas las contraseñas, con el fin de eliminar efectivamente los posibles ataques que no se pueden predecir, como los intentos de secuestro de la conexión o las escuchas.

Las características clave incluyen cifrado fuerte basado en algoritmos Blowfish, AES, 3DES y Arcfour, reenvío de X11 cifrando el tráfico del sistema X Window, autenticación fuerte basada en los protocolos de Autenticación Kerberos, Clave pública y Contraseña de una sola vez, así como reenvío de puertos mediante el cifrado de canales para protocolos heredados.

Además, el software viene con reenvío de agente basado en la especificación SSO (Single-Sign-On), AFS y paso de tickets de Kerberos, compatibilidad con el cliente y servidor SFTP (Secure FTP) en los protocolos SSH1 y SSH2, compresión de datos , e interoperabilidad, que hace que el programa cumpla con los estándares de protocolo SSH 1.3, 1.5 y 2.0.

¿Qué & rsquo; s incluidos?

Una vez instalado, OpenSSH reemplazará automáticamente las utilidades Telnet y rlogin con el programa SSH (Secure Shell), así como la herramienta FTP con SFTP y RCP con SCP. Además, incluye el daemon SSH (sshd) y varias utilidades útiles, como ssh-agent, ssh-add, ssh-keygen, ssh-keysign, ssh-keyscan y sftp-server.

Todo el proyecto está escrito en el lenguaje de programación C y se distribuye como un archivo de fuentes universales para todos los sistemas operativos GNU / Linux, lo que le permite instalarlo en equipos de 32 o 64 bits (recomendado).

Tenga en cuenta que el tarball de las fuentes requiere que configure y compile el proyecto antes de la instalación, por lo que recomendamos encarecidamente a los usuarios finales que intenten instalarlo desde los repositorios de software predeterminados de su sistema operativo GNU / Linux.

Qué hay de nuevo en esta versión:

• ssh (1), sshd (8): corrige la compilación deshabilitando automáticamente las cifras no admitidas por OpenSSL. bz # 2466
• misc: corrige fallas de compilación en algunas versiones del compilador de AIX relacionadas con la definición de la macro VA_COPY. bz # 2589
• sshd (8): lista más arquitecturas para habilitar el sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): deshabilita el seguimiento de procesos en Solaris utilizando setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): en Solaris, no llame a Solaris setproject () con UsePAM = yes, es responsabilidad de PAM. bz # 2425

Qué hay de nuevo en la versión:

• ssh (1), sshd (8): corrige la compilación por deshabilitar automáticamente las cifras no admitidas por OpenSSL. bz # 2466
• misc: corrige fallas de compilación en algunas versiones del compilador de AIX relacionadas con la definición de la macro VA_COPY. bz # 2589
• sshd (8): lista más arquitecturas para habilitar el sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): deshabilita el seguimiento de procesos en Solaris utilizando setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): en Solaris, no llame a Solaris setproject () con UsePAM = yes, es responsabilidad de PAM. bz # 2425

Qué hay de nuevo en la versión 7.4p1:

• ssh (1), sshd (8): corrige la compilación deshabilitando automáticamente los cifrados que no son compatibles con OpenSSL. bz # 2466
• misc: corrige fallas de compilación en algunas versiones del compilador de AIX relacionadas con la definición de la macro VA_COPY. bz # 2589
• sshd (8): lista más arquitecturas para habilitar el sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): deshabilita el seguimiento de procesos en Solaris utilizando setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): en Solaris, no llame a Solaris setproject () con UsePAM = yes, es responsabilidad de PAM. bz # 2425

Qué hay de nuevo en la versión 7.3p1:

• ssh (1), sshd (8): corrige la compilación deshabilitando automáticamente las cifras no admitidas por OpenSSL. bz # 2466
• misc: corrige fallas de compilación en algunas versiones del compilador de AIX relacionadas con la definición de la macro VA_COPY. bz # 2589
• sshd (8): lista más arquitecturas para habilitar el sandbox seccomp-bpf. bz # 2590
• ssh-agent (1), sftp-server (8): deshabilita el seguimiento de procesos en Solaris utilizando setpflags (__ PROC_PROTECT, ...). bz # 2584
• sshd (8): en Solaris, no llame a Solaris setproject () con UsePAM = yes, es responsabilidad de PAM. bz # 2425

Qué hay de nuevo en la versión 7.2p2:

• Corrección de errores:
• ssh (1), sshd (8): agregue soluciones de compatibilidad para FuTTY
• ssh (1), sshd (8): refinar las soluciones de compatibilidad para WinSCP
• Corrige una serie de fallas de memoria (doblemente libres, sin memoria no inicializada, etc.) en ssh (1) y ssh-keygen (1). Reportado por Mateusz Kocielski.

