Portable OpenSSH

Portable OpenSSH 是一個開源軟件項目，是OpenSSH（開源安全外殼）網絡連接實用程序協議套件的可移植版本，今天在互聯網上被越來越多的人使用。它是根據偏移量設計的，用於加密所有網絡流量，包括密碼，以便有效消除您無法預測的潛在攻擊，例如連接劫持嘗試或竊聽。

主要功能包括基於Blowfish，AES，3DES和Arcfour算法的強加密，通過加密X Window系統流量進行X11轉發，基於Kerberos身份驗證的強身份驗證，公鑰和一次性密碼協議，以及通過加密傳統協議的信道進行端口轉發。

此外，該軟件還帶有基於SSO（單點登錄）規範的代理轉發，AFS和Kerberos票證傳遞，支持SSH1和SSH2協議中的SFTP（安全FTP）客戶端和服務器，數據壓縮和互操作性，使程序符合SSH 1.3,1.5和2.0協議標準。

包含哪些內容？

安裝完成後，OpenSSH將自動使用SSH（Secure Shell）程序替換Telnet和rlogin實用程序，以及使用帶有SFTP和RCP的FTP工具替換SCP。此外，它還包括SSH守護程序（sshd）和各種有用的實用程序，例如ssh-agent，ssh-add，ssh-keygen，ssh-keysign，ssh-keyscan和sftp-server。

整個項目使用C編程語言編寫，並作為所有GNU / Linux操作系統的通用源存檔分發，允許您將其安裝在32位或64位（推薦）計算機上。

請注意，源代碼tarball要求您在安裝之前配置和編譯項目，因此我們強烈建議最終用戶嘗試從其GNU / Linux操作系統的默認軟件存儲庫進行安裝。

此版本中的新功能：

• ssh（1），sshd（8）：通過自動禁用OpenSSL不支持的密碼來修復編譯。 BZ＃2466
• misc：修復某些版本的AIX編譯器上與VA_COPY宏定義相關的編譯失敗。 BZ＃2589
• sshd（8）：將更多體系結構列入白名單以啟用seccomp-bpf沙箱。 BZ＃2590
• ssh-agent（1），sftp-server（8）：使用setpflags（__ PROC_PROTECT，...）在Solaris上禁用進程跟踪。 BZ＃2584
• sshd（8）：在Solaris上，不要使用UsePAM =是調用Solaris setproject（）它是PAM的責任。 BZ＃2425

版本中的新功能：

• ssh（1），sshd（8）：修復編譯方式自動禁用OpenSSL不支持的密碼。 BZ＃2466
• misc：修復某些版本的AIX編譯器上與VA_COPY宏定義相關的編譯失敗。 BZ＃2589
• sshd（8）：將更多體系結構列入白名單以啟用seccomp-bpf沙箱。 BZ＃2590
• ssh-agent（1），sftp-server（8）：使用setpflags（__ PROC_PROTECT，...）在Solaris上禁用進程跟踪。 BZ＃2584
• sshd（8）：在Solaris上，不要使用UsePAM =是調用Solaris setproject（）它是PAM的責任。 BZ＃2425

新功能：

• ssh（1），sshd（8）：通過自動禁用不受支持的密碼來修復編譯OpenSSL的。 BZ＃2466
• misc：修復某些版本的AIX編譯器上與VA_COPY宏定義相關的編譯失敗。 BZ＃2589
• sshd（8）：將更多體系結構列入白名單以啟用seccomp-bpf沙箱。 BZ＃2590
• ssh-agent（1），sftp-server（8）：使用setpflags（__ PROC_PROTECT，...）在Solaris上禁用進程跟踪。 BZ＃2584
• sshd（8）：在Solaris上，不要使用UsePAM =是調用Solaris setproject（）它是PAM的責任。 BZ＃2425

