Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительными механизмами защиты"	+/–
Сообщение от opennews (??), 01-Июл-24, 18:34
Опубликован релиз OpenSSH 9.8, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Помимо устранения отдельно анонсированной критической уязвимости (CVE-2024-6387), позволяющей добиться удалённого выполнения кода с правами root на стадии до прохождения аутентификации, в новой версии исправлена ещё одна менее опасная уязвимость и предложено несколько существенных изменений, нацеленных на повышение безопасности... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61473
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	–1 +/–
Сообщение от Аноним (2), 01-Июл-24, 19:44
И как таперь к старым linux'ам подключаться?
Ответить | Правка | Наверх | Cообщить модератору

	3. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от Аноним (3), 01-Июл-24, 20:05
	Я, видимо, пропустил, а где пишут, что старые линуксы не будут работать? И что подразумевается под старостью?
	Ответить | Правка | Наверх | Cообщить модератору

	4. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от hshhhhh (ok), 01-Июл-24, 20:39
	даже к старым линуксам могут подключаться одновременно несколько человек. не жадничайте!
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	6. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (6), 01-Июл-24, 20:54
	По telnet
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	7. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Омнонном (?), 02-Июл-24, 01:08
	А как сейчас подключаетесь?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	16. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	–1 +/–
	Сообщение от Соль земли (?), 02-Июл-24, 09:59
	Используя SHA-1, потому что других алгосов там нет, и старые версии не отличают шифрование ключа от алгоса подписи ключа.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	32. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (-), 03-Июл-24, 06:00
	> И как таперь к старым linux'ам подключаться? Используя такой же старый linux :)
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

8. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
Сообщение от Алкоголизм (?), 02-Июл-24, 03:51
А зачем в принципе передавать именно нажатия при авторизации? Разве не проще собрать строку пароля на стороне клиента и попросту отправить её целиком? Либо, раз уж такая особенность протокола и парольной авторизации, то опять же набирать в буфер и передавать пачкой все нажатия, как какой-нибудь парольный менеждер. Разве остались ситуации, где требуется такой контроль ввода? Даже если подключить OTP, то это всё равно отправка другой такой же строки в большинстве случаев.
Ответить | Правка | Наверх | Cообщить модератору