Qué hay de nuevo en la versión 7.1p1:

• Correcciones de errores:
• ssh (1), sshd (8): agregue soluciones de compatibilidad para FuTTY
• ssh (1), sshd (8): refinar las soluciones de compatibilidad para WinSCP
• Corrige una serie de fallas de memoria (doblemente libres, sin memoria no inicializada, etc.) en ssh (1) y ssh-keygen (1). Reportado por Mateusz Kocielski.

Novedades en la versión 6.9p1:

• sshd (8): Formatee la configuración UsePAM al usar sshd -T, parte de bz # 2346
• Busca '$ {host} -ar' antes de 'ar', facilitando la compilación cruzada; bz # 2352.
• Varias correcciones de compilación portátiles: bz # 2402, bz # 2337, bz # 2370
• módulos (5): actualizar módulos DH-GEX

Qué hay de nuevo en la versión 6.8p1:

• Soporte --without-openssl en el momento de la configuración. Deshabilita y elimina la dependencia de OpenSSL. Muchas funciones, incluido el protocolo SSH 1, no son compatibles y el conjunto de opciones de cifrado está muy restringido. Esto solo funcionará en sistemas con arc4random nativo o / dev / urandom. Considerado altamente experimental por ahora.
• Admite la opción --without-ssh1 en el momento de la configuración. Permite deshabilitar la compatibilidad con el protocolo SSH 1.
• sshd (8): corrige la compilación en sistemas con soporte de IPv6 en utmpx; bz # 2296
• Permitir el nombre del servicio personalizado para sshd en Cygwin. Permite el uso de varias sshd ejecutándose con diferentes nombres de servicios.

Qué hay de nuevo en la versión 6.7p1:

• Portable OpenSSH ahora es compatible con la compilación contra libressl-portable.
• Portable OpenSSH ahora requiere openssl 0.9.8f o superior. Las versiones anteriores ya no son compatibles.
• En la verificación de la versión de OpenSSL, permita las actualizaciones de la versión de corrección (pero no las degradaciones. Error de Debian # 748150.
• sshd (8): en Cygwin, determine el usuario de separación de privilegios en el tiempo de ejecución, ya que puede necesitar ser una cuenta de dominio.
• sshd (8): no intente usar vhangup en Linux. No funciona para usuarios que no son root, y para ellos simplemente arruina la configuración de tty.
• Use CLOCK_BOOTTIME con preferencia a CLOCK_MONOTONIC cuando esté disponible. Considera que el tiempo invertido se suspendió, lo que garantiza que los tiempos de espera (por ejemplo, para las claves del agente caduque) se activen correctamente. bz # 2228
• Agregue soporte para ed25519 a la secuencia de comandos opensshd.init init.
• sftp-server (8): en plataformas que lo admitan, use prctl () para evitar que sftp-server acceda a / proc / self / {mem, maps}

Qué hay de nuevo en la versión 6.5p1:

