Portable OpenSSH는 오늘날 점점 더 많은 사람들이 인터넷에서 사용하는 OpenSSH (Open Source Secure Shell) 프로토콜 세트의 네트워크 연결 유틸리티의 휴대용 버전 인 오픈 소스 소프트웨어 프로젝트입니다. 이는 연결 하이재킹 시도 또는 도청과 같이 예측할 수없는 잠재적 공격을 효과적으로 제거하기 위해 오프셋을 통해 암호를 포함한 모든 네트워크 트래픽을 암호화하도록 설계되었습니다.
기능 요약
주요 기능으로는 Blowfish, AES, 3DES 및 Arcfour 알고리즘을 기반으로 한 강력한 암호화, X Window System 트래픽 암호화를 통한 X11 전달, Kerberos 인증, 공개 키 및 일회용 비밀번호 프로토콜을 기반으로 한 강력한 인증은 물론 레거시 프로토콜 용 채널을 암호화하여 포트 포워딩을 제공합니다.
또한이 소프트웨어는 SSO (Single-Sign-On) 사양, AFS 및 Kerberos 티켓 전달, SSH1 및 SSH2 프로토콜 모두에서 SFTP (보안 FTP) 클라이언트 및 서버 지원, 데이터 압축 , 상호 운용성 (interoperability)을 제공하여 프로그램이 SSH 1.3, 1.5 및 2.0 프로토콜 표준을 준수하도록합니다.
포함 된 항목은 무엇입니까?
설치가 완료되면 OpenSSH는 Telnet 및 rlogin 유틸리티를 SSH (Secure Shell) 프로그램으로 대체 할뿐만 아니라 SCP가있는 SFTP 및 RCP가 포함 된 FTP 도구를 자동으로 대체합니다. 또한 SSH 데몬 (sshd)과 ssh-agent, ssh-keygen, ssh-keysign, ssh-keyscan 및 sftp-server와 같은 유용한 유틸리티가 포함되어 있습니다.
후드 및 가용성
전체 프로젝트는 C 프로그래밍 언어로 작성되었으며 모든 GNU / Linux 운영 체제의 범용 소스 아카이브로 배포되므로 32 비트 또는 64 비트 (권장) 컴퓨터에 설치할 수 있습니다.
소스 tarball은 설치하기 전에 프로젝트를 구성하고 컴파일해야하므로 최종 사용자가 GNU / Linux 운영 체제의 기본 소프트웨어 저장소에서 설치를 시도 할 것을 강력히 권장합니다.
이번 출시의 새로운 기능 :
ssh (1), sshd (8) : OpenSSL에서 지원하지 않는 암호를 자동으로 비활성화하여 컴파일을 수정했습니다. bz # 2466
기타 : VA_COPY 매크로의 정의와 관련된 AIX 컴파일러의 일부 버전에서 컴파일 실패를 수정했습니다. bz # 2589
sshd (8) : seccomp-bpf 샌드 박스를 사용할 수 있도록 더 많은 아키텍처를 허용하십시오. bz # 2590
ssh-agent (1), sftp-server (8) : setpflags (__ PROC_PROTECT, ...)를 사용하여 Solaris에서 프로세스 추적을 비활성화합니다. bz # 2584
sshd (8) : Solaris에서는 UsePAM = yes로 Solaris setproject ()를 호출하지 마십시오. PAM의 책임입니다. bz # 2425
ssh (1), sshd (8) : OpenSSL에서 지원하지 않는 암호를 자동으로 비활성화하여 컴파일을 수정했습니다. bz # 2466
기타 : VA_COPY 매크로의 정의와 관련된 AIX 컴파일러의 일부 버전에서 컴파일 실패를 수정했습니다. bz # 2589
sshd (8) : seccomp-bpf 샌드 박스를 사용할 수 있도록 더 많은 아키텍처를 허용하십시오. bz # 2590
ssh-agent (1), sftp-server (8) : setpflags (__ PROC_PROTECT, ...)를 사용하여 Solaris에서 프로세스 추적을 비활성화합니다. bz # 2584
sshd (8) : Solaris에서는 UsePAM = yes로 Solaris setproject ()를 호출하지 마십시오. PAM의 책임입니다. bz # 2425
ssh (1), sshd (8) : OpenSSL에서 지원하지 않는 암호를 자동으로 비활성화하여 컴파일을 수정했습니다. bz # 2466