版本7.3p1中的新功能：

• ssh（1），sshd（8）：通過自動禁用OpenSSL不支持的密碼來修復編譯。 BZ＃2466
• misc：修復某些版本的AIX編譯器上與VA_COPY宏定義相關的編譯失敗。 BZ＃2589
• sshd（8）：將更多體系結構列入白名單以啟用seccomp-bpf沙箱。 BZ＃2590
• ssh-agent（1），sftp-server（8）：使用setpflags（__ PROC_PROTECT，...）在Solaris上禁用進程跟踪。 BZ＃2584
• sshd（8）：在Solaris上，不要使用UsePAM =是調用Solaris setproject（）它是PAM的責任。 BZ＃2425

版本7.2p2中的新功能：

• 錯誤修正：
• ssh（1），sshd（8）：為FuTTY添加兼容性解決方法
• ssh（1），sshd（8）：改進WinSCP的兼容性解決方法
• 在ssh（1）和ssh-keygen（1）中修復了許多內存錯誤（雙重釋放，沒有未初始化的內存等）。 Mateusz Kocielski報導。

版本7.1p1中的新功能：

• 錯誤修正：
• ssh（1），sshd（8）：為FuTTY添加兼容性解決方法
• ssh（1），sshd（8）：改進WinSCP的兼容性解決方法
• 在ssh（1）和ssh-keygen（1）中修復了許多內存錯誤（雙重釋放，沒有未初始化的內存等）。 Mateusz Kocielski報導。

版本6.9p1中的新功能：

• sshd（8）：使用sshd時格式化UsePAM設置-T，bz＃2346
的一部分
• 在'ar'之前查找'$ {host} -ar'，使交叉編譯更容易; BZ＃2352。
• 幾個可移植的編譯修復：bz＃2402，bz＃2337，bz＃2370
• moduli（5）：更新DH-GEX模塊

版本6.8p1中的新功能：

• 在配置時支持--without-openssl。禁用並刪除對OpenSSL的依賴。不支持許多功能，包括SSH協議1，並且加密選項集受到很大限制。這僅適用於具有本機arc4random或/ dev / urandom的系統。現在認為是高度實驗性的。
• 在配置時支持--without-ssh1選項。允許禁用對SSH協議1的支持。
• sshd（8）：修復utmpx中支持IPv6的系統的編譯; BZ＃2296
• 在Cygwin上為sshd提供自定義服務名稱。允許使用運行不同服務名稱的多個sshd。

版本6.7p1中的新功能：

• 便攜式OpenSSH現在支持針對libressl-portable進行構建。
• 便攜式OpenSSH現在需要openssl 0.9.8f或更高版本。不再支持舊版本。
• 在OpenSSL版本檢查中，允許修復版本升級（但不是降級.Debian bug＃748150。
• sshd（8）：在Cygwin上，在運行時確定權限分離用戶，因為它可能需要是域帳戶。
• sshd（8）：不要嘗試在Linux上使用vhangup。它對非root用戶不起作用，對於它們來說它只是弄亂了tty設置。
• 當CLOCK_OONTIME可用時優先使用CLOCK_BOOTTIME。它考慮暫停的時間，從而確保超時（例如，對於到期的代理鍵）正確觸發。 BZ＃2228
• 將ed25519支持添加到opensshd.init init腳本。
• sftp-server（8）：在支持它的平台上，使用prctl（）阻止sftp-server訪問/ proc / self / {mem，maps}