	11. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от Аноним (11), 02-Июл-24, 06:47
	Потому что помимо ввода пароля существует обычная работа с консолью. А там удобнее чтобы работало как с обычным терминалом чем присылался текст и не известно как целевая машина будет работать с этим текстом. А тут если сказали ентер значит ентер, а не текст "нажат ентер". Но злые языки конечно знают что первичной целью был конечно же фингерпринтинг.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Ананим.orig (?), 02-Июл-24, 08:01
	Ввод пароля происходит явно ДО открытия сессии, т.е. это уж точно не "обычная" работа с консолью.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+2 +/–
	Сообщение от ананим.orig (?), 02-Июл-24, 08:05
	И это не говоря о том, что все время думал что по сети летит хэш, а не сам пароль
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	–2 +/–
	Сообщение от anonistrambler.ru (?), 02-Июл-24, 09:39
	Зачем хэш, это же закрытыи канал?
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от ананим.orig (?), 02-Июл-24, 12:50
	А зачем слать пароль, если сравнивать все равно будет с хэшем из shadow/..? Плюс это практика проверенная десятилетиями
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от ананим.orig (?), 02-Июл-24, 13:27
	моя неправда: согласно rfc https://datatracker.ietf.org/doc/html/rfc4252#section-8 вполне может быть и plaintext с предварительной конвертацией и нормализацией при необходимости. > Note that the 'plaintext password' value is encoded in ISO-10646 UTF-8. в любом случае все это (логин, пароль) уходит одним пакетом, а не по нажатию каждой клавиши (с таймаутaми) т.е. никакого «передавать именно нажатия при авторизации» не происходит — с чего ветка обсуждения и началась
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 02-Июл-24, 13:28
	Какой хэш? В зависимости от настроек pam на принимающей стороне может быть различный способ проверки пароля. /etc/shadow, ldap, свой велосипед и т.д.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	31. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	–1 +/–
	Сообщение от ананим.orig (?), 03-Июл-24, 05:27
	1. метод хеширования хранится вместе с хэшем в самом его начале, так называемый prefix (man 5 crypt). Формат примерно такой - $y$…………: $1$: MD5, $5$: SHA-256, $6$: SHA-512 sha512crypt, $gy$: gost-yescrypt, $y$: yescrypt … В современных бэкэндах (/etc/shadow, ldap, samba) хэши сохраняются именно в таком формате. Хранение самого пароля в планарном виде считается моветоном. 2. Так что передавать по сети сам пароль нет необходимости, достаточно договорится о методе хэширования (что обычно и происходит) 3. И да, в ssh может(!) передаваться логин/пароль открыто , о чем я и написал выше в #21. Но  это не имеет отношения к тому что обсуждали, потому что все равно идет одним пакетом, а не пакет на каждое нажатие клавиши
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 03-Июл-24, 11:48
	> 1. метод хеширования хранится вместе с хэшем в самом его начале, так > называемый prefix (man 5 crypt). > Формат примерно такой - $y$…………: > $1$: MD5, $5$: SHA-256, $6$: SHA-512 sha512crypt, $gy$: gost-yescrypt, $y$: yescrypt   Это просто id хэша, далее там ещё salt идёт. Но это здесь не важно. Потому как это справедливо только для shadow и т.п. > … > В современных бэкэндах (/etc/shadow, ldap, samba) хэши сохраняются именно в таком формате. А в ldap и mysql хранится так, как захочет соответсвующая pam-либа. Там другой формат может быть. > Хранение самого пароля в планарном виде считается моветоном. Что такое "планарный вид"? Чистый вид? Никто и не говорит про хранение в таком виде. Речь идёт про передачу внутри защищённого канала во время аутентификации. > 2. Так что передавать по сети сам пароль нет необходимости, достаточно договорится > о методе хэширования (что обычно и происходит)   Не всегда. Есть всякие сложные схемы аутентификации (читай про gssapi и kerberos). И насколько я знаю, ничего такого при передаче пароля не происходит - он идёт чистым по зашифрованному каналу. По крайне мере раньше так было. И это адекватно. Потому как, если я захочу использвать у себя какой-нибудь распоследний blake3 для хранения хэшей паролей, а на машине с ssh-клиентом этого нет, то всё что ли? Финита ля комедия. Зайти не сможем.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	–1 +/–