기타 : VA_COPY 매크로의 정의와 관련된 AIX 컴파일러의 일부 버전에서 컴파일 실패를 수정했습니다. bz # 2589
sshd (8) : seccomp-bpf 샌드 박스를 사용할 수 있도록 더 많은 아키텍처를 허용하십시오. bz # 2590
ssh-agent (1), sftp-server (8) : setpflags (__ PROC_PROTECT, ...)를 사용하여 Solaris에서 프로세스 추적을 비활성화합니다. bz # 2584
sshd (8) : Solaris에서는 UsePAM = yes로 Solaris setproject ()를 호출하지 마십시오. PAM의 책임입니다. bz # 2425
버전 7.3p1의 새로운 기능 :
ssh (1), sshd (8) : OpenSSL에서 지원하지 않는 암호를 자동으로 비활성화하여 컴파일을 수정했습니다. bz # 2466
기타 : VA_COPY 매크로의 정의와 관련된 AIX 컴파일러의 일부 버전에서 컴파일 실패를 수정했습니다. bz # 2589
sshd (8) : seccomp-bpf 샌드 박스를 사용할 수 있도록 더 많은 아키텍처를 허용하십시오. bz # 2590
ssh-agent (1), sftp-server (8) : setpflags (__ PROC_PROTECT, ...)를 사용하여 Solaris에서 프로세스 추적을 비활성화합니다. bz # 2584
sshd (8) : Solaris에서는 UsePAM = yes로 Solaris setproject ()를 호출하지 마십시오. PAM의 책임입니다. bz # 2425
버전 7.2p2의 새로운 기능 :
버그 수정 :
ssh (1), sshd (8) : FuTTY에 대한 호환성 문제 해결 방법 추가
ssh (1), sshd (8) : WinSCP의 호환성 문제 해결 방법 수정
ssh (1) 및 ssh-keygen (1)에서 여러 메모리 오류 (double-free, 초기화되지 않은 메모리없는 등)를 수정합니다. Mateusz Kocielski에 의해보고 됨.
버전 7.1p1의 새로운 기능 :
버그 수정 :
ssh (1), sshd (8) : FuTTY에 대한 호환성 문제 해결 방법 추가
ssh (1), sshd (8) : WinSCP의 호환성 문제 해결 방법 수정
ssh (1) 및 ssh-keygen (1)에서 여러 메모리 오류 (double-free, 초기화되지 않은 메모리없는 등)를 수정합니다. Mateusz Kocielski에 의해보고 됨.
sshd (8) : sshd -T를 사용할 때 Format UsePAM 설정, bz의 일부분 # 2346
'ar'앞에 '$ {host} -ar'가 있는지 확인하여 교차 컴파일을 쉽게 수행하십시오. bz # 2352.
몇 가지 휴대용 컴파일 수정 : bz # 2402, bz # 2337, bz # 2370
moduli (5) : DH-GEX 계수 업데이트
버전 6.8p1의 새로운 기능 :
설정시에 --with-openssl을 지원하십시오. OpenSSL에 대한 종속성을 비활성화하고 제거합니다. SSH 프로토콜 1을 비롯한 많은 기능이 지원되지 않으며 암호화 옵션 세트가 크게 제한됩니다. 이것은 native arc4random 또는 / dev / urandom이있는 시스템에서만 작동합니다. 지금은 매우 실험적이라고 여겨집니다.
구성시 --with-ssh1 옵션을 지원하십시오. SSH 프로토콜 1에 대한 지원을 비활성화 할 수 있습니다.
sshd (8) : utmpx에서 IPv6을 지원하는 시스템에서 컴파일을 수정합니다. bz # 2296
Cygwin에서 sshd에 대한 사용자 정의 서비스 이름을 허용하십시오. 다른 서비스 이름으로 실행중인 여러 sshd의 사용을 허용합니다.
6.7p1 버전의 새로운 기능 :
휴대용 OpenSSH는 이제 libressl-portable에 대한 빌드를 지원합니다.
휴대용 OpenSSH는 이제 openssl 0.9.8f 이상을 필요로합니다. 이전 버전은 더 이상 지원되지 않습니다.
