Portál AbcLinuxu, 9. května 2025 03:03

OpenSSH 7.0

Byla vydána verze 7.0 sady aplikací pro SSH komunikaci OpenSSH. Přináší několik změn v konfiguraci s cílem zvýšení bezpečnosti, například výchozí hodnota PermitRootLogin v sshd_config byla změněna z "yes" na "prohibit-password". Již při překladu ze zdrojových kódů je ve výchozím stavu zakázána podpora protokolu SSH verze 1. Postupně se opouštějí slabé šifrovací algoritmy.

12.8.2015 11:00 | Ladislav Hagara | Nová verze


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

12.8.2015 15:35 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenSSH 7.0
Odpovědět | Sbalit | Link | Blokovat | Admin
"prohibit-password" je jen přejmenované "without-password" nebo se to něčím liší?
12.8.2015 16:55 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: OpenSSH 7.0
V TFA je odkaz na changelog, kde je tohle:
PermitRootLogin=without-password/prohibit-password now bans all interactive authentication methods, allowing only public-key, hostbased and GSSAPI authentication (previously it permitted keyboard-interactive and password-less authentication if those were enabled).
IMO z toho vyplývá, že je to totéž.
Quando omni flunkus moritati
12.8.2015 17:13 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenSSH 7.0

Už to vidím v "New Features":

sshd_config(5): PermitRootLogin now accepts an argument of 'prohibit-password' as a less-ambiguous synonym of 'without-password'.

No, je pravda, že mi ten řádek "PermitRootLogin without-password" vždycky připadal trochu matoucí. :-)

Petr Tomášek avatar 12.8.2015 20:13 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: OpenSSH 7.0
Odpovědět | Sbalit | Link | Blokovat | Admin
To bude zas prdel, až automatický update OpenSSH na verzi 7.0 znemožní připojení. Tomuhle říkám "moudré" rozhodnutí..
multicult.fm | monokultura je zlo | welcome refugees!
12.8.2015 20:44 janko makovica
Rozbalit Rozbalit vše Re: OpenSSH 7.0
v Debiane o 6 rokov :-D
13.8.2015 20:29 R
Rozbalit Rozbalit vše Re: OpenSSH 7.0
V Debiane 8 tato zmena uz je - pri novej instalacii automaticky, pri upgrade sa to spyta.
Jendа avatar 14.8.2015 01:26 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: OpenSSH 7.0
Není, ssh-dss klíč mi to normálně vezme (jestli jsem dobře pochopil ten changelog).

Předpokládám že při upgrade na nové openssh to projde authorized_keys a zeptá se to.
12.8.2015 21:32 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenSSH 7.0
Když někdo nerozlišuje update a upgrade
13.8.2015 08:20 CLX-Kuba
Rozbalit Rozbalit vše Re: OpenSSH 7.0
Sranda zacne az tam konecne bude:
PermitRootLogin=no :-D

a osobne to jen schvaluju, jelikoz kazdou chvili se resi ze nejakej trotl ma na serveru root heslo ,,Heslo123" :-/
13.8.2015 08:29 x
Rozbalit Rozbalit vše Re: OpenSSH 7.0
Tohle je na OpenBSD automaticky už roky pokud člověk při instalaci vytvoří běžného uživatele.
13.8.2015 08:31 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenSSH 7.0
A v čem konkrétně v takovém případě pomůže "no" oproti "prohibit-password"?
14.8.2015 14:37 pavelk
Rozbalit Rozbalit vše Re: OpenSSH 7.0
Ze pokud mi bude odcizen klic k rootovi, tak 'no' me uchrani pred jeho zneuzitim. Zustane mi ale moznost prihlasit se pres normalniho uzivatele a su-cknout se.
14.8.2015 14:49 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenSSH 7.0
Ve vašem případě bude muset útočník, který získá klíč (a heslo k němu, pochopitelně), jen počkat, až se přihlásíte a to su spustíte. Takové "zvýšení bezpečnosti" mi za zbytečné komplikace opravdu nestojí.
14.8.2015 14:50 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenSSH 7.0
Oprava: ani nebude muset čekat. Zapomněl jsem, že se bavíme o speciálním případu, kdy je heslo roota tak slabé, že ho útočník uhodne. :-)
15.8.2015 01:35 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: OpenSSH 7.0
Docela by me zajimala ta situace kdy se utocnik dostane ke klici na roota a ke klici usera ne (zvlast kdyz to ma pod palcem jeden clovek a ~root/.ssh/authorized_keys == ~user/.ssh/authorized_keys)
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
13.8.2015 14:38 Bill Gates
Rozbalit Rozbalit vše Re: OpenSSH 7.0
A v cem je to uzitecne pro ty kteri pouzivaji silna hesla a zakazat prihlaseni roota nepotrebuji? Jeden krok navic, ktery je nutno po instalaci provest? Ja tohle treba uz pravidelne musim nastavovat a takovych kroku je cim dal vic. Obcas nap*srani. To mi prijde jak kdyz jedno dite z milionu spadne a odre si koleno, tak v tu chvili vsechny deti musi odted nosit na kolenou chranice, i ty, ktere umi chodit normalne a bezne nepadaji jen kvuli tomu jednomu nemehlu.
13.8.2015 20:31 R
Rozbalit Rozbalit vše Re: OpenSSH 7.0
To je dobre heslo, pretoze splna aj poziadavky na zlozitost hesla vo Windows server :D

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.