版本6.5p1中的新功能：

• 新功能：
• ssh（1），sshd（8）：在Daniel Bernstein的Curve25519中使用橢圓曲線Diffie Hellman添加對密鑰交換的支持。當客戶端和服務器都支持時，此密鑰交換方法是默認方式。
• ssh（1），sshd（8）：添加對Ed25519的支持作為公鑰類型。 Ed25519是一種橢圓曲線簽名方案，提供比ECDSA和DSA更好的安全性和良好的性能。它可以用於用戶和主機密鑰。
• 添加一個新的私鑰格式，該格式使用bcrypt KDF來更好地保護靜止的密鑰。此格式無條件地用於Ed25519密鑰，但可以在通過-o ssh-keygen（1）選項生成或保存其他類型的現有密鑰時請求。我們打算在不久的將來使新格式成為默認格式。新格式的詳細信息位於PROTOCOL.key文件中。
• ssh（1），sshd（8）：添加新的傳輸密碼“chacha20-poly1305@openssh.com"它結合了Daniel Bernstein的ChaCha20流密碼和Poly1305 MAC來構建經過身份驗證的加密模式。詳細信息在PROTOCOL.chacha20poly1305文件中。
• ssh（1），sshd（8）：拒絕來自使用過時RSA + MD5簽名方案的舊專有客戶端和服務器的RSA密鑰。仍然可以與這些客戶端/服務器連接，但只接受DSA密鑰，OpenSSH將在以後的版本中完全拒絕連接。
• ssh（1），sshd（8）：拒絕使用較弱密鑰交換哈希計算的舊專有客戶端和服務器。
• ssh（1）：增加為每個對稱密鑰大小請求的Diffie-Hellman組的大小。來自NIST特刊800-57的新值，其上限由RFC4419指定。
• ssh（1），ssh-agent（1）：支持pkcs＃11 tokes只提供X.509證書而不是原始公鑰（請求為bz＃1908）。
• ssh（1）：添加ssh_config（5）“匹配”允許通過匹配主機名，用戶和任意命令的結果來應用條件配置的關鍵字。
• ssh（1）：使用ssh_config（5）中的一組DNS後綴和規則添加對客戶端主機名規範化的支持。這允許將非限定名稱規範化為完全限定的域名，以消除在known_hosts中查找密鑰或檢查主機證書名稱時的歧義。
• sftp-server（8）：按名稱添加白名單和/或黑名單sftp協議請求的功能。
• sftp-server（8）：添加sftp＆quot; fsync@openssh.com＆quot;支持在打開的文件句柄上調用fsync（2）。
• sshd（8）：添加ssh_config（5）PermitTTY以禁止TTY分配，鏡像長期的no-pty authorized_keys選項。
• ssh（1）：添加一個ssh_config ProxyUseFDPass選項，該選項支持使用建立連接的ProxyCommands，然後將連接的文件描述符傳遞回ssh（1）。這允許ProxyCommand退出而不是留下來傳輸數據。
• 錯誤修正：
• ssh（1），sshd（8）：修復由嵌套證書引起的潛在堆棧耗盡。
• ssh（1）：bz＃1211：使BindAddress與UsePrivilegedPort一起使用。
• sftp（1）：bz＃2137：修復進度表以恢復轉移。
