O OpenSSH é a principal ferramenta de conectividade para login remoto com o protocolo SSH. 

OpenSSH 9.2 é lançado com correções e novos recursos

O OpenSSH é a principal ferramenta de conectividade para login remoto com o protocolo SSH. Ele criptografa todo o tráfego para eliminar espionagem, sequestro de conexão e outros ataques. Além disso, o OpenSSH fornece um grande conjunto de recursos de tunelamento seguro, vários métodos de autenticação e opções de configuração sofisticadas.

O pacote OpenSSH consiste nas seguintes ferramentas:

• As operações remotas são feitas usando ssh, scp e sftp.
• Gerenciamento de chaves com ssh-add, ssh-keysign, ssh-keyscan e ssh-keygen.
• O lado do serviço consiste em sshd, sftp-server e ssh-agent.

Lançado em 02 de Fevereiro de 2023.

Novas características

• sshd: adiciona suporte para tempo limite de inatividade do canal por meio de um novo sshd_config(5) Diretiva ChannelTimeout. Isso permite que canais que não vi o tráfego em um intervalo configurável para ser fechado automaticamente. Diferentes tempos limite podem ser aplicados à sessão, X11, agente e canais de encaminhamento TCP.

• sshd: adicione uma opção sshd_config UnusedConnectionTimeout para encerrar conexões de cliente que não tenham canais abertos para um duração de tempo. Isso complementa a opção ChannelTimeout acima.

• sshd: adiciona uma opção -V (versão) ao sshd como o cliente ssh tem.

• ssh: adicione uma linha "Host" à saída de ssh -G mostrando o argumento do nome do host original. bz3343

• scp, sftp: adicione uma opção -X para scp e sftp para permitem o controle sobre alguns parâmetros do protocolo SFTP: o buffer de cópia comprimento e o número de solicitações em andamento, ambos usados durante o upload/download. Anteriormente, estes podiam ser controlados em sftp apenas. Isso os torna disponíveis no protocolo SFTP clientes usando a mesma sequência de caracteres de opção.

• ssh-keyscan: permite a varredura de intervalos completos de endereços CIDR, por exemplo. "ssh-keyscan 192.168.0.0/24". Se um intervalo CIDR for passado, então ele será expandido para todos os endereços possíveis no intervalo incluindo os endereços all-0s e all-1s. bz#976

• ssh: suporta encaminhamento dinâmico de porta remota em escape processamento -R da linha de comando. bz#3499

Correções de bugs

* ssh(1): when restoring non-blocking mode to stdio fds, restore exactly the flags that ssh started with and don't just clobber them with zero, as this could also remove the append flag from the set. bz3523 * ssh(1): avoid printf("%s", NULL) if using UserKnownHostsFile=none and a hostkey in one of the system known hosts file changes. * scp(1): switch scp from using pipes to a socket-pair for communication with its ssh sub-processes, matching how sftp(1) operates. * sshd(8): clear signal mask early in main(); sshd may have been started with one or more signals masked (sigprocmask(2) is not cleared on fork/exec) and this could interfere with various things, e.g. the login grace timer. Execution environments that fail to clear the signal mask before running sshd are clearly broken, but apparently they do exist. * ssh(1): warn if no host keys for hostbased auth can be loaded. * sshd(8): Add server debugging for hostbased auth that is queued and sent to the client after successful authentication, but also logged to assist in diagnosis of HostbasedAuthentication problems. bz3507 * ssh(1): document use of the IdentityFile option as being usable to list public keys as well as private keys. GHPR352 * sshd(8): check for and disallow MaxStartups values less than or equal to zero during config parsing, rather than failing later at runtime. bz3489 * ssh-keygen(1): fix parsing of hex cert expiry times specified on the command-line when acting as a CA. * scp(1): when scp(1) is using the SFTP protocol for transport (the default), better match scp/rcp's handling of globs that don't match the globbed characters but do match literally (e.g. trying to transfer a file named "foo.[1]"). Previously scp(1) in SFTP mode would not match these pathnames but legacy scp/rcp mode would. bz3488 * ssh-agent(1): document the "-O no-restrict-websafe" command-line option. * ssh(1): honour user's umask(2) if it is more restrictive then the ssh default (022). Portability ----------- * sshd(8): allow writev(2) in the Linux seccomp sandbox. This seems to be used by recent glibcs at least in some configurations during error conditions. bz3512. * sshd(8): simply handling of SSH_CONNECTION PAM env var, removing global variable and checking the return value from pam_putenv. bz3508 * sshd(8): disable SANDBOX_SECCOMP_FILTER_DEBUG that was mistakenly enabled during the OpenSSH 9.1 release cycle. * misc: update autotools and regenerate the config files using the latest autotools * all: use -fzero-call-used-regs=used on clang 15 instead of -fzero-call-used-reg=all, as some versions of clang 15 have miscompile code when it was enabled. bz3475 * sshd(8): defer PRNG seeding until after the initial closefrom(2) call. PRNG seeding will initialize OpenSSL, and some engine providers (e.g. Intel's QAT) will open descriptors for their own use that closefrom(2) could clobber. bz3483 * misc: in the poll(2)/ppoll(2) compatibility code, avoid assuming the layout of fd_set. * sftp-server(8), ssh-agent(1): fix ptrace(2) disabling on older FreeBSD kernels. Some versions do not support using id 0 to refer to the current PID for procctl, so try again with getpid() explicitly before failing. * configure.ac: fix -Wstrict-prototypes in configure test code. Clang 16 now warns on this and legacy prototypes will be removed in C23. GHPR355 * configure.ac: fix setres*id checks to work with clang-16. glibc has the prototypes for setresuid behind _GNU_SOURCE, and clang 16 will error out on implicit function definitions. bz3497

Fonte