В свет вышел выпуск OpenSSH 6.9 - открытая реализация SSH и SFTP сервера и клиента. OpenSSH 6.9 сформирован незадолго перед появлением новой версии 7.0, выпуск которой ожидается в этом месяце. OpenSSH 6.9 содержит в основном исправление ошибок и является своего рода анонсом версии 7.0.
В версии OpenSSH 7.0 планируется прекратить поддержку ряда возможностей, что может негативным образом сказаться на совместимости с текущими конфигурациями. Из изменений в OpenSSH 7.0, которые могут нарушить совместимость, можно выделить:
- Умолчание конфигурационной директивы
PermitRootLoginбудет изменено с "yes" на "no", - иными словами удалённый вход пользователя root потребует явного изменения значения этой директивы; - Протокол SSH-1 отмечен как небезопасный, устаревший и не рекомендуется к использованию, а поэтому его поддержка будет отключена по умолчанию ещё на стадии компиляции. OpenSSH без OpenSSL сможет работать только при условии использования протокола SSH-2, потому как встроенные алгоритмы шифрования (curve25519, chacha20+poly1305, aes-ctr и ed25519) не могут быть применены к SSH-1. Отключение SSH-1 на уровне сборки должно облегичить распространение в дистрибутивах собранных без привязки к OpenSSL;
- Поддержка обмена 1024-битными ключами diffie-hellman-group1-sha1 отключена по-умолчанию;
- Отключена поддержка ключей пользователя и хоста ssh-dss-cert-* и ssh-dss;
- Удалён код для поддержки формата сертификатов v00;
- По умолчанию отключены алиасы rijndael-cbc для AES и шифры blowfish-cbc, все варианты arcfour и cast128-cbc;
- Запрещено использовать любые RSA-ключи, которые по-размеру меньше 1024 бита.
Изменения в выпуске OpenSSH 6.9:
- В
sshdиsshтеперь по-умолчанию предлагается шифр [email protected]; - В
sshустранена проблема с ложным срабатыванием ограничений XSECURITY в случае применения опции ForwardX11Trusted=no при установке проброса соединений к X11 после истечения таймаута (ForwardX11Timeout); - В
ssh-agentустранены недочеты в блокировке агента (ssh-add -x), которые могли приводить к излишней задержке при неверно введённом пароле, что могло быть использовано при выполнении атаки подбора пароля; - В
sshdкоманду, AuthorizedKeysCommand, администратор теперь может указать произвольные аргументы; - Добавлена новая команда AuthorizedPrincipalsCommand, которая даёт возможность получать информацию не из файла, а из субпроцесса;
- В
ssh-addиsshдобавлена поддержка устройств PKCS#11 имеющих внешние устройства ввода PIN-кода; - Для поиска в known_hosts и вывода хэшей ключей вместо их полного содержимого в
ssh-keygenдобавлена команда "ssh-keygen -lF hostname"; - В
ssh-agentпоявилась опция "-D" отключающая отладку и переход в фоновый режим.
Вышла также и сборка "OpenSSH server for Windows"
Больше деталей о изменениях: http://www.openssh.com/txt/release-6.9
Проблемы?
Hm, kex protocol error
После обновления до версии OpenSSH 6.9 и при попытке подключится к SSH серверу с помощью PuTTY на ОС Windows, в Системном журнале событий можно встретить:
Не найдено описание для события с кодом ( 0 ) в источнике ( sshd ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: sshd: PID 1512: error: Hm, kex protocol error: type 30 seq 1.
Связано с удалением устаревшего стандарта RFC4419 https://tools.ietf.org/html/rfc4419 (Diffie-Hellman Group Exchange for the Secure Shell (SSH) Transport Layer Protocol) обмена сообщениями (SSH_MSG_KEX_DH_GEX_REQUEST_OLD):
http://www.openssh.com/txt/release-6.9
* ssh(1), sshd(8): deprecate legacy SSH2_MSG_KEX_DH_GEX_REQUEST_OLD message and do not try to use it against some 3rd-party SSH implementations that use it (older PuTTY, WinSCP).
Откройте "PuTTY Configuration - Connection - SSH - Kex", где в окне "Algoritm selection policy" передвиньте "Deffine-Hellman group exchange" в самый низ, после "--warn bellow here--" и не забудьте сохранить настройки сессии для избежания проблем при дальнейших подключениях.
