The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Релиз OpenSSH 8.4"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз OpenSSH 8.4"  +/
Сообщение от opennews (??), 28-Сен-20, 11:21 
После четырёх месяцев разработки представлен релиз OpenSSH 8.4, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=53793

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 28-Сен-20, 11:21   +13 +/
долгие лета ssh-у!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

2. Сообщение от Аноним (2), 28-Сен-20, 11:22   +14 +/
Не представляю жизни без SSH. Ждём ебилдов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

3. Сообщение от Товарищ майор (?), 28-Сен-20, 11:23   –10 +/
>FIDO

Так и запишем: проект OpenSSH деятельно содействует ZOG в лице FIDO Alliance в насаживании общества на зонды. Будет учтено при вынесении приговора.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

4. Сообщение от Аноним (4), 28-Сен-20, 11:27   +/
Можно ли как-то отключить проверку по .ssh/known_hosts, если у удаленного сервера что-то там изменилось в связи с переустановкой или еще чем-то там? Для локалхоста совершенно бесполезнейшая фича, надоело удалять строку из .ssh/known_hosts каждый раз, когда коннекчусь к свежепереустановленной локальной виртуалочке.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #8, #15, #30, #35

5. Сообщение от Аноним (1), 28-Сен-20, 11:36   +/
прошиваю кучу девайсов, сделал себе скрипт, который удаляет хост из known_hosts и заливает сертификат, кроме прочего, чтобы пароль руками не вводить. дёргаю как fix_ssh.sh 123 (сеть 192.168.2.X)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

6. Сообщение от quilin (?), 28-Сен-20, 11:37   +13 +/
Пропишите в ~/.ssh/config эти параметры. Можно сделать по

Host 192.168.*
  UserKnownHostsFile=/dev/null
  StrictHostKeyChecking=no

Подсеть подставить по вкусу

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #17, #24

7. Сообщение от Неанон (?), 28-Сен-20, 11:51   +5 +/
ssh root@my_heart
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (8), 28-Сен-20, 12:06   –7 +/
может ман почитаеш.. ну же!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от m.makhno (ok), 28-Сен-20, 12:47   +3 +/
где вы из под своей шапочки из фольги разглядели в этих алгоритмах для аутентификации зонды? не шиза ли это, товарищ?

https://fidoalliance.org/specifications/
https://github.com/fido-alliance

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #12, #14

10. Сообщение от Аноним (10), 28-Сен-20, 13:08   +2 +/
UpdateHostKeys
я много лет ждал
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (12), 28-Сен-20, 14:09   –2 +/
https://research.kudelskisecurity.com/2020/02/12/fido2-deep-.../

Читаем до просветления.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #43, #46

13. Сообщение от Аноним (13), 28-Сен-20, 14:12   +1 +/
Не понял про отключение ssh-rsa. Это какой-то короткий rsa, вроде rsa-140? Или rsa-2048 тоже отключат, соответственно, команду "ssh-keygen -t rsa -b 2048" считать устаревшей?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

14. Сообщение от barmaglot (??), 28-Сен-20, 15:13   –5 +/
Что вы такое несёте? Это-же товарищ майор. При нём таких слов употреблять нельзя. И вообще зачем вы ему ссылки с таким кол-вом букв отправили? Это вообще издевательство какое-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

15. Сообщение от And (??), 28-Сен-20, 15:25   +3 +/
> отключить проверку по .ssh/known_hosts

Ответ: да.

Высшее образование - это умение находить нужные знания в источниках.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #47

16. Сообщение от flkghdfgklh (?), 28-Сен-20, 15:45   +3 +/
Вообще уже много лет рекомендуется использовать ed25519, а не rsa. Так что да, указанная тобой команда устаревшая
Правильная команда ssh-keygen -o -a 100 -t ed25519
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #19, #26

17. Сообщение от Griggorii (?), 28-Сен-20, 15:56   –10 +/
sudo apt purge openssh-client -y && cd ~/ $$ rm -rf .ssh проще не ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #22

18. Сообщение от Аноним (18), 28-Сен-20, 16:28   –1 +/
Какие есть тулзы/wrapper под Linux для управления FIDO/SSH группами ключей?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

19. Сообщение от . (?), 28-Сен-20, 16:45   –5 +/
Yes, sir, господин полковник NSA, мы задачу чётко поняли.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #21

20. Сообщение от Аноним (20), 28-Сен-20, 17:35   –3 +/
Интересно в ubuntu 20.04 LTS появится эта версия 8.4 или все так же и будет 8.2 ?
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от Аноним (21), 28-Сен-20, 18:43   +/
Да это уже всё, за какие-то 5 лет те бэкдоры стали неактуальны, теперь будет на роли DES https://en.wikipedia.org/wiki/Post-Quantum_Cryptography_Stan...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от Аноним (22), 28-Сен-20, 18:59   +1 +/
1. Попробуй сделать это не на deb-дистрибутиве (и не на альте)
2. Ключи заново рассылать не замучаешься?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #49

23. Сообщение от Аноним (23), 28-Сен-20, 20:09   +1 +/
Где там iPony со всем устаревшим?
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от OpenEcho (?), 28-Сен-20, 20:46   +1 +/
Точно, надо вообще для "удобства" всего одну опцию:
GoToHellWithSecurity = yes

P.S.
Для копи/пастов & next-next-ов :
   выше рекомендованные опции - означают игнорирование возможной MITM атаки  

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #27

25. Сообщение от Сейд (ok), 28-Сен-20, 21:42   +/
Seahorse
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

26. Сообщение от Ivan_83 (ok), 28-Сен-20, 22:18   +2 +/
Да, вот только эта рекомендация из серии: ECDSA работает быстрее и данных меньше гонять.
Других никаких аргументов против RSA нет совсем.


А вот против ECDSA есть:

- пресловутые тайминг атаки, которые впрочем крайне легко нивелировать добавив простой таймер, типа посчитаем сразу но ответ всегда будет отдавать через 5-30 секунд от момента прихода запроса.

- кубитов для взлома RSA нужно сильно больше, при этом каждый может сгенерировать себе RSA с 32768 битами прямо щас, а вот в ECDSA всё жёстко зашито и там максимум вроде 521 бит для одного из наборов, остальные ещё меньше.
В ed25519 вообще 256 или даже меньше бит, так что это совсем плохое решение, которое дурно пахнет. Собственно заявленные автором "state of art" уже намекают на применение :)


Лично я предпочитаю оставлять только RSA, отключив все ECDSA и ED25519, а для RSA иметь длину ключа 16384 - оно долго считается и требует много памяти, но:
- крайне надёжно
- всякие брутфорс боты просто дохнут на хэндшейке ибо привыкли к 2048:
Sep 28 15:57:29 firewall sshd[8272]: error: kex_exchange_identification: Connection closed by remote host
Sep 28 16:05:39 firewall sshd[77334]: error: kex_exchange_identification: read: Connection reset by peer

вот так выглядит более половины попыток брутфорса пароля по ssh у меня :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #28, #29, #44

27. Сообщение от Аноним (4), 28-Сен-20, 22:39   +/
МИТМ-мужик между мной и локалхостной виртуалочкой? ты наверное и туалет в квартире на навесной замок запираешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #31, #32

28. Сообщение от microsoft (?), 28-Сен-20, 22:56   –1 +/
А как для ssh сгенерить rsa >8192? И главный вопрос, это все серверы подерживают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #38

29. Сообщение от microsoft (?), 28-Сен-20, 22:57   –1 +/
Ну и о печальном, теперь деватся некуда, rsa тов майора неустраивает, его просто вырубят и все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #36, #41

30. Сообщение от Ананимус (?), 28-Сен-20, 22:59   +1 +/
Настрой SSH сертификаты, не придется возиться с known_hosts.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

31. Сообщение от Аноним (31), 28-Сен-20, 23:08   +6 +/
С рождением ребёнка - да. =(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

32. Сообщение от OpenEcho (?), 28-Сен-20, 23:10   +1 +/
> МИТМ-мужик между мной и локалхостной виртуалочкой?

"если у удаленного сервера что-то там изменилось..." != localhost


>ты наверное и туалет в квартире на навесной замок запираешь?

Тебя правда интересуют мои туалеты???

