OpenSSH 6.2
Из наиболее заметных улучшений можно отметить:
Добавлена возможность использования сразу нескольких обязательных методов аутентификации в протоколе SSH 2. Список методов задаётся через новую директиву конфигурации AuthenticationMethods, в которой через запятую перечисляются имена одного или нескольких методов аутентификации. Необходимым условием завершения аутентификации является успешное завершение каждого из перечисленных методов. Например, можно указать о необходимости прохождения аутентификации по открытому ключу или GSSAPI, перед началом аутентификации по паролю;
В реализацию протокола SSH 2 добавлена поддержка аутентифицированного шифрования с использованием блочного шифра AES-GCM, позволяющего гарантировать целостность передаваемого шифрованного потока. Новые шифры доступны как aes128-gcm и aes256-gcm и используют одинаковый формат пакетов при работе в режиме AES-GCM, определённом в RFC 5647, в сочетании с упрощёнными и изменёнными правила выбора в процессе обмена ключами;
В реализацию протокола SSH 2 добавлена и задействована по умолчанию поддержка EtM-режимов (encrypt-then-mac) подстановки MAC (Message Authentication Code). Отличие новых режимов состоит в том, что вычисление MAC производится на основании размера пакета и уже зашифрованного пакета, а не на основании незашифрованных данных. Подобный подход рассматривается как более безопасный;
Добавлена поддержка алгоритма вычисления MAC-кодов UMAC-128 для использования в режиме encrypt-then-mac;
В sshd и ssh-keygen добавлена поддержка KRL (Key Revocation Lists), компактного бинарного формата для представления списков отозванных ключей и сертификатов, требующего всего одного дополнительного бита на каждый сертификат, отозванный по серийному номеру. Для генерации KRL может применяться утилита ssh-keygen. Загрузка в sshd осуществляется через указания пути к файлу через директиву RevokedKeys;
Директива настройки sshd AllowTcpForwarding теперь поддерживает параметры "local" и "remote" в дополнение к ранее применяемым значениям "yes" и "no". Использование новых параметров позволяет отдельно разрешить локальное или внешнее перенаправление соединений;
Добавлена новая директива AuthorizedKeysCommand для настройки в sshd загрузки содержимого authorized_keys в форме принятия вывода произвольной команды, а не только в форме открытия готового файла. Идентификатор пользователя, под которым выполняется команда для динамической генерации authorized_keys задаётся через директиву AuthorizedKeysCommandUser;
В sftp-server добавлена поддержка опции "-d" с указанием начальной директории, что позволяет выбрать путь, отличный от домашней директории пользователя;
В ssh-keygen добавлена поддержка создания слепков ключей (fingerprinting), размещённых в хранилищах PKCS#11. Для создания слепка нужно использовать команду "ssh-keygen -lD pkcs11_provider";
При использовании протокола SSH2 в ssh, который используется по умолчанию, отныне заголовок с версией протокола SSH отправляется клиентом сразу, не дожидаясь ответа с версией протокола от сервера, что позволяет сократить время на установку соединения;
В команду ssh добавлена поддержка escape-последовательностей "~v" и "~V" для увеличения или уменьшения детализации лога. Escape-команда "-?" теперь выводит подсказку в зависимости от контекста и показывает справку только по командам, допустимым в текущей ситуации;
В переносимой версии sshd поддержка режима изоляции с использованием seccomp-filter теперь доступна для Linux-систем, собранных для архитектуры ARM.
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
В течение многих лет в Kali Linux было принято использовать политику root-доступа для пользователя по умолчанию, что наследовалось еще из BackTrack Linux. 31 декабря 2019 года разработчики Kali Linux приняли решение перейти к более «классической» политике — отсутствию прав root в пользователя в дефолтной сессии. Изменение будет внедрено в выпуск 2020.1 дистрибутива, но, при желании, можно потестировать его уже сейчас, скачав одну из ночных или еженедельных сборок.
Немного истории и теории
Изначально был основанный на Slackware BackTrack Linux, в котором не было ничего, кроме огромного набора инструментов для пентестинга. Так как многие из этих инструментов требовали root прав, а дистрибутив предназначался только для запуска в Live режиме с диска, самым очевидным и простым решением было сделать root-права для пользователя по-умолчанию.
Со временем популярность дистрибутива росла, а пользователи начинали устанавливать его на железо вместо простого использования в режиме «загрузочного диска». Тогда, в феврале 2011 года, было принято решение перейти со Slackware на Ubuntu, чтобы у пользователей было меньше проблем и появилась возможность своевременного обновления. Спустя некоторое время, в основу Kali лег Debian Linux.
Хотя разработчики не поощряют использование дистрибутива Kali как основной ОС, нынче многие пользователи почему-то делают это, даже в случае, если они не используют дистрибутив по его прямому назначению — для проведения пентестов. Что примечательно, так делают и некоторые члены команды разработчиков дистрибутива.
При таком использовании дефолтные root-права скорее зло, чем польза, поэтому и было принято решение перейти к «традиционной» модели безопасности — пользователь по-умолчанию без root-прав.
Разработчики опасаются, что такое решение приведет к целому вороху сообщений об ошибках, но безопасность использования дистрибутива все же важнее.
Редакция портала:
Добро пожаловать на сайт, посвященный документации к ОС Linux, ее переводу и распространению. Мы надеемся, что Вы найдете тут всю необходимую информацию. Здесь представлены три основных вида документации на русском языке: руководства (man-pages), HOWTO и mini-HOWTO. В скором будущем возможно появление и других видов документации.
Авторские права на представленные документы принадлежат авторам перевода и распространяются в соответствии со Стандартной Общественной Лицензией, если в документе не указано обратное.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.
Microsoft пытается справиться с рекордным спросом на облачные сервисы
ИТ-компании попросили считать их в числе наиболее пострадавших от кризиса
[Фейк или правда?] 2015 год: Ученых напугал успешный эксперимент по переделке вируса летучих мышей
06:01 Минкомсвязи утвердило требования к российским DNS
08:11 Выпуск Debian 9.6
08:11 Четвёртый бета-выпуск FreeBSD 12.0. Прекращение поддержки FreeBSD 10
08:11 Mozilla тестирует в Firefox две новые возможности: Price Wise и Email Tabs
08:11 В Chrome развивается API для создания полноценных пользовательских приложений
08:11 Выпуск wayland-protocols 1.17 с поддержкой буфера обмена по средней кнопке мыши
08:11 Обновлены сборки дистрибутива Void Linux
15:11 Cinnamon 4.0
15:11 В Chrome 71 начнётся блокировка вводящих в заблуждение рекламных блоков
15:11 ReactOS 0.4.10
10:11 Релиз GhostBSD 18.10
10:11 Новые системы машинного обучения от Fаcebook и Google
09:09 Chrome OS 69 с обновлённым интерфейсом и поддержкой Linux