	Сообщение от ананим.orig (?), 03-Июл-24, 16:53
	разумеется вы можете использовать все что угодно, хоть свой pam-модуль написать но чтобы это работало именно с ssh, нужно чтобы он поддерживал передачу именно пароля (и была включена поддержка pam - man  sshd_config) проверить  можно как-то так (во 2 строке - available SSH authentication methods): > $ ssh -o PreferredAuthentications=none -o NoHostAuthenticationForLocalhost=yes localhost > test@localhost: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). > или > $ ssh -p 222 -o PreferredAuthentications=none -o NoHostAuthenticationForLocalhost=yes localhost > test@localhost: Permission denied (publickey,keyboard-interactive). > А в ldap и mysql хранится так, как захочет соответсвующая pam-либа. Там другой формат может быть. не либа, а тот, кто это всё настраивал :D может, но для этого придется собрать свою, «уникальную» во всех отношениях конфигурацию (аля 90-е) именно поэтому в samba придумали "samba-tool user getpassword --decrypt-samba-gpg" и с AD это не прокатит - keytab file придумали не просто так. И вообще, о чем вы спорите то? > Речь идёт про передачу внутри защищённого канала во время аутентификации да, если вы так настроите свою систему - свободу творчества никто не отменял
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 03-Июл-24, 17:27
	> разумеется вы можете использовать все что угодно, хоть свой pam-модуль написать > но чтобы это работало именно с ssh, нужно чтобы он поддерживал передачу > именно пароля Он это давно поддерживает :-). Вряд ли найдётся много современных установок sshd без UsePAM yes в конфиге. Это просто не удобно. Про передачу пароля - ну об этом, вроде, и речь изначально. Странно было бы обсуждать случай с передачей пароля без активации аутентификации по паролю на стороне sshd, не так ли? > не либа, а тот, кто это всё настраивал :D В смысле не либа? А что организует проверку пользователя/пароля на стороне sshd? Различные pam-модули - .so-файлы. Плагины, модули - пофигу как назвать. Это либа, которая связывается налету с программой. > И вообще, о чем вы спорите то? О том, что пароль передаётся в чистом виде и уже на стороне sshd проверяется pam'ом по выбранной схеме. Вот о чём. И помоему это очевидно настолько, что не понятно о чём тут спорить. sshd понятия не имеет какая схема хранения паролей и не должен. В этом смысл pam. В ответ на: "И это не говоря о том, что все время думал что по сети летит хэш, а не сам пароль" и "А зачем слать пароль, если сравнивать все равно будет с хэшем из shadow/..?"
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от ананим.orig (?), 04-Июл-24, 01:26
	> Про передачу пароля - ну об этом, вроде, и речь изначально. нет. про передачу нажатия клавиш остальное - переливание из пустого в порожнее
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 04-Июл-24, 14:01
	>> Про передачу пароля - ну об этом, вроде, и речь изначально. > нет. про передачу нажатия клавиш Значит показалось и это: "А зачем слать пароль, если сравнивать все равно будет с хэшем из shadow/..?" кто-то другой писал. > остальное - переливание из пустого в порожнее Это я уже заметил :-).
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от solardiz (ok), 10-Июл-24, 16:23
	Речь о паролях, передаваемых внутри сессии, "например, при вводе паролей в su или sudo." А при парольной аутентификации в самом SSH, да, обычно (кроме редко используемого режима keyboard-interactive) пароль передается одной строкой. С этим тоже когда-то была уязвимость - можно было определить длину пароля, см. https://www.openwall.com/articles/SSH-Traffic-Analysis
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

10. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	–1 +/–
Сообщение от Аноним (11), 02-Июл-24, 06:42
А чего в эту тему не написали ссылку про связи опенбзд с ФБР? https://www.opennet.ru/opennews/art.shtml?num=28998
Ответить | Правка | Наверх | Cообщить модератору

	52. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (52), 08-Июл-24, 23:47
	2010? Вовремя откопали.
	Ответить | Правка | Наверх | Cообщить модератору

17. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
Сообщение от Соль земли (?), 02-Июл-24, 10:09
Вынести бы ещё весь функционал в библиотеку, чтобы отпала необходимость в libssh/libssh2.
Ответить | Правка | Наверх | Cообщить модератору

23. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
Сообщение от _oleg_ (ok), 02-Июл-24, 13:30
Вот красавцы. Как к старым коммутаторам подключаться-то? Как они задолбали уже со своей псевдозаботой о моей безопасности. Ну выводите вы предупреждение при использовании dsa, но убирать совсем - идиоты.
Ответить | Правка | Наверх | Cообщить модератору

	25. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от Аноним (-), 02-Июл-24, 15:46
	> Вот красавцы. Как к старым коммутаторам подключаться-то? Как они задолбали уже со > своей псевдозаботой о моей безопасности. Ну выводите вы предупреждение при использовании > dsa, но убирать совсем - идиоты. Так подключайся к старым коммутаторм старой версией либы. Они же не удалили предыдущие версии. А то тебе послушать - сидели бы до сих пор на первопне
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 02-Июл-24, 17:03
	>> Вот красавцы. Как к старым коммутаторам подключаться-то? Как они задолбали уже со >> своей псевдозаботой о моей безопасности. Ну выводите вы предупреждение при использовании >> dsa, но убирать совсем - идиоты. > Так подключайся к старым коммутаторм старой версией либы. > Они же не удалили предыдущие версии. > А то тебе послушать - сидели бы до сих пор на первопне Да ты ж моё золото. А где взять эту старую версию на новом дистре?
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (27), 02-Июл-24, 20:48
	./configure make
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от _oleg_ (ok), 03-Июл-24, 11:07
	> ./configure > make Ну я почему-то другого и не ожидал. Спасибо, не надо.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (27), 03-Июл-24, 13:00
	Ну, я, помню, какое-то время поддерживал ppa для openssl+alpn+nginx - пока не подошел EOL для дистрибутивов, где это было актуально. Можете точно так же поддерживать пакеты для своего любимого дистрибутива. А если по простому, то не вижу проблем, если make install в какой-нибудь /opt.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от _oleg_ (ok), 03-Июл-24, 13:23
	> Ну, я, помню, какое-то время поддерживал ppa для openssl+alpn+nginx - пока не > подошел EOL для дистрибутивов, где это было актуально. Можете точно так > же поддерживать пакеты для своего любимого дистрибутива. > А если по простому, то не вижу проблем, если make install в > какой-нибудь /opt. Я уже понял, что не видишь. А они есть, между тем. Буквально через пару новых версий gcc/glibc/anylib старые проекты перестают собираться и их приходится править самому и это не всегда тривиально. У меня достаточно плясок с ./configure && make install на разных машинах по различным причинам на регулярной основе и так. Ещё +1 к этому списку никакого желания получать нет.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от Роман (??), 02-Июл-24, 21:19
	у системного администратора
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	30. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (-), 02-Июл-24, 21:32
	> Да ты ж моё золото. А где взять эту старую версию на новом дистре? Возьми старый дистр. Заодно как раз разломают и тебя и коммутатор чтобы 2 раза не вставать.
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	36. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 03-Июл-24, 11:13
	> Возьми старый дистр. Заодно как раз разломают и тебя и коммутатор чтобы > 2 раза не вставать. Какой старый? Куда я тебе его поставлю? Как на новые тогда ходить коммутаторы? Как их сломают через ssh, когда управление через отдельный vlan?
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (45), 05-Июл-24, 01:47
	> Какой старый? Любой, по вкусу. > Куда я тебе его поставлю? Да куда угодно. На правах кэпа: на виртуалку! > Как на новые тогда ходить коммутаторы? Допустим из соседней виртуалки. А, это у эксперта мирового класса видимо нерешаемая задача? Ну тогда это вообще к вашему манагеру вопросы, зачем им такие овощи с таким скилом, не способные решить простейшую проблему. > Как их сломают через ssh, когда управление через отдельный vlan? Вы так железно уверены что у вас там в вашем уютном интранетикеводится? Судя по тупым вопросам это напрасная уверенность.
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 05-Июл-24, 13:13
	> Вы так железно уверены что у вас там в вашем уютном интранетикеводится? > Судя по тупым вопросам это напрасная уверенность. Судя по тому, что ты пишешь, тупой здесь только ты. Уверены, не уверены - что ты за чушь пишешь? Какие нахрен ВМ? Один ./configure && make предлагает, другой тьму ВМ городить, между которыми потом бегать, что бы найти ту, которая нужна для конкретного коммутатора. Что за бред? Вы, вообще, сами хоть раз что-то подобное делали с поддержкой этого самого в несколько лет хотя бы? Ты хоть понимаешь, что это гемор? А учитывая, что о том, что ты уже не можешь попасть на коммутатор ты узнаёшь когда на него надо срочно зайти, это вообще пипец. Ты понимаешь, что ты пишешь чушь? Ты серьёзно предполагаешь, что у провайдера больше проблем/дел нет, как играться с установкой и поддержкой разных версий ssh? Откуда вы такие вылупляетесь, вообще...
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от glad_valakas (-), 06-Июл-24, 09:55
	> у провайдера больше проблем/дел нет, как играться с установкой и поддержкой разных версий ssh? наймите кого-нибудь кто умеет. 7000 руб/час норм оплата.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Sem (??), 07-Июл-24, 00:41
	Оставь одну старую версию. Сделай тунель куда тебе надо, ходи через него. С ВМ, без ВМ. Докер себе сделай, если виртуалка для тебя - много ресурсов. Чего кричать то? Почему DSA убрали, в новости написали -  не хотят поддерживать старое днище.
	Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

