Configurazione di "HPN-SSH - SSH / SCP ad alte prestazioni" su Mac OS X

2

Come ci si aspetterebbe dal nome, HPN-SSH - SSH / SCP ad alte prestazioni è una patch "ad alte prestazioni" di SSH / SCP.

Ho installato una versione più recente di OpenSSL tramite Homebrew ( brew install openssl ).

Ho scaricato il codice sorgente (openssh-6.1p1.tar.gz) e applicato la patch (openssh-6.1p1-hpn13v14.diff.gz), l'ho compilato e installato su / usr / local /.

Tuttavia, la versione predefinita di ssh / sshd sembra essere codificata nel sistema operativo abbastanza da non riuscire a far funzionare la nuova versione dopo aver modificato /System/Library/LaunchAgents/org.openbsd.ssh-agent.plist e /System/Library/LaunchDaemons/ssh.plist .

Stavo ricevendo questo errore:

ssh_sandbox_child: sandbox_init: dlopen(/usr/lib/libsandbox.1.dylib, 261): image not found [preauth]

Ho trovato una risposta qui che suggeriva di modificare /usr/local/etc/sshd_config per cambiare UsePrivilegeSeparation sandbox in UsePrivilegeSeparation yes ma apparentemente non è raccomandato (per ragioni che non capisco del tutto).

A questo punto non so cosa fare dopo.

  1. Qualcuno può spiegare perché UsePrivilegeSeparation yes è una cattiva idea?

  2. C'è un modo per far funzionare contemporaneamente HPN-SSH e SSH normale? (Stavo pensando di impostare il nuovo sshd su una porta diversa rispetto al normale sshd , ma non sono sicuro che sia una buona idea o se c'è qualcos'altro che dovrei fare.)

posta TJ Luoma 08.06.2013 - 05:51
fonte

1 risposta

1

Prenderò una pugnalata al # 1.

Sembra che la sandbox impedisca all'applicazione di produrre nuovi thread. Da quello che ho trovato online, la funzionalità sandbox è stata introdotta solo recentemente in OpenSSH 5.8, quindi se qualcuno trova un bug in OpenSSH che è limitato solo dalla sandbox, potrebbe sfruttare questo vettore di attacco.

La domanda è: hai una squadra di agenti governativi che ha deciso che questo sarebbe stato il vettore di attacco più semplice e che sarebbe disposto a dedicare risorse per trovare un bug oscuro in OpenSSH che sarebbe limitato solo da questo particolare sandbox?

Per quanto riguarda il n. 2 ... non riesco a pensare a nessuna ragione per cui non funzionerebbe.

Oh, e ho appena capito che MacPorts ha la versione hpn: sudo port install openssh +hpn

    
risposta data 26.11.2013 - 00:40
fonte

Leggi altre domande sui tag