Разработчики OpenSSH продолжили разделение sshd на несколько отдельных исполняемых файлов. На реализованном в мае первом этапе разделения из sshd в отдельный процесс sshd-session были вынесены функции, связанные с обработкой сеансов, а в sshd оставлена лишь функциональность, необходимая для приёма нового сетевого соединения и запуска sshd-session для каждого нового сеанса. Вчера в кодовую базу OpenSSH было внесено изменение, добавляющее ещё один процесс -  sshd-auth, в который из sshd-session перенесён код, выполняющий аутентификацию...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=62052

• В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,qweo, 17:45 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 18:28 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Соль земли, 09:57 , 16-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 09:34 , 18-Окт-24
• В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 17:47 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 17:52 , 15-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Имя, 18:14 , 15-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 18:28 , 15-Окт-24
      • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,MaleDog, 19:27 , 15-Окт-24
        • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 20:15 , 15-Окт-24
          • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,мяв, 06:17 , 16-Окт-24
            • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 14:15 , 16-Окт-24
              • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,мяв, 12:53 , 18-Окт-24
                • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 14:52 , 18-Окт-24
        • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 20:37 , 15-Окт-24
        • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,мяв, 06:33 , 16-Окт-24
          • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 14:24 , 16-Окт-24
            • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,мяв, 12:54 , 18-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 18:37 , 15-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 18:46 , 15-Окт-24
      • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 21:12 , 15-Окт-24
• В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 17:50 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,DeerFriend, 18:06 , 15-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,DeerFriend, 18:08 , 15-Окт-24
      • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 20:40 , 15-Окт-24
        • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 18:55 , 16-Окт-24
          • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 09:32 , 18-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 19:04 , 15-Окт-24
      • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 20:42 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 23:00 , 15-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 03:54 , 16-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,_, 00:06 , 17-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,mos87, 07:38 , 16-Окт-24
• В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 18:12 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 19:04 , 15-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,MaleDog, 19:22 , 15-Окт-24
      • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 20:16 , 15-Окт-24
        • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,мяв, 06:26 , 16-Окт-24
• В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 19:02 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,kusb, 19:41 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,mos87, 07:40 , 16-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,kusb, 14:54 , 17-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,bOOster, 09:21 , 16-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,bOOster, 09:23 , 16-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 18:49 , 16-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,anonymmmeer, 12:11 , 16-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 18:50 , 16-Окт-24
• В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 19:11 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 20:50 , 15-Окт-24
• В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 19:51 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 20:47 , 15-Окт-24
• В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 21:16 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 21:32 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 16:21 , 16-Окт-24
• В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 22:37 , 15-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 00:49 , 16-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,мяв, 06:28 , 16-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,мяв, 06:29 , 16-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 22:14 , 16-Окт-24
• В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,Аноним, 04:51 , 16-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,мяв, 06:35 , 16-Окт-24
  • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,а, 07:40 , 16-Окт-24
    • В OpenSSH код аутентификации вынесен в отдельный процесс ssh...,_, 00:12 , 17-Окт-24

Ещё немного, и повторят архитектуру inetd и иже с ним :-)
Молодцы, на самом деле!

Кстати, очень  хоршая штука. Недавно работал только xinetd. Опция запуска с учетом времени суток вообще киллерфича.

Скорее postfix.

> Ещё немного, и повторят архитектуру inetd и иже с ним :-)

Больше на системд похоже. Тоже стало летающим спагетти с кучей wtfd, огромным кодом, и - довольно паршивой безопасностью протокола.

Здорово, ещё один левый процесс...

Ещё один вектор атаки.

Наоборот, старую кодяру разнесли по разным процессам ОС. Тем самым изолировали разные участки кода и данных друг от друга. Это может уменьшить неприятности от атаки, опирающейся уязвимость в коде.

Ой ли, прям вертор...

Мало до этого было атак с манипуляцией параметрами запуска приложений? Если код сложный, то почему просто не вынести в либы. Зачем новый процесс порождать?

> Зачем новый процесс порождать?

ща прибежит Мяю и пояснит, для МАС

а как MAC Вам поможет? как будете отличать штатный вызов нового процесса от внештатного?
разве что, можно похвастаться "у меня ssh-session и ssh-auth не умеют лазать по хомяку, косяки в них не приведут к прочтению левых файлов", но такое себе.
вот "MAC для памяти", может, защитил бы.. по-моему, SARA называется, но не уверена про принцип его работы, на этапе "abondoned", бросила читать.