	54. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (-), 10-Июл-24, 17:05
	> Судя по тому, что ты пишешь, тупой здесь только ты. Уверены, не > уверены - что ты за чушь пишешь? Какие нахрен ВМ? Один > ./configure && make предлагает, другой тьму ВМ городить, А в чем проблема? У нормальных админов это streamlined, вкатить нужное дистро на энную виртуалку не займет много времени. Более того, с этой задачей накрайняк справится даже копеечный джун за несколько часов, даже если он не умеет ничего кроме next-next-next. После чего копии этой VM надолго решат ту траблу в масштабах хоть целой корпорации. А если у вас IT департамент в дауне настолько что не может такую простую проблему решить, очевидно это вопрос к менеджменту. На тему увольнения оттуда с треском всяких нерюхов которые не могут даже проблемы уровня нулевого джуна разрулить и вместо этого - пускают пузыри, да еще смеют такой уровень на публику казать. > бегать, что бы найти ту, которая нужна для конкретного коммутатора. Видимо этим, с пальмы, никто не сказал что можно запускать более 1 VM и бегать никуда не придется. > Что за бред? Вы, вообще, сами хоть раз что-то подобное делали с > поддержкой этого самого в несколько лет хотя бы? Прямо сейчас у меня запущено на вот этом воркстейшне около дюжины VM. И одна из причин это делать в том числе и изолирование разных рабочих и хобийных проектов друг от друга. Так что даже если что-то разнесут злые хакеры, урон ограничится только пострадавшим проектом. А остальное они вообще никогда не увидят. Да и атака будет скомпенсирована сносом VM или откатом снапшота. Сильно быстрее чем то что вы там могли изобразить в таких случаях. > Ты хоть понимаешь, что это гемор? Я понимаю что есть те кто не умеет в современный менеджмент инфраструктуры и эффективные подходы. Виртуалку под внутренние нужды можно даже не апдейтить особо и проч, только слушающие сервисы придушить. Хуже чем DSA и SSH лохматой версии все равно не станет, а в самом пиковом случае урон ограничен этой VM и тем что с нее менеджилось. А не вообще всем, от и до. > А учитывая, что о том, что ты уже не можешь попасть на коммутатор ты узнаёшь > когда на него надо срочно зайти, это вообще пипец. Ты понимаешь, что ты пишешь чушь? Я понимаю что у вас вашей чудной инсталяции з@дница с менеджментом и инфраструктурой, если все работает вот так. > Ты серьёзно предполагаешь, что у провайдера больше проблем/дел нет, как играться > с установкой и поддержкой разных версий ssh? Откуда вы такие вылупляетесь, вообще... А у вас еще и выбор, типа, будет? Кто же это вам за свой счет вашу некромансию то будет вечно оплачивать? Мир ради на вас не встанет на паузу. И вам как-то придется адаптироваться к изменчивости оного. Если вы не можете - чтож, то что не может адаптироваться к изменениям, вымирает. Так было миллиарды лет. Так есть. Так будет. Возможно, вы просто ошибка эволюции. Но этот мир жесток. Никаких скидок. Не можете адаптироваться - гудбай, динос.
	Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

