O OpenSSH é a principal ferramenta de conectividade para login remoto com o protocolo SSH.
OpenSSH 9.2 é lançado com correções e novos recursos
O OpenSSH é a principal ferramenta de conectividade para login remoto com o protocolo SSH. Ele criptografa todo o tráfego para eliminar espionagem, sequestro de conexão e outros ataques. Além disso, o OpenSSH fornece um grande conjunto de recursos de tunelamento seguro, vários métodos de autenticação e opções de configuração sofisticadas.
O pacote OpenSSH consiste nas seguintes ferramentas:
- As operações remotas são feitas usando ssh, scp e sftp.
- Gerenciamento de chaves com ssh-add, ssh-keysign, ssh-keyscan e ssh-keygen.
- O lado do serviço consiste em sshd, sftp-server e ssh-agent.
Lançado em 02 de Fevereiro de 2023.
Novas características
- sshd: adiciona suporte para tempo limite de inatividade do canal por meio de um novo sshd_config(5) Diretiva ChannelTimeout. Isso permite que canais que não vi o tráfego em um intervalo configurável para ser fechado automaticamente. Diferentes tempos limite podem ser aplicados à sessão, X11, agente e canais de encaminhamento TCP.
- sshd: adicione uma opção sshd_config UnusedConnectionTimeout para encerrar conexões de cliente que não tenham canais abertos para um duração de tempo. Isso complementa a opção ChannelTimeout acima.
- sshd: adiciona uma opção -V (versão) ao sshd como o cliente ssh tem.
- ssh: adicione uma linha "Host" à saída de ssh -G mostrando o argumento do nome do host original. bz3343
- scp, sftp: adicione uma opção -X para scp e sftp para permitem o controle sobre alguns parâmetros do protocolo SFTP: o buffer de cópia comprimento e o número de solicitações em andamento, ambos usados durante o upload/download. Anteriormente, estes podiam ser controlados em sftp apenas. Isso os torna disponíveis no protocolo SFTP clientes usando a mesma sequência de caracteres de opção.
- ssh-keyscan: permite a varredura de intervalos completos de endereços CIDR, por exemplo. "ssh-keyscan 192.168.0.0/24". Se um intervalo CIDR for passado, então ele será expandido para todos os endereços possíveis no intervalo incluindo os endereços all-0s e all-1s. bz#976
- ssh: suporta encaminhamento dinâmico de porta remota em escape processamento -R da linha de comando. bz#3499
Correções de bugs
* ssh(1): when restoring non-blocking mode to stdio fds, restore
exactly the flags that ssh started with and don't just clobber them
with zero, as this could also remove the append flag from the set.
bz3523
* ssh(1): avoid printf("%s", NULL) if using UserKnownHostsFile=none
and a hostkey in one of the system known hosts file changes.
* scp(1): switch scp from using pipes to a socket-pair for
communication with its ssh sub-processes, matching how sftp(1)
operates.
* sshd(8): clear signal mask early in main(); sshd may have been
started with one or more signals masked (sigprocmask(2) is not
cleared on fork/exec) and this could interfere with various things,
e.g. the login grace timer. Execution environments that fail to
clear the signal mask before running sshd are clearly broken, but
apparently they do exist.
* ssh(1): warn if no host keys for hostbased auth can be loaded.
* sshd(8): Add server debugging for hostbased auth that is queued and
sent to the client after successful authentication, but also logged
to assist in diagnosis of HostbasedAuthentication problems. bz3507
* ssh(1): document use of the IdentityFile option as being usable to
list public keys as well as private keys. GHPR352
* sshd(8): check for and disallow MaxStartups values less than or
equal to zero during config parsing, rather than failing later at
runtime. bz3489
* ssh-keygen(1): fix parsing of hex cert expiry times specified on
the command-line when acting as a CA.
* scp(1): when scp(1) is using the SFTP protocol for transport (the
default), better match scp/rcp's handling of globs that don't match
the globbed characters but do match literally (e.g. trying to
transfer a file named "foo.[1]"). Previously scp(1) in SFTP mode
would not match these pathnames but legacy scp/rcp mode would.
bz3488
* ssh-agent(1): document the "-O no-restrict-websafe" command-line
option.
* ssh(1): honour user's umask(2) if it is more restrictive then the
ssh default (022).
Portability
-----------
* sshd(8): allow writev(2) in the Linux seccomp sandbox. This seems
to be used by recent glibcs at least in some configurations during
error conditions. bz3512.
* sshd(8): simply handling of SSH_CONNECTION PAM env var, removing
global variable and checking the return value from pam_putenv.
bz3508
* sshd(8): disable SANDBOX_SECCOMP_FILTER_DEBUG that was mistakenly
enabled during the OpenSSH 9.1 release cycle.
* misc: update autotools and regenerate the config files using the
latest autotools
* all: use -fzero-call-used-regs=used on clang 15 instead of
-fzero-call-used-reg=all, as some versions of clang 15 have
miscompile code when it was enabled. bz3475
* sshd(8): defer PRNG seeding until after the initial closefrom(2)
call. PRNG seeding will initialize OpenSSL, and some engine
providers (e.g. Intel's QAT) will open descriptors for their own
use that closefrom(2) could clobber. bz3483
* misc: in the poll(2)/ppoll(2) compatibility code, avoid assuming
the layout of fd_set.
* sftp-server(8), ssh-agent(1): fix ptrace(2) disabling on older
FreeBSD kernels. Some versions do not support using id 0 to refer
to the current PID for procctl, so try again with getpid()
explicitly before failing.
* configure.ac: fix -Wstrict-prototypes in configure test code.
Clang 16 now warns on this and legacy prototypes will be removed
in C23. GHPR355
* configure.ac: fix setres*id checks to work with clang-16. glibc
has the prototypes for setresuid behind _GNU_SOURCE, and clang 16
will error out on implicit function definitions. bz3497
Fonte
Comentários
Postar um comentário
olá, seja bem vindo ao Linux Dicas e suporte !!