• ssh-add（1）：bz＃2187：從ssh-agent中刪除密鑰時不要求智能卡PIN。
• sshd（8）：bz＃2139：修復無法執行原始sshd二進製文件時的重新執行回退。
• ssh-keygen（1）：使相對指定的證書到期時間相對於當前時間而不是有效期開始時間。
• sshd（8）：bz＃2161：修復Match塊中的AuthorizedKeysCommand。
• sftp（1）：bz＃2129：符號鏈接文件會錯誤地規範目標路徑。
• ssh-agent（1）：bz＃2175：修復PKCS＃11代理助手可執行文件中的use-after-free。
• sshd（8）：改進會話記錄，包括用戶名，遠程主機和端口，會話類型（shell，命令等）和分配的TTY（如果有）。
• sshd（8）：bz＃1297：告訴客戶端（通過調試消息）他們的首選監聽地址何時被服務器的GatewayPorts設置覆蓋。
• sshd（8）：bz＃2162：在錯誤的協議標題消息中包含報告端口。
• sftp（1）：bz＃2163：修復do_readdir（）中錯誤路徑中的內存洩漏。
• sftp（1）：bz＃2171：出錯時不要洩漏文件描述符。
• sshd（8）：在“Connection from ...”中包含本地地址和端口。消息（僅顯示在loglevel＆gt; =詳細）。
• Portable OpenSSH：
• 請注意，這是支持0.9.6之前版本的OpenSSL的Portable OpenSSH的最新版本。 6.5p1版本發布後將刪除支持（即SSH_OLD_EVP）。
• 便攜式OpenSSH將嘗試在Linux，OS X和OpenBSD上作為位置獨立可執行文件在最近的類似gcc的編譯器上進行編譯和鏈接。其他平台和舊版/其他編譯器可以使用--with-pie配置標誌來請求它。
• 如果可用，會自動使用許多其他與工具鏈相關的加固選項，包括-ftrapv中止有符號整數溢出和選項以保護動態鏈接信息。可以使用--without-hardening configure標誌禁用這些選項。
• 如果工具鏈支持它，則使用-fstack-protector-strong，-fstack-protector-all或-fstack-protector編譯標誌之一來添加防護，以緩解基於堆棧溢出的攻擊。可以使用--without-stackprotect configure選項禁用這些選項。
• sshd（8）：使用FreeBSD 10中引入的Capsicum API添加對預身份驗證沙盒的支持。
• 切換到基於ChaCha20的arc4random（）PRNG，用於不提供自己的平台。
• sshd（8）：bz＃2156：在處理SIGHUP時恢復Linux oom_adj設置以維持retart的行為。
• sshd（8）：bz＃2032：在krb5_kuserok檢查中使用本地用戶名，而不是用戶名@ REALM形式的完整客戶名稱。
• ssh（1），sshd（8）：測試OpenSSL中是否存在ECC NID號，以及它們是否真正有效。 Fedora（至少）有NID_secp521r1不起作用。
• bz＃2173：使用pkg-config --libs為libedit包含正確的-L位置。

