Impostazione di "HPN-SSH – High Performance SSH / SCP" su Mac OS X

Come ci si aspetterebbe dal nome, HPN-SSH – High Performance SSH / SCP è una patch "SSH / SCP" ad alte performance.

Ho installato una versione più recente di OpenSSL tramite Homebrew ( brew install openssl ).

Ho scaricato il codice sorgente (openssh-6.1p1.tar.gz) e ho applicato la patch (openssh-6.1p1-hpn13v14.diff.gz), l'ho compilata e l'ho installato in / usr / local /.

Tuttavia, la versione predefinita di ssh / sshd sembra essere codificata duro nel sistema operativo sufficiente a non poter get la nuova versione dopo la modifica di /System/Library/LaunchAgents/org.openbsd.ssh-agent.plist e /System/Library/LaunchDaemons/ssh.plist .

Stavo ricevendo questo errore:

ssh_sandbox_child: sandbox_init: dlopen (/usr/lib/libsandbox.1.dylib, 261): image non trovata [preauth]

Ho trovato una risposta che ha suggerito di modificare /usr/local/etc/sshd_config per cambiare la UsePrivilegeSeparation sandbox di UsePrivilegeSeparation yes in UsePrivilegeSeparation yes ma che non è apparentemente raccomandato (per motivi che non capisco completamente).

A questo punto non so cosa fare dopo.

  1. Qualcuno può spiegare perché UsePrivilegeSeparation yes è una ctriggers idea?

  2. C'è un modo per eseguire HPN-SSH e SSH regolare contemporaneamente? (Stavo pensando di impostare il nuovo sshd su una port diversa da quella sshd regolare ma non sono sicuro se questa sia una buona idea o se c'è qualcos'altro che dovrei fare).

Prenderò un pugnale al # 1.

Sembra che la sandbox impedisca all'applicazione di produrre nuovi thread. Da quello che ho trovato in linea, la funzionalità sandbox è stata recentemente introdotta in OpenSSH 5.8, quindi se qualcuno trova un bug in OpenSSH limitato solo dalla sandbox, potrebbero sfruttare questo vector di attacco.

La domanda è che hai un gruppo di spettatori governativi che ha deciso che questo sarebbe il più semplice vector d'attacco e sarebbe disposto a dedicare risorse per trovare un bug oscuro in OpenSSH che sarebbe limitato solo da questa particolare sandbox?

Per quanto riguarda il numero 2 … non riesco a pensare a nessun motivo per cui ciò non funzionasse.

Oh, e ho appena capito che MacPorts ha la versione hpn: sudo port install openssh +hpn