После шести месяцев разработки представлен (http://lists.mindrot.org/pipermail/openssh-unix-dev/2018-Apr... релиз OpenSSH 7.7 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.Основные новшества:
- В ssh и sshd прекращена поддержка некоторых старых реализаций SSH, включая выпуски оригинального SSH от ssh.com до версий 2.* включительно и выпусков OpenSSH до 3.* включительно, выпущенных до 2001 года и включающих реализации протокола до формирования официального RFC;
- Добавлена экспериментальная поддержка ключей PQC XMSS (https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-... (Extended Hash- Based Signatures);
- Добавлена директива RDomain для разрешения размещения аутентифицированного сеанса в заданном домене маршрутизации (Routing Domain), пока поддерживаемая только в OpenBSD и Linux. Также добавлены сопутствующие опции "rdomain" в директивах Match и ListenAddress для варьирования настроек в зависимости от домена маршрутизации и разрешения приёма соединений через разные домены маршрутизации;
- Добавлена опция "expiry-time" для задания времени жизни ключей в файле authorized_keys;
- Обеспечена возможность обращения к ресурсам ssh, scp и sftp через URI (например ssh://user@host или sftp://user@host/path);- Для ssh реализована директива BindInterface, позволяющая явно определить сетевой интерфейс для инициирования исходящих соединений (ранее допускалась только привязка по IP-адресу (BindAddress), а не имени интерфейса);
- В ssh добавлен флаг подстановки %T для вывода устройства, заготовленного для перенаправления через tun/tap, при формировании команды в LocalCommand (например, можно использовать для запуска скрипта для предварительной подготовки сетевого интерфейса). В sshd подобное устройство выводится через переменную окружения SSH_TUNNEL;
- В sftp разрешено выполнение команд "cd" и "lcd" без аргументов, в этом случае будет обеспечен переход в домашнюю (для "cd") и начальную ("lcd") директории;
- Удалена поддержка операционной системы UNICOS (https://ru.wikipedia.org/wiki/Unicos);
- Добавлена возможность сборки и связывания с флагами "retpoline" для защита от второго варианта уязвимости Spectre;
- Обеспечено добавление в Makefile автоматически генерируемой информации о зависимостях.URL: http://lists.mindrot.org/pipermail/openssh-unix-dev/2018-Apr...
Новость: https://www.opennet.me/opennews/art.shtml?num=48384
Если б они ещё порт стандартным манером понимали... ну, то есть ssh user@host:port/dir - удобно же, нахрена его в отдельный ключ пихать?
Неистово плюсую! Особенно бодрит "-p" у ssh и при этом "-P" у scp.
Привыкли уже. А разбор схемы это время, ресурсы и дополнительная сложность, так что допускаю идеологические причины (конечно, не аргумент).
> дополнительная сложностьА тебя тоже сахритку покусал? Жлобишься отдать 0.000000001 сек процессорного времени на парсинг схемы?
Особенно бодрит rsync over ssh на нестандартном порту.
А что с ним не так? Никогда не держу SSH на стандартном порту. Каких-либо трудностей ни с VNC ни с rsync замечено не было...
А rsync -e 'ssh -P $port_number' разве у вас не работает?
Не работает. Ибо '-p', а не '-P'. А с ':' такой ошибки бы не совершили.
В ряде случаев удобнейexport RSYNC_RSH="ssh -p12345"
rsync ..
Зато память развивает и деменцию отдаляет. Следи за собой, будь осторожен.
Для этой цели можно и список редакций офтопика с особенностями лицензирования учить =)
Что? неужели вам это не интересно?
> нахрена его в отдельный ключ пихать?Пропиши порты в ~/.ssh/config
Если часто куда-то ломишься - ясное дело, но не для однократных входов же
onanimous настолько суров что правит /etc/ssh/ssh_config до и после ssh-сессии по два раза
Сами же понимаете, что возникает неоднозначность: «хост:порт» или «хост:каталог»? Наследие тёмных веков разработчики, конечно, как могут, исправляют, но — предложите решение получше? Вот, предложили использовать URI — глядишь, станет полегче.
Ну так в URI они это тоже не добавили
В URI это есть по определению.> ssh connects and logs into the specified destination, which may be specified as either [user@]hostname or a URI of the form ssh://[user@]hostname[:port].
> The destination may be specified either as [user@]host[:path] or as a URI in the form sftp://[user@]host[:port][/path].
> The source and target may be specified as a local pathname, a remote host with optional path in the form [user@]host:[path], or a URI in the form scp://[user@]host[:port][/path].
а, ну тогда гуд.
> Сами же понимаете, что возникает неоднозначность: «хост:порт» или «хост:каталог»?Каталог начинается с тильды или слеша. Или ещё есть варианты с цифры?
а зачем собстенно ссш на нестандартный порт пихать?
> а зачем собстенно ссш на нестандартный порт пихать?Чтобы боты логи не забивали спамом.
Ну да, на случайный порт они, конечно, никогда не зайдут. Или для вас принципиально, чтобы пароль пытались не 937 китайских вируса и один умный хакер, а 184 китайских вируса и один умный хакер?
Ну да, на стандартном порту сотни попыток в день, на случайном порту ни разу за 10 лет.
Никакой разница, да.
ДДддд :))))
Это потому что ты nach никому кроме ботов не нужен.
Слегка апнутый бот умеет сканить тысячи IP в минуту на предмент портов.
А ты спрятало голову в кусты и решил что - всё, "безапасна!"(С)
> Ну да, на стандартном порту сотни попыток в день, на случайном порту
> ни разу за 10 лет.
> Никакой разница, да.Верите, нет — нормальные люди не мас... молятся на логи SSH, а делают так, чтобы об этом сервисе не надо было беспокоиться: устанавливают на фаерволе ограничения на количество попыток подключения с одного адреса; проводят здоровую политику паролей/ключей и вообще возможности входа по SSH; и так далее. А для подстраховки, если совсем надо, ставят прогу для мониторинга журналов системы на предмет аномалий. И мне всё равно, сколько глупых ботов ко мне сейчас стучатся, они меня не волнуют от слова «совсем». А те, кто волнуют (да, такие — к счастью или к сожалению — есть), не будут тупо перебирать пароли. То есть, конечно, они могут, но только если совсем от скуки и ничего не боясь. :)
> а зачем собстенно ссш на нестандартный порт пихать?Посмотри tspdump-ом, что на стандартном твориться, если он в Интернет светит...
и они прям перестанут ломиться на нестандартном?
ограничить кол-во подключений в секунду файерволом и удалять старые логи - не так уж сложно
Прям перестанут.
Конфиг в студию, поржём.
> Конфиг в студию, поржём.apt-get install fail2ban
Конфиг по дефолту.
И да, мне не жалко сотни строчек в логе. А если сильно захотят поломать, то найдут SSH, на какой бы порт ты его ни засунул.
С хабра?
Если захотят поломать, то ломать будут с ботнета, против которого fail2ban не поможет.
И да, целевые и нецелевые атаки надо уметь различать.
> С хабра?Нет. Почему тебя это волнует?
> Если захотят поломать, то ломать будут с ботнета, против которого fail2ban не поможет.
Я и не говорил, что поможет (хотя на самом деле и он может существенно затруднить атакующему жизнь, особенно если время бана увеличить). Зато поможет полный запрет входа по паролю.
> целевые и нецелевые атаки надо уметь различать.
Различать их надо для того, чтобы уметь противостоять и тем, и другим. Ты же, перевешивая SSH на нестандартный порт, борешься (ну или пытаешься бороться) только с нецелевыми.
> А если сильно захотят поломать, то найдут SSH, на какой бы порт ты его ни засунул.apt-cache search knockd
apt-get install sshguard
и заодно - а как вы запоминаете на какой порт заходить? если в конфиг не записывать
> и заодно - а как вы запоминаете на какой порт заходить? если
> в конфиг не записыватьБессмысленно помнить ip-адреса или имена сотен серверов.
В любом случае будет конфиг. Не ssh, так внешней программы хранящей информацию по хостам.
Карандаш и блокнот изобрели ещё в древнем Египте...
fail2ban
С ограничением 20 переборов в неделю и временем бана месяц.
например - потому что форвардится ssh-доступ на несколько машин за nat. Или потому что ssh используется как протокол-носитель для сервиса, мимо основного ssh
> например - потому что форвардится ssh-доступ на несколько машин за nat.
-J [user@]host[:port]
Connect to the target host by first making a ssh connection to the jump host and then establishing a
TCP forwarding to the ultimate destination from there. Multiple jump hops may be specified separated
by comma characters. This is a shortcut to specify a ProxyJump configuration directive.> Или потому что ssh используется как протокол-носитель для сервиса, мимо основного ssh
Что мешает заворачивать сервис в тот же "основной ssh"? Вроде так всегда и делается.
Чтобы не отсвечивать.
Host *:*
ProxyCommand nc $(echo %h | sed 's/:.*//') $(echo %h | sed 's/.*://' )
только собирался переходить на UNICOS
Expiry для authorized_keys звучит интересно.
Интересно, да. А что будет если это поле перетереть)
Слово "directory" переводится, как "каталог". Слова "директория" в русском нет -- это старый допапочный сленг мелкомягких.