• Nuevas funciones:
• ssh (1), sshd (8): agregue soporte para el intercambio de claves utilizando la curva elíptica Diffie Hellman en Curve25519 de Daniel Bernstein. Este método de intercambio de claves es el predeterminado cuando tanto el cliente como el servidor lo admiten.
• ssh (1), sshd (8): agregue soporte para Ed25519 como un tipo de clave pública. Ed25519 es un esquema de firma de curva elíptica que ofrece una mejor seguridad que ECDSA y DSA y un buen rendimiento. Se puede usar tanto para las teclas de usuario como para las de host.
• Agregue un nuevo formato de clave privada que use un KDF bcrypt para proteger mejor las claves en reposo. Este formato se usa incondicionalmente para las claves Ed25519, pero se puede solicitar al generar o guardar claves existentes de otros tipos mediante la opción -o ssh-keygen (1). Tenemos la intención de hacer que el nuevo formato sea el predeterminado en el futuro cercano. Los detalles del nuevo formato se encuentran en el archivo PROTOCOL.key.
• ssh (1), sshd (8): agregue un nuevo cifrado de transporte & quot; chacha20-poly1305@openssh.com & quot; que combina el cifrado de flujo ChaCha20 de Daniel Bernstein y el MAC Poly1305 para construir un modo de cifrado autenticado. Los detalles se encuentran en el archivo PROTOCOL.chacha20poly1305.
• ssh (1), sshd (8): rechaza las claves RSA de los antiguos clientes y servidores propietarios que usan el esquema de firmas obsoleto RSA + MD5. Todavía será posible conectarse con estos clientes / servidores, pero solo se aceptarán claves DSA, y OpenSSH rechazará la conexión por completo en una versión futura.
• ssh (1), sshd (8): rechaza los clientes propietarios antiguos y los servidores que usan un cálculo de hash de intercambio de claves más débil.
• ssh (1): aumenta el tamaño de los grupos Diffie-Hellman solicitados para cada tamaño de clave simétrica. Nuevos valores de la publicación especial NIST 800-57 con el límite superior especificado por RFC4419.
• ssh (1), ssh-agent (1): admite tokens de PKK # 11 que solo proporcionan certificados X.509 en lugar de claves públicas sin formato (solicitadas como bz # 1908).
• ssh (1): agregue un ssh_config (5) & quot; Hacer coincidir & quot; palabra clave que permite la configuración condicional que se aplica al hacer coincidir el nombre de host, el usuario y el resultado de los comandos arbitrarios.
• ssh (1): agregue compatibilidad para la canonicalización del nombre de host del lado del cliente utilizando un conjunto de sufijos y reglas DNS en ssh_config (5). Esto permite que los nombres no calificados sean canonicalizados a nombres de dominio completamente calificados para eliminar la ambigüedad al buscar claves en known_hosts o al verificar los nombres de los certificados de host.
• sftp-server (8): agregue la capacidad de incluir en la lista blanca y / o en la lista negra solicitudes de protocolo sftp por nombre.
• sftp-server (8): agregue un sftp & quot; fsync@openssh.com & quot; para admitir llamar a fsync (2) en un archivo abierto maneja.
• sshd (8): agregue un ssh_config (5) PermitTTY para no permitir la asignación de TTY, reflejando la opción no-pty authorized_keys de larga data.
• ssh (1): agregue una opción ssh_config ProxyUseFDPass que admita el uso de ProxyCommands que establezca una conexión y luego pase un descriptor de archivo conectado a ssh (1). Esto permite que ProxyCommand salga en lugar de quedarse para transferir datos.
• Correcciones de errores:
• ssh (1), sshd (8): corrige el posible agotamiento de la pila causado por certificados anidados.
• ssh (1): bz # 1211: hacer que BindAddress funcione con UsePrivilegedPort.
• sftp (1): bz # 2137: arregla el medidor de progreso para la transferencia reanudada.
• ssh-add (1): bz # 2187: no solicite el PIN de la tarjeta inteligente al eliminar las claves de ssh-agent.
• sshd (8): bz # 2139: arregla el re-exec fallback cuando el binario sshd original no se puede ejecutar.
• ssh-keygen (1): haga que los vencimientos del certificado sean relativos a la hora actual y no la hora de inicio de la validez.
• sshd (8): bz # 2161: arregla AuthorizedKeysCommand dentro de un bloque Match.
• sftp (1): bz # 2129: el enlace simbólico de un archivo incorrectamente canonicalizaría la ruta de destino.
• ssh-agent (1): bz # 2175: arregle un uso después de libre en el agente ejecutable del agente PKCS # 11.
• sshd (8): mejore el registro de las sesiones para incluir el nombre de usuario, el host y el puerto remotos, el tipo de sesión (shell, comando, etc.) y TTY asignado (si corresponde).
• sshd (8): bz # 1297: le dice al cliente (a través de un mensaje de depuración) cuando su dirección de escucha preferida ha sido anulada por la configuración GatewayPorts del servidor.
• sshd (8): bz # 2162: incluye el puerto de informe en el mensaje de banner de protocolo incorrecto.
• sftp (1): bz # 2163: reparar la pérdida de memoria en la ruta del error en do_readdir ().
• sftp (1): bz # 2171: no se filtra el descriptor de archivo por error.
• sshd (8): incluya la dirección local y el puerto en & quot; Conexión de ... & quot; mensaje (solo se muestra en loglevel & gt; = verbose).
• Portable OpenSSH:
• Tenga en cuenta que esta es la última versión de Portable OpenSSH que admitirá versiones de OpenSSL anteriores a 0.9.6. El soporte (es decir, SSH_OLD_EVP) se eliminará después de la versión 6.5p1.
• Portable OpenSSH intentará compilar y vincular como un ejecutable de posición independiente en Linux, OS X y OpenBSD en compiladores recientes similares a gcc. Otras plataformas y compiladores antiguos / otros pueden solicitar esto usando el indicador de configuración --with-pie.
• Varias otras opciones de endurecimiento relacionadas con la cadena de herramientas se usan automáticamente si están disponibles, incluyendo -ftrapv para abortar el desbordamiento de entero con signo y opciones para proteger contra escritura la información de enlace dinámico. El uso de estas opciones se puede inhabilitar mediante el indicador de configuración --without-hardening.
• Si la cadena de herramientas lo admite, uno de los indicadores de compilación -fstack-protector-strong, -fstack-protector-all o -fstack-protective se usa para agregar guardias para mitigar ataques basados ​​en desbordamientos de pila. El uso de estas opciones se puede deshabilitar con la opción de configuración --without-stackprotect.
• sshd (8): agregue compatibilidad con sandboxing de autenticación previa utilizando la API Capsicum presentada en FreeBSD 10.
• Cambie a un PRNG arc4random () basado en ChaCha20 para plataformas que no proporcionan las suyas propias.
• sshd (8): bz # 2156: restaura la configuración de oom_adj de Linux cuando manejas SIGHUP para mantener el comportamiento sobre la repetición.
• sshd (8): bz # 2032: use el nombre de usuario local en la comprobación krb5_kuserok en lugar del nombre completo del cliente que puede ser del usuario de formulario @ REALM.
• ssh (1), sshd (8): prueba tanto la presencia de números ECC NID en OpenSSL y que realmente funcionan. Fedora (al menos) tiene NID_secp521r1 que no funciona.
• bz # 2173: use pkg-config --libs para incluir la ubicación -L correcta para libedit.