	55. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 10-Июл-24, 17:19
	>> бегать, что бы найти ту, которая нужна для конкретного коммутатора. > Видимо этим, с пальмы, никто не сказал что можно запускать более 1 > VM и бегать никуда не придется. Ох... Даже не знаю смеяться или плакать. Я об этом и писал, что бегать между ВМ или контейнерами это гемор, когда нужно быстро попасть на железку. Что ж вы такие буквальные-то все... Я уже писал, что узнаешь ты о том, что не можешь попасть на какую-то железку как раз в тот момент, когда на неё нужно сейчас же зайти и некогда устраивать пляски с make и новой ВМ/контейнером. Но тут понабежали админы localhost'а, которые никогда не поддерживали подобную инфраструктуру с костылями годами и не знают что это такое, и начали меня смешить какими-то очевидными вещами. Вроде, "надо ./configure && make" или "да просто ВМ поставь". Пипец. >> Что за бред? Вы, вообще, сами хоть раз что-то подобное делали с >> поддержкой этого самого в несколько лет хотя бы? > Прямо сейчас у меня запущено на вот этом воркстейшне около дюжины VM. > И одна из причин это делать в том числе и изолирование > разных рабочих и хобийных проектов друг от друга. Так что даже > если что-то разнесут злые хакеры, урон ограничится только пострадавшим проектом. А > остальное они вообще никогда не увидят. Да и атака будет скомпенсирована > сносом VM или откатом снапшота. О, господи...
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 10-Июл-24, 17:26
	> А у вас еще и выбор, типа, будет? Кто же это вам > за свой счет вашу некромансию то будет вечно оплачивать? Мир ради > на вас не встанет на паузу. И вам как-то придется адаптироваться > к изменчивости оного. Если вы не можете - чтож, то что > не может адаптироваться к изменениям, вымирает. Так было миллиарды лет. Так > есть. Так будет. Возможно, вы просто ошибка эволюции. Но этот мир > жесток. Никаких скидок. Не можете адаптироваться - гудбай, динос. Вот тебе это писать-то не лень было? Ты так и не понял о чём речь даже. Ты понимаешь хоть, что тут как бы речь про ответственность? ssh уже давно считается неким стандартом для входа на всякие железки. И он там нихера не обновляется как это себе могут представлять разрабы openssh. И хорошо бы у владельца такой железки иметь возможность на неё попасть и через 5 и через 10 лет. И поэтому, если авторам openssh моча в голову ударила, что что-то не безопасно, то стоит просто об этом написать при попытке соединиться с вопросом "Proceed (y/N)", а не лишать владельцев железки возможности на неё зайти. Это уже чуть больше, чем вопрос безопасности. Ты понимаешь это?
	Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

	44. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от r1 (?), 04-Июл-24, 19:06
	Давить вендора чтоб обновил софт коммутатора.
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

	47. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от _oleg_ (ok), 05-Июл-24, 13:18
	> Давить вендора чтоб обновил софт коммутатора. Да это только в теории работает. Если баги в старых моделях фиксят, то уже спасибо. А какой-то там ssh, не влияющий на основную работу железки - забьют. Мы уже, в принципе, идём потихоньку к тому, что бы ходить на коммутаторы через telnet. Учитывая, что управлящий vlan огорожен от всего остального, это адекватный выход. Потому как ~/.ssh/config с исключениями для шифров по ip ширится от года к году.
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+1 +/–
	Сообщение от mausglov (?), 06-Июл-24, 12:33
	Сделайте Docker контейнер со старым Линуксом для этой цели, делов-то...
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

	50. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от anonymous (??), 06-Июл-24, 15:25
	Хакеры и солонки
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

24. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
Сообщение от Аноним (24), 02-Июл-24, 14:23
>Данные о нажатиях позволяют снимать биометрию пользователя.
Ответить | Правка | Наверх | Cообщить модератору

29. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	–1 +/–
Сообщение от Роман (??), 02-Июл-24, 21:21
> Таким образом исполняемый файл sshd теперь содержит минимальную функциональность, необходимую для приёма нового сетевого соединения и запуска sshd-session для обработки сеанса. Выглядит как можно заменить на socket activation unit [в системд] над sshd-session, такая же минимальная функциональность. Кто специалист, подскажите, чем отличается?
Ответить | Правка | Наверх | Cообщить модератору

	33. "Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительн..."	+/–
	Сообщение от Аноним (-), 03-Июл-24, 06:03
	> Выглядит как можно заменить на socket activation unit [в системд] над sshd-session, > такая же минимальная функциональность. Кто специалист, подскажите, чем отличается? В опенбсде его нету - так что нате вам с лопаты вон те чудеса вместо этого.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема