Configuración de “HPN-SSH - SSH / SCP de alto rendimiento” en Mac OS X

2

Como era de esperar del nombre, HPN-SSH - SSH / SCP de alto rendimiento es un parche de "alto rendimiento" de SSH / SCP.

He instalado una versión más nueva de OpenSSL a través de Homebrew ( brew install openssl ).

He descargado el código fuente (openssh-6.1p1.tar.gz) y apliqué el parche (openssh-6.1p1-hpn13v14.diff.gz), lo compilé y lo instalé en / usr / local /.

Sin embargo, la versión predeterminada de ssh / sshd parece estar codificada en el sistema operativo lo suficiente como para que no consiga que la nueva versión funcione después de editar /System/Library/LaunchAgents/org.openbsd.ssh-agent.plist y /System/Library/LaunchDaemons/ssh.plist .

Recibí este error:

  

ssh_sandbox_child: sandbox_init: dlopen (/usr/lib/libsandbox.1.dylib, 261): imagen no encontrada [preauth]

Encontré una respuesta aquí que sugirió editar /usr/local/etc/sshd_config cambiar de UsePrivilegeSeparation sandbox a UsePrivilegeSeparation yes pero aparentemente no se recomienda (por razones que no entiendo completamente).

En este momento no sé qué hacer a continuación.

  1. ¿Puede alguien explicar por qué UsePrivilegeSeparation yes es una mala idea?

  2. ¿Hay alguna forma de ejecutar HPN-SSH y SSH normal al mismo tiempo? (Estaba pensando en configurar el nuevo sshd en un puerto diferente al sshd regular, pero no estoy seguro si es una buena idea o si hay algo más que debería estar haciendo).

pregunta TJ Luoma 08.06.2013 - 05:51

1 respuesta

1

Tomaré una puñalada en el # 1.

Parece que el sandbox impide que la aplicación produzca nuevos hilos. Por lo que encontré en línea, la funcionalidad de sandbox solo se introdujo recientemente en OpenSSH 5.8, por lo que si alguien encuentra un error en OpenSSH que está limitado solo por sandbox, podría explotar este vector de ataque.

La pregunta es, ¿tienes un equipo de espías del gobierno que decidió que sería el vector de ataque más fácil y que estaría dispuesto a dedicar recursos para encontrar un error desconocido en OpenSSH que solo estaría limitado por este particular sandbox?

En cuanto al # 2 ... no puedo pensar en ninguna razón por la que no funcionaría.

Ah, y acabo de descubrir que MacPorts tiene la versión hpn: sudo port install openssh +hpn

    
respondido por el Indolering 26.11.2013 - 00:40

Lea otras preguntas en las etiquetas