Qué hay de nuevo en la versión 6.4p1:

• Esta versión corrige un error de seguridad: sshd (8) : soluciona un problema de corrupción de memoria desencadenado durante la reencadenamiento cuando se selecciona un cifrado AES-GCM. Los detalles completos de la vulnerabilidad están disponibles en: http://www.openssh.com/txt/gcmrekey.adv

Qué hay de nuevo en la versión 6.3p1:

• Funciones:
• sshd (8): agregue el soporte de ssh-agent (1) a sshd (8); permite claves de host encriptadas, o claves de host en tarjetas inteligentes.
• ssh (1) / sshd (8): permite la reencaminamiento opcional basado en el tiempo a través de un segundo argumento a la opción RekeyLimit existente. RekeyLimit ahora es compatible tanto en sshd_config como en el cliente.
• sshd (8): estandariza el registro de información durante la autenticación del usuario.
• La clave / cert presentado y el nombre de usuario remoto (si está disponible) ahora están registrados en el mensaje de éxito / falla de autenticación en la misma línea de registro que el nombre de usuario local, el host / puerto remoto y el protocolo en uso. También se registran los contenidos de los certificados y la huella digital clave de la CA firmante.
• La inclusión de toda la información relevante en una sola línea simplifica el análisis de registros ya que ya no es necesario relacionar la información dispersa en varias entradas de registro.
• ssh (1): agregue la capacidad de consultar qué cifrados, algoritmos MAC, tipos de clave y métodos de intercambio de claves son compatibles con el binario.
• ssh (1): admite ProxyCommand = - para permitir casos de soporte donde stdin y stdout ya apuntan al proxy.
• ssh (1): permitir IdentityFile = none
• ssh (1) / sshd (8): agregue la opción -E a ssh y sshd para agregar los registros de depuración a un archivo especificado en lugar de stderr o syslog.
• sftp (1): agregue soporte para reanudar descargas parciales usando el & quot; reget & quot; comando y en la línea de comando sftp o en & quot; obtener & quot; línea de comando usando el & quot; -a & quot; (añadir) opción.
• ssh (1): agregue un & quot; IgnoreUnknown & quot; opción de configuración para suprimir selectivamente los errores que surgen de las directivas de configuración desconocidas.
• sshd (8): agregue compatibilidad para que los submétodos se agreguen a los métodos de autenticación necesarios enumerados a través de AuthenticationMethods.
• Correcciones de errores:
• sshd (8): se rehúsa a rechazar el certificado si una clave de un tipo diferente a la clave CA aparece en authorized_keys antes de la clave CA.
• ssh (1) / ssh-agent (1) / sshd (8): use una fuente de tiempo monotónica para los temporizadores para que cosas como keepalives y rekeying funcionen correctamente sobre los pasos del reloj.
• sftp (1): actualiza el indicador de progreso cuando se confirman los datos, no cuando se envían. bz # 2108
• ssh (1) / ssh-keygen (1): mejora los mensajes de error cuando el usuario actual no existe en / etc / passwd; bz # 2125
• ssh (1): restablece el orden en el que se prueban las claves públicas después del éxito de la autenticación parcial.
• ssh-agent (1): limpiar los archivos de socket después de SIGINT cuando está en modo de depuración; bz # 2120
• ssh (1) y otros: evite confundir los mensajes de error en el caso de configuraciones de resolución de sistema rotas; bz # 2122
• ssh (1): establece nodelay TCP para conexiones iniciadas con -N; bz # 2124
• ssh (1): corregir el manual de los requisitos de permiso en ~ / .ssh / config; bz # 2078
• ssh (1): corrige el tiempo de espera de ControlPersist que no se activa en los casos en que las conexiones TCP se han colgado. bz # 1917
• ssh (1): deatch correctamente un control maestro ControlPersist desde su terminal de control.
• sftp (1): evite bloqueos en libedit cuando se haya compilado con soporte de caracteres de varios bytes. bz # 1990
• sshd (8): al ejecutar sshd -D, cierre stderr a menos que hayamos solicitado explícitamente el inicio de sesión en stderr. bz # 1976,
• ssh (1): corregir bzero incompleto; bz # 2100
• sshd (8): registro y error, y salga si se especifica ChrootDirectory y se está ejecutando sin privilegios de root.
• Muchas mejoras al conjunto de pruebas de regresión. En particular, los archivos de registro ahora se guardan de ssh y sshd después de fallas.
• Corrige una serie de pérdidas de memoria. bz # 1967 bz # 2096 y otros
• sshd (8): corrige la autenticación de clave pública cuando a: se agrega un estilo al nombre de usuario solicitado.
• ssh (1): no salga fatalmente al intentar limpiar los canales creados por multiplexación que están incompletamente abiertos. bz # 2079
• Portable OpenSSH:
• Revisión general de contrib / cygwin / README
• Repare los accesos no alineados en umac.c para arquitecturas de alineamiento estricto. bz # 2101
• Habilita -Wsizeof-pointer-memaccess si el compilador lo admite. bz # 2100
• Repara errores de informes incorrectos en la línea de comandos. bz # 1448
• Solo incluya SHA256 y métodos de intercambio de claves basados ​​en ECC si libcrypto tiene el soporte requerido.
• Soluciona el bloqueo en el código de reenvío dinámico SOCKS5 en arquitecturas de alineación estricta.
• Varias correcciones de portabilidad para Android: * No intente utilizar lastlog en Android; bz # 2111 * Volvemos al uso de la función DES_crypt de openssl en platorms que no tienen una función nativa crypt (); bz # 2112 * Prueba para fd_mask, howmany y NFDBITS en lugar de intentar enumerar las plataformas que no los tienen. bz # 2085 * Reemplazar S_IWRITE, que no está estandarizado, con S_IWUSR, que es. bz # 2085 * Agregue una implementación nula de endgrent para plataformas que no la tienen (p. ej., Android) bz # 2087 * Plataformas de soporte, como Android, que carecen de la estructura passwd.pw_gecos. bz # 2086

Novedades en la versión 6.2p2:

• sshd (8): el entorno de pruebas de filtro seccomp de Linux ahora es compatible con ARM plataformas donde el kernel lo admite.
• sshd (8): el sandbox de seccomp-filter no se habilitará si los encabezados del sistema lo admiten en tiempo de compilación, independientemente de si se puede habilitar o no. Si el sistema en tiempo de ejecución no es compatible con filtro seccomp, sshd volverá al pseudo-sandbox rlimit.
• ssh (1): no enlazar en las bibliotecas de Kerberos. No son necesarios en el cliente, solo en sshd (8). bz # 2072
• Repara enlaces GSSAPI en Solaris, que usa una biblioteca GSSAPI de nombre diferente. bz # 2073
• Corregir la compilación en sistemas con openssl-1.0.0-fips.
• Corrige una serie de errores en los archivos de especificaciones de RPM.

Qué hay de nuevo en la versión 5.8p1:

• Correcciones de errores OpenSSH portátiles:
• Soluciona el error de compilación al habilitar el soporte de SELinux.
• No intente llamar a las funciones de SELinux cuando SELinux esté deshabilitado. bz # 1851