> а как MAC Вам поможет? как будете отличать штатный вызов нового процесса от внештатного?

а что есть штатный и внештатный вызов?

> разве что, можно похвастаться

вы серьезно? чем гранулярнее правила МАС тем он эффективнее, а не "такое себе".

> вот "MAC для памяти"

Защитой памяти процесса должен заниматься менеджер виртуальной памяти. И правила тут скорее - аксиомы. И МАС как таковой тут не нужен.

>а что есть штатный и внештатный вызов?

легетимный, задуманный разработчиком и нелегетимный, ставший результатом его ошибки, если Вам так проще будет.

>вы серьезно? чем гранулярнее правила МАС тем он эффективнее, а не "такое себе".

а Вы? мало того, что я, судя по всему, у Вас в глазах двоюсь, так еще и бездумно пургу затираете.
при чем тут "гранулированнее"? или Вам еще и какой-то неведомый никому контекст привиделся? или Вы вообще исходное сообщение от анонима не читали?

>не "такое себе".

много даст отсутствие возможности залезть в хомяк у 2х служебных процессов, когда рядом возможность рут-шелл получить из основного?

>Защитой памяти процесса должен заниматься менеджер виртуальной памяти. И правила тут скорее - аксиомы. И МАС как таковой тут не нужен.

речь шла об изоляции компонентов этого самого процесса друг от друга. собственно, что и подразумивает спавн отдельного процесса.
запомнилось, мол sara именно это делает, но без спавна нового процесса. как сейчас оказалось, нет, это просто защита WX.

> так еще и бездумно пургу затираете.

ясно

Как бы, отдельный процесс - отдельное адресное пространство.

да, мало, по сравнению с использованием после очистки, двойной очисткой, выхода за границы и тп.
что-то мне подсказывает, что это вообще внутренние процессы, не принимающие аргументов, бинари которых будут лежать в libexec, как session-helper у polkit.

> что это вообще внутренние процессы, не принимающие аргументов

что за внутренние процессы? кхммм

Вон постфикс на такой архитектуре с основания.

те, что не предполагают пользовательского взаимодействия с собой.

То тут идет онанирование «одна задача — один процесс», то тебе теперь не нравится, что задача вынесена в отдельный процесс
Вы бы определились, блин!

Так разные онанимы.

> Так разные онанимы.

Да едины мы, едины - просто ты новенький, других пока не слышишь и считаешь что один-единственный в голове нашего общего тела ...
Глянь на часы - куда две с половиной минуты делись? (а это я ответ писал, нашими общими руками) ...

Это жжжж не проста. Будут внедрять  в системд? Уверен что это сделано не для удобства пользователей.

демона выкинут, оставят системд.сокет

А энтузиасты будут прикручивать оставшееся к интетд, чтобы запускалось на диване.

Лучше подумай, как оно тогда на OpenBSD должно работать.

OpenSSH *должно* работать на мейнстримных Линуксах и 3½ недоеденных им Юниксах. На это Тео дают достаточно денег на его игрушечную ОС и закрывают глаза на его, скажем так, особенности характера. Если для этого вдруг понадобится тесная интеграция с systemd — Тео либо сделает что сказано, либо будет искать финансирование в другом месте, а проектом займутся другие люди. Работоспособность OpenSSH в OpenBSD в списке требований не присутствует и никогда не присутствовала, это просто счастливая случайность.

> Работоспособность OpenSSH в OpenBSD в списке требований не присутствует
> и никогда не присутствовала, это просто счастливая случайность.

Ну вот нет. Ты недооцениваешь способность людей програмить себе по фану. Толи потому что унылый наймит, толи потому что в пирамиде Маслоу ты находишься ниже них. В общем, вот тут ты не прав, sshd появился себе по фану - и на линухи портируется по остаточному принципу.

И таким манером он когда-нибудь допрыгается что его, таки, заменят на что-то более дружественное. А вот это вот будет - у полутора маргиналов. И спасибо если остальные вообще будут юзать ssh как протокол. Ибо у него накопилось немеряно легасипроблем. Вплоть до того что не такой уж он и секурный, утекает много инфо о том кто и что делал. И чинить это никто не собирается походу, безпасничкам из опенбсд и с такой "безопасностью" - норм.

Это было бы великолепно в плане унификации и приведению к единому стандарту, а не каши из разношерстных утилит. Ещё бы так сделали с GUI, то авось пересилили бы те 0.01% на десктопе.

>4% не считая ХромойОС.

какой systemd в openbsd?

systemd-openbsd

Корирайяу имя: OpenSystemD ! 8-D

взаимоисключающие параграфы

Надо процессы запуска и остановки процессов выделить в отдельные процессы.
И да поглотит все рекурсия в бесконечном цикле!

И чтоб каждый файл, каждый юзер -- всё в докере!

А потом еще придумать костыли как дать процессам доступ к файлам чужих пользователей. "Приложение sftpd pid 36489 просит доступ к фото". После разрешения предоставляем доступ ко всем jpg и png на разделе.  Андроид?

> А потом еще придумать костыли как дать процессам доступ к файлам чужих пользователей.

Так есть же - МАС.

или bwrap.
его в MAC, что б исключить выход из песочницы, а доступом через него рулить.

> В OpenSSH код аутентификации вынесен в отдельный процесс sshd-auth

Это хорошо или плохо? Что меняет для конечных пользователей?

Может быть не взломают. Это и сделано для конечных пользователей, на самом деле.

им будет труднее скачать бинарь openssh.tgz распаковать и запускать

Придётся кликнуть правой кнопкой мышки и выбрать "Создать папку"

Растет количество методов авторизации/аутентификации. Причем бывает на статических библиотеках, которые компилируются внутрь процесса auth. Ребята сделали правильную вещь - отделили код OpenSSH от всякого другого.

ПыСы Некоторые знающие толк в извращениях вообще через записи СУБД авторизуются/аутентифицируются.

Дали им полный набор механизмов для аутентификации пользователей по ключам с любыми ограничениями, от конкретных учётных записей на конкретных хостах до времнного окна для логина без необходимости менеджмента индивидуальных ключей. Нет, всё равно костылят какую-то хтонь.

Увеличивается безопастность, уменьшается производительность.

Но нынче такие времена, что одно приложение на электрон уже в сто раз эту производительность ухудшит.

> одно приложение на электрон

Зачем ты его ставишь на сервер?

Как насчёт systemd-sshd? Кажется востребованной фичей для бесплатного десктопа.

Идёт в комплекте с systemd-gnomed

ну блин, R^X не пробовали? Вообще всё ROP отрезает.

Точно, RDX вообще всё напрочь отрезает.

Количество уязвимостей в программе зависит от количества ошибок в ней. А количество ошибок зависит от густоты ошибок в коде и объёма кода. А густота ошибок зависит от языка программирования. От разделения программы на несколько процессов объём кода и язык программирования не изменились.
Какой вывод?

Вывод: ты не понимаешь, о чём говоришь.

> объём кода и язык программирования не изменились

как не изменилось, если надо еще городить межпроцессное взаимодействие?

Вопрос взаимодействия процессов и передачи данных между ними. Сколько багов возникает при передаче через аргументы при старте процесса...

17. Возникает 17 багов. Раз вам так интересно.

было бы интересно еще и список посмотреть.

никто не будет, условно, пароли в него передавать.
запустится ssh-auth, спросит пароль, сам все обработает и выдаст, что надо.

И всё-таки, можно механизм взаимодействия между процессами накидать. Кто и каким образом спавнит, как возвращают результат работы. А то тут dbus десяток лет хрен знает чем занимается, тормозит, что даже в ведро его пытались закинуть.

Они собираются убрать дефолтным поведение, которое позволяет логинится по паролю пользователя в любого пользователя? Кажется дибилизмом каждый раз при создании конфига отменять вайлдкард на все группы и пользователей и для каждого отдельного, который тебе нужен, вписывать его обратно.

идите к ним в гит и сделайте репорт/почитайте, почему так.

зачем вписывать каждого? создайте группу sshusers, пропишите ее в конфиг, и добавляйте нужных пользователей в нее.

The Best Business Practice for ХЗ сколько лет ... но для некоторых шокирующие инновации(С) :)