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #33

33. Сообщение от Ананимус (?), 28-Сен-20, 23:17   –1 +/
> "если у удаленного сервера что-то там изменилось..." != localhost

Почему? У тебя есть два чувака: SSH-сервер и SSH-клиент. localhost это SSH-клиент, виртуалка на локалхосте -- удаленный SSH-сервер.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

34. Сообщение от ssh (ok), 28-Сен-20, 23:41   –2 +/
> долгие лета ssh-у!

Хм.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #48

35. Сообщение от Аноним (35), 29-Сен-20, 02:21   +/
Если аутентификация хоста не важна то можно получить хеш ключа хоста и добавить его себе в .ssh/known_hosts автоматически, скриптом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

36. Сообщение от Аноним (35), 29-Сен-20, 02:27   +/
ssh-rsa это просто название конкретного _одного из кучи_ алгоритмов в которых используется rsa, вы новость дальше дочитайте:

> Среди рекомендуемых для миграции алгоритмов упомянуты rsa-sha2-256/512 на базе RFC8332 RSA SHA-2 (поддерживается с OpenSSH 7.2 и используется по умолчанию)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #37

37. Сообщение от microsoft (?), 29-Сен-20, 03:12   –1 +/
Ух, пардон, упустил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

38. Сообщение от Ivan_83 (ok), 29-Сен-20, 03:18   +/
ssh-keygen -t rsa -b 16384 -f /usr/local/etc/ssh/ssh_host_rsa_key -N ''
OpenSSH точно тянет, остальным не интересовался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #39

39. Сообщение от microsoft (?), 29-Сен-20, 03:36   –1 +/
> при этом каждый может сгенерировать себе RSA с 32768 битами прямо щас

Хммм, мне в ответ ssh-keygen говорит - key bits exceeds maximum 16384

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #40, #42

40. Сообщение от microsoft (?), 29-Сен-20, 03:49   +/
Ну и да с такой длиной ключа к клиенту секунд 20-40 подключатся хехе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от Ivan_83 (ok), 29-Сен-20, 03:52   +1 +/
Вообще то нет.

На самом деле NIST двигал тему что теперь есть ECDSA и RSA как бы уже не нужен, ну он же типа дольше считает заметно при эквивалентном уровне секурности что и ECDSA.
Но год или более назад они заткнулись, и перестали пропихивать у себя везде ECDSA в замен RSA.
Есть мнение что потому что нашлась слабость в ECDSA или кто то в подвале сделал комп с нужными кубитами, но типа официально решили что лучше дождатся постквантовой крипты, чтобы два раза не вставать и кипишь не поднимать.

Если кто не знает ECDSA - это с 1998 года тема, те 20+ лет, тогда его банкиры оплатили, для себя видимо.
То что там потом Бернштейн навертел в ED25519 - тема интересная, но по сути единственное чем оно типа лучше - отсутствие тайминг атак. Как минимум один публичный минус в том, что там только один жёстко заданный набор параметров и оно типа 256 бит элиптики, что эквивалетно 128 бит симметричной крипте. И там какая то оговорка была, что он ещё два бита под целость использует, так что выходит 126. Но про это мало где пишут.

Я не знаю есть ли какие либо минусы у cahacha20 или poly1309, тоже творений того же гения, но ed25519 лично у меня вызывает сомнения, как минимум своим маркетингом.

Отсюда выходит что и поделия где оно прибито гвоздями тоже сомнительные, а это тот же wreguard, который так внезаптно без вопросов протащили и в ядро линуха и в некоторые BSD системы.

Те оно опять слишком хорошо чтобы быть правдой.
Какие то чуваки всего за год втащили своё поделие сразу в 2-3 операционки, притом что другие не могут втащить туда куда более простые подсистемы и даже фиксы.

И потом, как можно делать протокол где крипта прибита гвоздями!?
На это уже столько раз наступали, и теперь md4, md5, sha1 с нами на очень долго именно поэтому.
И как можно было пустить такой протокол в ядро, когда это очевидный косяк?


Опять же, можно посмотреть кто это делал.
Поделия Бернштейна популяризировал гугл, и он же способствовал их встаскиванию в TLS.
При этом публичные пояснения гугла о том, что им и пользователям это экономит электричество с натяжкой но принять можно. Возможные риски гуглу тут не интересны (настолько что они даже свою постквантовую крипту вместо ed22519 тестят на хомяках), они вообще ничего не теряют.
И вероятно они по тихому выкинут chacha20 через какое то время в пользу AES - потому что оно уже почти везде аппаратно есть, а через 5 лет и подавно везде будет. Если только chacha аппаратные блоки не появятся в процах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #45

42. Сообщение от Ivan_83 (ok), 29-Сен-20, 03:56   +/
Кстати да, возможно.

Я помню год назад у меня гит или что то ещё вываливало варнинги из за ключа 16384 бит, но как то незаметно пофиксилось с каким то апдейтами :)

В любом случае, 16384 - это секурность эквивалента которой нет в отрасли, кажется 2048 или 4096 от RSA эвивалентно максимальному ECDSA, по таблице эквивалентности от NIST.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #50

43. Сообщение от Ivan_83 (ok), 29-Сен-20, 05:04   –1 +/
На самом деле хотелось бы ваших коментариев.

Лично я по ходу чтения понял что ничего не помешает сделать софтварный FIDO2 токен, что сведётся к банальному манагеру паролей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

44. Сообщение от Сейд (ok), 29-Сен-20, 08:31   +/
В Curve25519 тоже 256 битов, её отключаешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

45. Сообщение от Сейд (ok), 29-Сен-20, 09:13   +1 +/
Если кратко: нет, не выкинут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

46. Сообщение от Аноним (-), 29-Сен-20, 10:13   +/
И что это за извиняюсь "материал" и коим боком ссш с ним связан ? Или это надо через сишную дырень смотреть ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #52

47. Сообщение от Аноним (-), 29-Сен-20, 10:18   –3 +/
В каких ? В интернетах ? Лол, нафиг такое образование тогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #53

48. Сообщение от Michael Shigorinemail (ok), 29-Сен-20, 16:27   –1 +/
И Вам не хворать, а то весь красный. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

49. Сообщение от Michael Shigorinemail (ok), 29-Сен-20, 16:32   +/
1. На нынешнем альте сперва скажут "нет команды apt" (apt-* есть), а apt-get скажет "ошибочная операция" (remove есть, но у rpm нет промежуточных состояний вроде "пакет немного установлен").
2. Совет вообще страшно отдаёт убунтой -- сносить _клиента_, чтобы снести вместо ~/.ssh/known_hosts (а точнее, от одной до шести строк в нём) сразу весь ~/.ssh с ключами и config... рука тянется к ссылке "умодерировать", хотя вдруг кто-то на этом научится не делать бездумно "подсказанное в интернете".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #54

50. Сообщение от Michael Shigorinemail (ok), 29-Сен-20, 16:36   –2 +/
> от NIST

А-аа.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

51. Сообщение от d (??), 29-Сен-20, 19:09   –1 +/
Запарили со своими обновлениями, приходится огребать client_loop: send disconnect: Broken pipe в зависимости от расположения звезд на небе.
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от Аноним (-), 30-Сен-20, 12:54   +/
вероятно, речь о третьих игроках, которые не вредят торговлей безопасностью и даже кровно заинтересованы в чистоте mfa репутации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

53. Сообщение от Аноним (54), 01-Окт-20, 05:30   +/
В документации. Прилагаемой к ssh, sshd, ssh_config, sshd_config и так далее. До-ку-мен-та-ции. Не первой ссылке в Гугле и не второй в Яндексе. В документации! Понятно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

54. Сообщение от Аноним (54), 01-Окт-20, 05:37   +/
Веришь, нет — замучился каждый раз объяснять студентам: видишь незнакомую команду или конфиг — смотри прежде всего man, или ещё какую родную документацию. Нет, привыкли ходить в гугл на каждый чих... Наглядно показываю каждый раз, что это медленнее и менее надёжно, «угу», и через пять минут снова-здорово.

В общем, было у нас поколение «Пепси», а нынче — поколение «Гугл».

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

55. Сообщение от iCat (ok), 01-Окт-20, 06:11   +/
>...Ждём ебилдов.

Не жди:
net-misc/openssh
     Доступные версии:      8.1_p1-r4 (~)8.2_p1-r7 (~)8.3_p1-r5 (~)8.4_p1

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру