После пяти месяцев разработки представлен релиз OpenSSH 8.5, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54690
Что-то сегодня всё больше dropbear вижу, про сабж никто и не думает.
А ну ещё teleport может быть, раньше то один dropbear был повсеместно.
А в чём прикол? Какая-то шарага заморочилась протолкнуть его штатно на хостинге? Никогда не видел его в живую на нормальных хостингах.
Я не знаю, не я выбирал. Может быть, совместимость с легаси триггерит девопсов.
Сравнил пинцет для бровей с мультитулом.
А какие применения вы видите? Более близкое сравнение будет ЭВМ 50х годов и сегодняшние телефоны.
ЭВМ 50-х годов остались в 50-х. А сабж прекрасно развивается и сейчас, чему свидетельством — данная новость.
> ЭВМ 50-х годов остались в 50-х. А сабж прекрасно развивается и сейчас,
> чему свидетельством — данная новость.Ну почему, вон мейнфреймы тех лет как и кобол до сих пор используются.
Никогда не видел этого dropbear в реальной жизни, только sshd.
На роутерах стоит dropbear, ибо всего в обрез.
>> UpdateHostKeysА вот есть что-то такое же, но для обновления на сервере ключей клиента в чуть более штатном и автоматическом режиме, чем костылями? Проблеме как бы дофига лет, а до сих пор вместо решения извращения всякие
Решение есть. В следующий раз когда будет сообщение с кучей букв и словами warning key mismatch просто нажать Yes, Remember key
и при чём тут ключи клиентов? С не тем ключом ты тупо не авторизуешься, без всяких ворнингов. А с тем ты не обеспечишь автоматическую замену устаревшего ключа.
Ansible, Puppet?
Это не штатный инструмент OpenSSH, а нагромождение костылей, которые либо имеют не нулевой шанс угробить старый конфиг развалив авторизацию, либо пытаются заменить собой единую точку авторизации в корпоративном сегменте, хотя это то как раз и ошибочный путь.
А когда есть пачка разных серверов, от разных кастомеров и нужно по ним ходить ручками, нужен именно штатный механизм обновления ключей, не предполагающий установку доп. ПО всем подряд
Весь мир использует эти и аналогичные средства автоматизации. А тебе штатные механизмы конкретного софта подавай..
Ну так реализуй, сделай коммит :D С дивана вещать-то легко.> не предполагающий установку доп. ПО всем подряд
С каких пор Ansible требует установки ПО на сервера?
Python он требует. Так что изредка сталкиваюсь с тем, что надо сначала его накатить прежде чем включать сервер в ansible/hosts.
Не нужно это тут рассказывать. Они начнут кричать что только некоторые модули треуют питона на сервере и ты можешь переписать их на баш. А потом продолжат уверять что у них agentless
есть еще cdist, но да, слегка маргинален, возможно.
ssh сертификаты умеет, меняйте хоть каждый день.
Генерируешь новый ключ на своей машине. Дальше с помощью ssh-copy-id копируете на нужные хосты, где есть старые ключи. Старые ключи удаляете.
Если я верно помню, в протоколах, где хеш используется для подписи самого сертификата (но не других данных), коллизионная стойкость хеша не имеет значения (потому что требует соучастия стороны, генерирующей ключ, а в таких случаях сторона, генеиирующая ключ может просто выдать приватный ключ вместо генерации коллизии), они полагаются на second preimage resistance, а это разные вещи.
Вернее не ключ, а сертификат.
>Среди рекомендуемых для миграции алгоритмов упомянуты rsa-sha2-256/512 на базе RFC8332 RSA SHA-2 (поддерживается с OpenSSH 7.2 и используется по умолчанию), ssh-ed25519 (поддерживается с OpenSSH 6.5) и ecdsa-sha2-nistp256/384/521 на базе RFC5656 ECDSA (поддерживается с OpenSSH 5.7).А в dropbear они из коробки поддерживаются (ed25519 точно нет, в роутерах что флехи, что памяти мало, поэтому режут всё, что только могут, даже по живому)? А если нет, то и сюда нет.
> А в dropbear они из коробки поддерживаютсяed25519 _из_коробки_ - точно поддерживается. А если в твоем роутере нарочно его удалили - increases binary size - around 7,5kB on x86-64 - то выброси это недоразумение.
https://openwrt.org/docs/guide-user/security/dropbear.public...>Rebuild Dropbear with Ed25519 key type support.
>cat << EOF >> openwrt/.config
>CONFIG_DROPBEAR_ED25519=y
>EOFWhy the f*** should I run the untrusted toolchain on my machine?
Спроси у своего trusted shitwrt или как там его, зачем они сэкономили аж 7.5k
В _дефолтном_ конфиге в исходниках dropbear включено по умолчанию, надо было не полениться специально это испортить.
Потому что там реально памяти в обрез. Что на 4 MB флехи, что на 8 и 32 оперативы. Всё падает на хрен при минимальном добавлении необходимых сервисов даже на 8/32, на 4 на флеху вообще только бы базовый образ влез, ни о каком веб-интерфейсе и Luci и речи не идёт, чувствую, что покупать и перепаивать придётся что флеху, что оперативу, благо что доступ к SMD-станции и сухому азоту есть.
> А в dropbear они из коробки поддерживаются (ed25519 точно нет, в роутерах что флехи, что памяти мало, поэтому режут всё, что только могут, даже по живому)В пределах оно не поддерживается просто потому, что поддержка ed25519 не так давно в dropbear появилась, не все успели обновиться
>В ssh для ключей FIDO обеспечен повторный запрос PIN в случае сбоя операции с цифровой подписью из-за некорректного PIN и отсутствия запроса PIN у пользователя (например, когда не удалось получить корректные биометрические данные и устройство откатилось на ручной ввод PIN-а).Вы ещё аттестацию прикрутите.
> стоимость подбора коллизии оценивается примерно в 50 тысяч долларовдолбанные белки-истерички. Дайте мне 40, я вам отдам все свои ключи и так, без ненужной возни (и хер вы потом меня найдете).
Это всего 2.6 миллиона рублей.
Я готов и рублями, тащите уже ж!
Продам новые ключи SSH за 1 биткойн, 5 штук.
херассе ты жадный!Да ладно, чего там - продам и новые за те же $50000, чур - налом, купюрами не крупнее двадцатки.
Обсудим организацию картеля в XMPP?
Это все нивалидная фигня. Я буду валидировать ключи за 60% стоимости.
После обновления клиента на 8.4 не получилось полключиться к роутеру по ключу. Хорошо, что оставили возможность подключения с настройкой PubkeyAcceptedKeyTypes ssh-rsa.
> После обновления клиента на 8.4 не получилось полключиться к роутеру по ключу.
> Хорошо, что оставили возможность подключения с настройкой PubkeyAcceptedKeyTypes ssh-rsa.Серьёзно? Чёрт, а я переживал, что это с моим роутером. Ололошечки.
Здравствуйте!
Подскажите, sntrup761x25519-sha512@openssh.com а это как?Х25519 это Диффи-Хельман с кривой 25519, sntrup761 это NTRUEncrypt - шифрование с публичным ключем.
Получается ntru шифрует открытый ключ кривой 25519?
Дошло:
* c,r_enc = Hide(r,pk,cache); cache is Hash4(pk) */r 256 бит вполне хватает что бы публичный ключ передать от кривой
Или не прав?)
https://github.com/openssh/openssh-portable/blob/master/kexs...