版本6.4p1中的新功能：

• 此版本修復了一個安全漏洞：sshd（8） ：修復選擇AES-GCM密碼時在重新加密期間觸發的內存損壞問題。有關此漏洞的完整詳細信息，請訪問：http：//www.openssh.com/txt/gcmrekey.adv

版本6.3p1中的新功能：

• 特點：
• sshd（8）：為sshd（8）添加ssh-agent（1）支持;允許加密的主機密鑰或智能卡上的主機密鑰。
• ssh（1）/ sshd（8）：允許通過現有RekeyLimit選項的第二個參數進行可選的基於時間的重新加密。現在，sshd_config和客戶端都支持RekeyLimit。
• sshd（8）：在用戶身份驗證期間標準化信息記錄。
• 現在的密鑰/證書和遠程用戶名（如果可用）現在記錄在與本地用戶名，遠程主機/端口和正在使用的協議相同的日誌行中的身份驗證成功/失敗消息中。還會記錄證書內容和簽名CA的密鑰指紋。
• 在一行中包含所有相關信息簡化了日誌分析，因為不再需要關聯分散在多個日誌條目中的信息。
• ssh（1）：添加查詢二進製文件中支持的密碼，MAC算法，密鑰類型和密鑰交換方法的功能。
• ssh（1）：支持ProxyCommand = - 允許stdin和stdout已經指向代理的支持案例。
• ssh（1）：允許IdentityFile = none
• ssh（1）/ sshd（8）：向ssh和sshd添加-E選項，將調試日誌附加到指定文件而不是stderr或syslog。
• sftp（1）：使用“reget”添加對恢復部分下載的支持命令和sftp命令行或“獲取”命令使用“-a”的命令行（追加）選項。
• ssh（1）：添加“IgnoreUnknown”配置選項，用於有選擇地抑制由未知配置指令引起的錯誤。
• sshd（8）：添加對通過AuthenticationMethods列出的所需身份驗證方法附加的子方法的支持。
• 錯誤修正：
• sshd（8）：如果在CA密鑰之前的authorized_keys中出現與CA密鑰類型不同的密鑰，則拒絕接受證書。
• ssh（1）/ ssh-agent（1）/ sshd（8）：對定時器使用單調時間源，以便keepalive和rekeying等功能可以在時鐘步驟中正常工作。
• sftp（1）：在確認數據時更新進度表，而不是在發送數據時更新。 BZ＃2108
• ssh（1）/ ssh-keygen（1）：當/ etc / passwd中不存在當前用戶時改進錯誤消息; BZ＃2125
• ssh（1）：重置部分身份驗證成功後嘗試公鑰的順序。
• ssh-agent（1）：在調試模式下清除SIGINT後的套接字文件; BZ＃2120
• ssh（1）和其他：在系統解析器配置損壞的情況下，避免混淆錯誤消息; BZ＃2122
• ssh（1）：為以-N開頭的連接設置TCP nodelay; BZ＃2124
• ssh（1）：對〜/ .ssh / config的權限要求的正確手冊; BZ＃2078
• ssh（1）：修復在TCP連接掛起的情況下，ControlPersist超時不會觸發。 BZ＃1917
• ssh（1）：從控制終端正確地取消ControlPersist主服務器。
• sftp（1）：當使用多字節字符支持編譯時，避免在libedit中崩潰。 BZ＃1990
• sshd（8）：運行sshd -D時，除非我們已明確請求記錄到stderr，否則關閉stderr。 BZ＃1976，
• ssh（1）：修復不完整的bzero; BZ＃2100
• sshd（8）：如果指定了ChrootDirectory並且沒有root權限運行，則記錄並輸出錯誤並退出。
• 回歸測試套件的許多改進。特別是日誌文件現在在失敗後從ssh和sshd保存。
• 修復了一些內存洩漏問題。 bz＃1967 bz＃2096和其他人
• sshd（8）：當a：style附加到請求的用戶名時修復公鑰認證。
• ssh（1）：嘗試清除未完全打開的多路復用創建的通道時，不要致命地退出。 BZ＃2079
• Portable OpenSSH：
• contrib / cygwin / README
的重大改革
• 修復umac.c中針對嚴格對齊體系結構的未對齊訪問。 BZ＃2101
• 如果編譯器支持，則啟用-Wsizeof-pointer-memaccess。 BZ＃2100
• 修復損壞的錯誤命令行報告錯誤。 BZ＃1448
• 如果libcrypto具有所需的支持，則僅包括SHA256和基於ECC的密鑰交換方法。
• 修復嚴格對齊體系結構中SOCKS5動態轉發代碼的崩潰。
• 針對Android的許多可移植性修復：*不要嘗試在Android上使用lastlog; bz＃2111 *回到在沒有本機crypt（）函數的平台上使用openssl的DES_crypt函數; bz＃2112 *測試fd_mask，howmany和NFDBITS，而不是試圖枚舉沒有它們的平台。 bz＃2085 *用S_IWUSR替換未標準化的S_IWRITE，即。 bz＃2085 *為沒有它的平台添加endgrent的null實現（例如Android）bz＃2087 *支持平台，例如Android，缺少struct passwd.pw_gecos。 BZ＃2086

新功能：

• sshd（8）：現在ARM支持Linux seccomp-filter沙箱內核支持它的平台。
• sshd（8）：如果系統頭在編譯時支持它，則不會啟用seccomp-filter沙箱，無論是否可以啟用它。如果運行時系統不支持seccomp-filter，則sshd將回退到rlimit偽沙箱。
• ssh（1）：不要在Kerberos庫中鏈接。客戶端不需要它們，只需在sshd（8）上。 BZ＃2072
• 修復Solaris上的GSSAPI鏈接，該鏈接使用名稱不同的GSSAPI庫。 BZ＃2073
• 使用openssl-1.0.0-fips在系統上修復編譯。
• 修復RPM規範文件中的許多錯誤。

版本5.8p1中的新功能：

• Portable OpenSSH錯誤修正：
• 在啟用SELinux支持時修復編譯失敗。
• 禁用SELinux時，請勿嘗試調用SELinux功能。 BZ＃1851