OpenSSL 버전 확인에서 수정 버전 업그레이드를 허용합니다 (단, 다운 그레이드는 안됩니다.) Debian 버그 # 748150.
sshd (8) : Cygwin에서 권한 분리 사용자를 런타임에 결정합니다. 도메인 계정이어야 할 수도 있기 때문입니다.
sshd (8) : Linux에서 vhangup을 사용하지 마십시오. 비 루트 사용자에게는 작동하지 않으며, tty 설정을 망칠뿐입니다.
사용 가능한 경우 CLOCK_MONOTONIC보다 CLOCK_BOOTTIME을 사용하십시오. 일시 중지 된 시간을 고려하므로 시간 초과 (예 : 만료 에이전트 키)가 올바르게 실행되도록합니다. bz # 2228
opensshd.init init 스크립트에 ed25519에 대한 지원을 추가하십시오.
sftp-server (8) : sftp-server가 / proc / self / {mem, maps}에 액세스하지 못하게하려면 prctl ()을 사용하십시오.
6.5p1 버전의 새로운 기능 :
새로운 기능 :
ssh (1), sshd (8) : Daniel Bernstein의 Curve25519에서 타원 곡선 Diffie Hellman을 사용하여 키 교환 지원을 추가합니다. 이 키 교환 f}은 클라이언트와 서 v가 모두이를 지원할 때 기본값입니다.
ssh (1), sshd (8) : Ed25519에 대한 지원을 공개 키 유형으로 추가하십시오. Ed25519는 ECDSA 및 DSA보다 우수한 보안과 우수한 성능을 제공하는 타원 곡선 서명 체계입니다. 사용자 및 호스트 키 모두에 사용될 수 있습니다.
bcrypt KDF를 사용하는 새로운 개인 키 형식을 추가하여 나머지 키를보다 잘 보호하십시오. 이 형식은 Ed25519 키에 대해 무조건 사용되지만 -o ssh-keygen (1) 옵션을 통해 다른 유형의 기존 키를 생성하거나 저장할 때 요청할 수 있습니다. 가까운 시일 내에 새로운 형식을 기본값으로 만들려고합니다. 새 형식의 세부 사항은 PROTOCOL.key 파일에 있습니다.
ssh (1), sshd (8) : 새 전송 암호 추가 "chacha20-poly1305@openssh.com" Daniel Bernstein의 ChaCha20 스트림 암호와 Poly1305 MAC을 결합하여 인증 된 암호화 모드를 구축합니다. 세부 정보는 PROTOCOL.chacha20poly1305 파일에 있습니다.
ssh (1), sshd (8) : 약한 키 교환 해시 계산을 사용하는 독점적 인 독점 클라이언트와 서버를 거부합니다.
ssh (1) : 각 대칭 키 크기에 대해 요청 된 Diffie-Hellman 그룹의 크기를 늘립니다. NIST 특별 간행물 800-57의 새 값으로 RFC4419에 명시된 상한선이 있습니다.
ssh (1), ssh-agent (1) : 원시 공개 키 (bz # 1908로 요청) 대신 X.509 인증서 만 제공하는 pkcs # 11 토큰을 지원합니다.
ssh (1) : ssh_config (5) & quot; 일치 & quot; 키워드로 호스트 이름, 사용자 및 임의의 명령의 결과를 일치시켜 조건부 구성을 적용 할 수 있습니다.
ssh (1) : ssh_config (5)에서 DNS 접미사와 규칙 집합을 사용하여 클라이언트 측 호스트 이름 표준화에 대한 지원을 추가합니다. 이렇게하면 정규화되지 않은 이름을 정규화 된 도메인 이름으로 정규화하여 known_hosts의 키를 조회하거나 호스트 인증서 이름을 확인할 때 모호성을 제거 할 수 있습니다.sftp-server (8) : sftp 프로토콜 요청을 화이트리스트 및 / 또는 블랙리스트에 추가하는 기능을 추가하십시오.
sftp-server (8) : sftp "fsync@openssh.com"를 추가하십시오. 열려있는 파일 핸들에서 fsync (2) 호출을 지원합니다.
sshd (8) : ssh_config (5) PermitTTY를 추가하여 오랜 기간 동안 no-pty authorized_keys 옵션을 미러링하여 TTY 할당을 허용하지 않습니다.
ssh (1) : 연결을 설정하고 연결된 파일 설명자를 ssh (1)로 다시 전달하는 ProxyCommands 사용을 지원하는 ssh_config ProxyUseFDPass 옵션을 추가합니다. 이것에 의해, ProxyCommand는, 데이터를 옮기기 위해 머무르지 않고 종료 할 수 있습니다.
버그 수정:
ssh (1), sshd (8) : 중첩 된 인증서로 인한 잠재적 스택 고갈을 수정합니다.
ssh (1) : bz # 1211 : BindAddress를 UsePrivilegedPort와 함께 사용합니다.
sftp (1) : bz # 2137 : 재개 된 전송에 대한 진행률 측정기를 수정하십시오.
ssh-add (1) : bz # 2187 : ssh-agent에서 키를 제거 할 때 스마트 카드 PIN을 요구하지 않습니다.
sshd (8) : bz # 2139 : 원래 sshd 바이너리를 실행할 수 없을 때 re-exec 폴백을 수정합니다.
ssh-keygen (1) : 유효 시간 시작이 아닌 현재 시간을 기준으로 상대적으로 지정된 인증서 만료 시간을 만듭니다.
sshd (8) : bz # 2161 : Match 블록 안에 AuthorizedKeysCommand를 수정하십시오.sftp (1) : bz # 2129 : 파일을 심볼릭 링크하면 대상 경로가 부정확하게 표준화됩니다.
ssh-agent (1) : bz # 2175 : PKCS # 11 에이전트 도우미 실행 파일에서 use-after-free를 수정합니다.
sshd (8) : 사용자 이름, 원격 호스트 및 포트, 세션 유형 (셸, 명령 등) 및 할당 된 TTY (있는 경우)를 포함하도록 세션 기록을 향상시킵니다.
sshd (8) : bz # 1297 : 선호하는 수신 주소가 서버의 GatewayPorts 설정에 의해 무시되었을 때 디버그 메시지를 통해 클라이언트에게 알린다.
sshd (8) : bz # 2162 : 잘못된 프로토콜 배너 메시지에 보고서 포트를 포함합니다.
sftp (1) : bz # 2163 : do_readdir ()의 오류 경로에서 메모리 누수를 수정합니다.
sftp (1) : bz # 2171 : 오류시 파일 설명자를 누출하지 마십시오.
sshd (8) : & quot; 연결 ... & quot;에 로컬 주소와 포트를 포함하십시오. 메시지 (loglevel & gt; = verbose에만 표시됨).
휴대용 OpenSSH :
0.9.6 이전의 OpenSSL 버전을 지원하는 휴대용 OpenSSH의 마지막 버전임을 유념하십시오. 지원 (즉, SSH_OLD_EVP)은 6.5p1 릴리스 이후에 제거됩니다.휴대용 OpenSSH는 최근의 gcc와 유사한 컴파일러에서 Linux, OS X 및 OpenBSD에서 위치 독립적 실행 파일로 컴파일 및 링크를 시도합니다. 다른 플랫폼 및 이전 / 다른 컴파일러는 --with-pie configure 플래그를 사용하여이를 요청할 수 있습니다.
사용 가능한 경우 다른 도구 체인 관련 강화 옵션이 자동으로 사용됩니다. 예를 들어 부호있는 정수 오버플로를 중단하려면 -ftrapv를, 동적 링킹 정보를 쓰기 방지 옵션을 사용합니다. 이 옵션의 사용은 --without-hardening configure 플래그를 사용하여 비활성화 할 수 있습니다.
도구 체인이이를 지원하면 -fstack-protector-strong, -fstack-protector-all 또는 -fstack-protector 컴파일 플래그 중 하나를 사용하여 스택 오버플로를 기반으로하는 공격을 완화하는 가드를 추가합니다. 이 옵션의 사용은 --without-stackprotect configure 옵션을 사용하여 비활성화 할 수 있습니다.
sshd (8) : FreeBSD 10에서 소개 된 Capsicum API를 사용하여 사전 인증 샌드 박스에 대한 지원을 추가합니다.
자신의 플랫폼을 제공하지 않는 ChaCha20 기반 arc4random () PRNG로 전환하십시오.
sshd (8) : bz # 2156 : 재시작시 행동을 유지하기 위해 SIGHUP을 처리 할 때 Linux oom_adj 설정을 복원하십시오.
sshd (8) : bz # 2032 : user @ REALM 형식 일 수있는 전체 클라이언트 이름 대신 krb5_kuserok check에서 로컬 사용자 이름을 사용하십시오.
ssh (1), sshd (8) : OpenSSL에서 ECC NID 번호가 있는지 테스트하고 실제로 작동하는지 확인합니다. 페도라 (적어도)는 작동하지 않는 NID_secp521r1을 가지고 있습니다.
bz # 2173 : pkg-config --libs를 사용하여 libedit에 대해 올바른 -L 위치를 포함시킵니다.
이 버전은 보안 버그를 수정합니다 : sshd (8) : AES-GCM 암호가 선택되었을 때 재 입력하는 동안 발생한 메모리 손상 문제를 수정합니다. . 이 취약점에 대한 자세한 내용은 http://www.openssh.com/txt/gcmrekey.adv에서 확인할 수 있습니다.
버전 6.3p1의 새로운 기능 :
특징 :
sshd (8) : sshd (1) 지원을 sshd (8)에 추가합니다. 암호화 된 호스트 키 또는 스마트 카드의 호스트 키를 허용합니다.
ssh (1) / sshd (8) : 기존의 RekeyLimit 옵션에 대한 두 번째 인수를 사용하여 선택적으로 시간 기반의 재 입력을 허용합니다. 이제 RekeyLimit은 클라이언트뿐만 아니라 sshd_config에서도 지원됩니다.
sshd (8) : 사용자 인증 중 정보 로깅 표준화.
표시된 키 / 인증서와 원격 사용자 이름 (사용 가능한 경우)은 이제 로컬 사용자 이름, 원격 호스트 / 포트 및 사용중인 프로토콜과 동일한 로그 라인에있는 인증 성공 / 실패 메시지에 기록됩니다. 인증서 내용과 서명 CA의 키 지문도 로그됩니다.
단일 라인에 모든 관련 정보를 포함 시키면 더 이상 여러 로그 항목에 분산 된 정보를 관련시킬 필요가 없으므로 로그 분석이 간단 해집니다.
ssh (1) : 바이너리에서 지원되는 암호, MAC 알고리즘, 키 유형 및 키 교환 방법을 쿼리하는 기능을 추가합니다.
ssh (1) : 지원 ProxyCommand = - stdin 및 stdout이 이미 프록시를 가리키는 지원 사례를 허용합니다.
ssh (1) : 허용 IdentityFile = 없음
sftp (1) : & quot; reget & quot;를 사용하여 부분 다운로드를 다시 시작하기위한 지원을 추가합니다. 명령 및 sftp 명령 행 또는 "get" & quot; -a & quot; 명령을 사용하는 명령 줄 (추가) 옵션.
ssh (1) : & quot; IgnoreUnknown & quot; 구성 옵션을 사용하여 알 수없는 구성 지정 문으로 인해 발생하는 오류를 선택적으로 억제합니다.
sshd (8) : AuthenticationMethods를 통해 나열된 필수 인증 메소드에 부속 메소드가 추가되도록 지원을 추가하십시오.
버그 수정:
sshd (8) : CA 키와 다른 유형의 키가 CA 키 앞에 authorized_keys에 나타난 경우 인증서 거부를 수정합니다.
ssh (1) / ssh-agent (1) / sshd (8) : 타이머에 단조로운 타임 소스를 사용하여 keepalives 및 rekeying과 같은 작업이 시계 단계에서 올바르게 작동하도록합니다.
sftp (1) : 데이터가 확인 될 때 진행률을 업데이트하고 전송 된 경우에는 진행률을 업데이트하십시오. bz # 2108
ssh (1) / ssh-keygen (1) : 현재 사용자가 / etc / passwd에 없으면 오류 메시지를 개선합니다. bz # 2125
ssh (1) : 부분 인증 성공 후 공개 키를 시도하는 순서를 재설정합니다.ssh-agent (1) : 디버그 모드에있을 때 SIGINT 다음에 소켓 파일 정리. bz # 2120
ssh (1) 등 : 시스템 분석기 설정이 깨진 경우 오류 메시지가 혼동되지 않도록하십시오. bz # 2122
ssh (1) : -N으로 시작된 연결에 대해 TCP 노드를 설정합니다. bz # 2124
ssh (1) : ~ / .ssh / config에 대한 사용 권한 요구 사항에 대한 올바른 설명서. bz # 2078
ssh (1) : TCP 연결이 끊어진 경우 ControlPersist 시간 초과가 트리거되지 않도록 수정합니다. bz # 1917
ssh (1) : ControlPersist 마스터를 제어 터미널에서 적절하게 찾아냅니다.
sftp (1) : 멀티 바이트 문자 지원으로 컴파일되었을 때 libedit에서 충돌을 피하십시오. bz # 1990
sshd (8) : sshd -D를 실행할 때 명시 적으로 stderr에 로깅을 요청하지 않으면 stderr를 닫습니다. bz # 1976,
ssh (1) : 불완전한 bzero 수정; bz # 2100
sshd (8) : ChrootDirectory가 지정되고 루트 권한없이 실행중인 경우 로그 및 오류를 종료하고 종료합니다.
회귀 테스트 스위트에 대한 많은 개선. 특히 로그 파일은 실패 후 ssh 및 sshd에서 저장됩니다.
많은 메모리 누수를 수정하십시오. bz # 1967 bz # 2096 및 기타
sshd (8) : a : 스타일이 요청 된 사용자 이름에 추가 될 때 공개 키 인증을 수정합니다.
ssh (1) : 불완전하게 열린 멀티플렉싱 채널을 정리하려고 할 때 치명적으로 종료하지 마십시오. bz # 2079
휴대용 OpenSSH :
contrib / cygwin / README의 주요 정비
엄격한 정렬 구조의 경우 umac.c에서 정렬되지 않은 액세스를 수정합니다. bz # 2101
컴파일러가 지원한다면 -Wsizeof-pointer-memaccess를 사용 가능하게하십시오. bz # 2100
잘못된 명령 행보고 오류가 손상되지 않도록 수정합니다. bz # 1448
libcrypto에 필요한 지원이있는 경우에만 SHA256 및 ECC 기반 키 교환 방법을 포함하십시오.
엄격한 정렬 아키텍처에서 SOCKS5 동적 전달 코드의 오류를 수정했습니다.
안드로이드에 대한 많은 이식성 수정 : * 안드로이드에서 lastlog를 사용하려고하지 마십시오; bz # 2111 * 원래 crypt () 함수가없는 platorms에서는 openssl의 DES_crypt 함수를 사용합니다. bz # 2112 * fd_mask, howmany 및 NFDBITS가없는 plaform을 열거하지 말고 테스트하십시오. bz # 2085 * 표준화되지 않은 S_IWRITE를 S_IWUSR로 바꿉니다. bz # 2085 * 안드로이드와 같은 플랫폼을위한 엔드 그리드의 널 구현을 추가하십시오 (예 : 안드로이드) bz # 2087 * struct passwd.pw_gecos가없는 안드로이드와 같은 지원 플랫폼. bz # 2086
sshd (8) : Linux seccomp-filter sandbox는 이제 커널이 지원하는 ARM 플랫폼에서 지원됩니다.
sshd (8) : 시스템 헤더가 컴파일 할 때 지원되는지 여부에 관계없이 seccomp-filter 샌드 박스는 활성화되지 않습니다. 런타임 시스템이 seccomp-filter를 지원하지 않으면 sshd는 rlimit 의사 샌드 박스로 돌아갑니다.
ssh (1) : Kerberos 라이브러리에서 링크하지 마십시오. 그들은 sshd (8)에서만 클라이언트에서 필요하지 않습니다. bz # 2072
다른 이름의 GSSAPI 라이브러리를 사용하는 Solaris에서 GSSAPI 링킹을 수정하십시오. bz # 2073
openssl-1.0.0-fips가있는 시스템에서 컴파일을 수정하십시오.
RPM 스펙 파일에서 여러 가지 오류를 수정하십시오.
5.8p1 버전의 새로운 기능 :
휴대용 OpenSSH 버그 수정 :
SELinux 지원을 활성화 할 때 컴파일 실패를 수정했습니다.
SELinux가 비활성화되어있을 때 SELinux 기능을 호출하지 마십시오. bz # 1851
댓글을 찾을 수 없습니다