1.10.0 -> 1.10.1 ---------------- - Allgemeine Veränderungen ------------------------ - Version von 1.10.0 auf 1.10.1 geändert - Folgende Softwareversionen wurde gewechselt: openssh von Version 4.6p1 auf 4.7p1 1.9.0 -> 1.10.0 --------------- - Allgemeine Veränderungen ------------------------ - Version von 1.9.0 auf 1.10.0 geändert - Status von testing auf stable geändert - Tippfehler in den Releasenotes beseitigt 1.8.3 -> 1.9.0 -------------- - Allgemeine Veränderungen ------------------------ - Version von 1.8.3 auf 1.9.0 geändert - Status von stable auf testing geändert - Erforderliche eisfair base Version auf 1.3.2 geändert - Erforderliche libssl Version auf 1.2.5 (OpenSSL 0.9.8e) geändert - Folgende Softwareversionen wurde gewechselt: openssh von Version 4.5p1 auf 4.6p1 - Veränderungen für sshd ---------------------- - Erweiterung der Konfigurationsprüfung Wenn SSH_PASSWDAUTH auf 'no' gesetzt wurde, so mußte SSH_USEPAM ebenfalls auf 'no' gesetzt werden. Wurde dies nicht gemacht, so war ein Login mit Passwort weiterhin möglich. Eine entsprechende Prüfung wurde hinzugefügt, bei der ggf. die Fehlermeldung "SSH_PASSWDAUTH='no' requires SSH_USEPAM='no'" angezeigt wird. - Erweiterung der Sicherheit Wurde über SSH_ENABLE_SFTP='no' eine Nutzung des Subsystems sftp verboten, so konnten Tools wie FileZilla und WinSCP über einen direkten Start von /sbin/sftp-server das Verbot von sftp umgehen. Jetzt wird sftp als /sbin/sftp-server.subsystem ausgeliefert und nur bei SSH_ENABLE_SFTP='yes' ein entsprechender Link /sbin/sftp-server -> /sbin/sftp-server.subsystem angelegt. Achtung: Die Protokolle 'SFTP (allow SCP fallback)' und 'SCP' bei WinSCP simulieren die Existenz von sftp und funktionieren (leider?) weiterhin. Standardgemäße Tools, wie das Linux Commandline sftp waren von diesem Problem auch bisher nicht betroffen sondern lieferten bei SSH_ENABLE_SFTP='no' eine Fehlermeldung: "Request for subsystem 'sftp' failed on channel 0" - Veränderungen für den pure-ftpd ------------------------------- - Die Optionen FTP_USER_BANDWIDTH und FTP_ANONYMOUS_BANDWIDTH waren falsch dokumentiert konnten bisher auch gleichzeitig gesetzt werden. FTP_USER_BANDWIDTH (Option -T des pure-ftpd) und FTP_ANONYMOUS_BANDWIDTH (Option -t des pure-ftpd) können aber nicht gleichzeitig gesetzt sein, da der pure-ftpd beide Optionen auf die gleichen Variablen abbildet. Es kommt darauf an, welche Option -T oder -t zuletzt angegeben wird. Es gilt Folgendes: FTP_USER_BANDWIDTH wirkt auf normale Unix User, den User anonymous und virtuelle User (wenn für diese nicht manuell über pure-pw usermod spezielle Einstellungen gemacht werden). FTP_ANONYMOUS_BANDWIDTH wirkt nur auf den User anonymous. Das gleichzeitig Setzen von FTP_USER_BANDWIDTH und FTP_ANONYMOUS_BANDWIDTH wird jetzt verhindert. Die Dokumentation in /inet/etc/config.d und in der Paket- dokumentation wurde korrigiert. 1.8.2 -> 1.8.3 -------------- - Allgemeine Veränderungen ------------------------ - Version von 1.8.2 auf 1.8.3 geändert - Folgende Softwareversionen wurde gewechselt: tftpd von Version 0.43 auf 0.48 - Veränderungen für xinetd ------------------------ Die Servicedateien in /etc/xinetd.d werden jetzt nur noch neu generiert, wenn sie Elemente aus einer .expert Datei enthalten bzw. wenn eine .expert Datei für den entsprechenden Service existiert. Bisher wurden die Servicedateien unnötigerweise bei jedem Start des xinetd neu generiert. 1.8.1 -> 1.8.2 -------------- - Allgemeine Veränderungen ------------------------ - Version von 1.8.1 auf 1.8.2 geändert - Folgende Softwareversionen wurde gewechselt: tftpd von Version 0.42 auf 0.43 - Erweiterung der Dokumentation von SSH_PUBLIC_KEY_N. Danke an Jean Wolter. 1.8.0 -> 1.8.1 -------------- - Allgemeine Veränderungen ------------------------ - Version von 1.8.0 auf 1.8.1 geändert - Folgende Softwareversionen wurde gewechselt: openssh von Version 4.4p1 auf 4.5p1 1.7.3 -> 1.8.0 -------------- - Allgemeine Veränderungen ------------------------ - Version von 1.7.3 auf 1.8.0 geändert - Status von testing auf stable geändert - Tippfehler in den Releasenotes beseitigt 1.7.2 -> 1.7.3 -------------- - Allgemeine Veränderungen ------------------------ - Ein Fehler (falsche Reihenfolge beim Löschen/Anlegen von Gruppe und User) bei den Änderungen für User und Gruppe sshd wurde beseitigt. - Bei der Bearbeitung der .expert Files wird jetzt eine Meldung der Form "processing .expert" ausgegeben. 1.7.1 -> 1.7.2 -------------- - Allgemeine Veränderungen ------------------------ - Folgende Softwareversionen wurde gewechselt: openssh von Version 4.3p2 auf 4.4p1 Da openssh Version 4.4p1 unabhängig davon ob UsePrivilegeSeparation auf yes gesetzt ist die Existenz des Users sshd prüft, wird der User sshd und die Gruppe sshd schon bei der Installation des inet Paketes angelegt (Siehe Variable SSH_ENABLE_PRIV_SEPARATION). Bisher wurde als Group-ID und User-ID 27 genutzt. Dies entspricht nicht dem eisfair Standard, daher wird jetzt Group-ID 65 und User-ID 71 genutzt. Ein existierender User sshd bzw. eine existierende Gruppe sshd wird gelöscht, dann mit der neuen ID angelegt. 1.7.0 -> 1.7.1 -------------- - Allgemeine Veränderungen ------------------------ - pure-ftpd und openssh neu übersetzt, wegen des Wechsels zu OpenSSL 0.9.8c 1.6.3 -> 1.7.0 -------------- - Allgemeine Veränderungen ------------------------ - Folgende Softwareversionen wurde gewechselt: tftpd von Version 0.41 auf 0.42 openssh 4.3p2 neu übersetzt und gebunden mit OpenSSL 0.9.8b - Tippfehler in /etc/init.d/inet_shlib korrigiert - Veränderungen für pure-ftpd --------------------------- - pure-ftpd ist nun mit der Option --with-mysql konfiguriert - Default für START_FTP ist jetzt 'no' - Es wird geprüft, ob der Kernel IPv6 unterstützt. Fall erforderlich wird der Parameter '-6' an die Paremeterliste des pure-ftpd angefügt. (Siehe: http://linuxreviews.org/howtos/networking/IPv6-LinuxHowto/en/c719.html#AEN728) - Veränderungen für sshd ---------------------- - Ein heftiger Fehler in /etc/init.d/sshd wurde beseitigt. Die Prozedur validate_sshd_config zerstörte den Inhalt von /etc/sshd_config beim Prüfen von SSH_LISTEN_ADDR_N bzw. SSH_LISTEN_ADDR_#. Dank an Christian Treczoks, der diesen Fehler entdeckte. - Die Erstellung der Datei /root/.ssh/authorized_keys wurde geändert. Enthält eine Datei aus SSH_PUBLIC_KEY_# kein Newline, so wird ein Newline angefügt. - Veränderungen für xinetd ------------------------ - Es wurde die Bearbeitung sog. .expert Dateien implementiert. Falls eine Datei .expert (z.B. ftp.expert) im Verzeichnis /etc/xinetd.d existiert, so wird diese Datei in die originale Servicedatei eingefügt. Das folgende Beispiel zeigt, was passiert. Originale Servicedatei /etc/xinetd.d/ftp service ftp { server = /usr/sbin/pure-ftpd server_args = -l unix -A -E -k 95% -I 15 -c 20 -S 21 socket_type = stream protocol = tcp wait = no user = root disable = no } Expertdatei /etc/xinetd.d/ftp.expert per_source = 2 only_from = 192.168.1.11 Zusammengefügte Datei /etc/xinetd.d/ftp service ftp { #B Expert per_source = 2 only_from = 192.168.1.11 #E Expert server = /usr/sbin/pure-ftpd server_args = -l unix -A -E -k 95% -I 15 -c 20 -S 21 socket_type = stream protocol = tcp wait = no user = root disable = no } Die Datei /etc/xinetd.d/ftp.expert wurde in die Datei /etc/xinetd.d/ftp nach der öffnenden geschweiften Klammer aber vor dem Inhalt der Originaldatei, eingefügt. Zwei spezielle Kommentarzeilen wurde hinzugefügt #B Expert #E Expert Siehe: http://www.die.net/doc/linux/man/man5/xinetd.conf.5.html für eine Beschreibung der xinetd Konfigurationsdatei. Das obige beispiel limitiert den Zugriff via ftp auf eine einzige IP-Adresse (only_from = 192.168.1.11) und limitiert zusätzlich die Anzahl der Verbindungen auf 2 (per_source = 2). Achtung: Bitte vorsichtig mit dieser Option umgehen, da es so sehr einfach ist eine fehlerhafte Konfigurations- datei für den xinetd zu erzeugen. Bitte in Datei /var/log/messages nachschauen, ob der xinetd erfolgreich startet. Bitte auf keinen Fall die beiden speziellen Kommentar- zeilen verändert oder löschen. Sie sind sehr wichtig, wenn .expert Dateien gelöscht bzw. verändert werden und dadurch natürlich auch die Inhalte der Servicedatei geändert werden müssen. Die Behandlung der .expert Dateien wird bei jedem Start des xinetd durchgeführt (z.B. bei /etc/init.d/xinetd start). Die Idee für .expert Dateien stammt von Tobias Becker. 1.6.2 -> 1.6.3 -------------- - Allgemeine Veränderungen ------------------------ - Folgende Softwareversionen wurde gewechselt: pureftpd von Version 1.0.20 auf 1.0.21 1.6.1 -> 1.6.2 -------------- - Allgemeine Veränderungen ------------------------ - Folgende Softwareversionen wurde gewechselt: openssh von Version 4.3p1 auf 4.3p2 1.6.0 -> 1.6.1 -------------- - Allgemeine Veränderungen ------------------------ - Folgende Softwareversionen wurde gewechselt: openssh von Version 4.2p1 auf 4.3p1 - Tippfehler in /var/install/config.d/inet_update.sh korrigiert. 1.5.5 -> 1.6.0 -------------- - Allgemeine Veränderungen ------------------------ - Version von 1.5.5 auf 1.6.0 geändert - Status von testing auf stable geändert 1.5.4 -> 1.5.5 -------------- - Allgemeine Veränderungen ------------------------ - Das Paket inet benötigt nun mindestens die Version 1.1.5 des Paketes base. - Folgende Softwareversionen wurde gewechselt: zlib von Version 1.2.2 auf 1.2.3 openssh von Version 4.1p1 auf 4.2p1 openssl von Version 0.9.7g auf 0.9.8a xinetd von Version 2.3.13 auf 2.3.14 tftpd von Version 0.40 auf 0.41 - Unnötige Benutzung der Variablen ECHO_MODE enfernt in /etc/init.d/inet_shlib /etc/init.d/pure-ftpd /etc/init.d/sshd /etc/init.d/xinetd - Fehlerhafte Zeile entfernt aus /var/install/menu/setup.services.inet.menu - Fehler in /var/install/deinstall/inet entfernt Ein Menüeintrag wurde beim Deinstallieren nicht entfernt - Problem bei der Benutzung von ACLs in /tmp/install.sh korrigiert (procedure verify_host_keys) - Korrektur in /var/install/packages/inet libwrap jetzt als nicht mehr als - Die folgende Konfigurationsvariante wurde bisher nicht korrekt behandelt: START_SSH='no' aber SSHD_START_METHOD='xi' und START_FTP='no' aber FTP_START_METHOD='xi' In diesem Fall wurden die Dienste fälschlicherweise doch über den xinetd bereitgestellt. Der Fehler wurde beseitigt. - Veränderungen für sshd ---------------------- - Alle Programme aus dem OpenSSH Paket benutzen jetzt die shared Library libcrypto.so.0.9.8 anstelle der statischen Library libcrypto.a. Dies spart eine Menge Platz (ca. 3 MByte auf der Platte und fast 1 MByte in der Paketdatei inet.tar.gz). 1.5.3 -> 1.5.4 -------------- - Allgemeine Veränderungen ------------------------ - Das Paket inet benötigt nun mindestens die Version 1.1.1 des Paketes base. Das Paket inet benötigt das Paket libwrap7-6. - Die Menüs wurden in das neue XML-Format konvertiert. Eine Reihe dadurch jetzt überflüssiger Shell-Skripts wurde entfernt. - Folgende Softwareversionen wurde gewechselt: zlib von Version 1.2.1 auf 1.2.2 openssh von Version 3.9p1 auf 4.1p1 openssl von Version 0.9.7e auf 0.9.7g - Die folgenden Bibliotheken sind nicht mehr im inet Paket enthalten: libcrypto.so.0.9.7 sowie die Links libcrypto.so libcrypto.so.0 libcrypto.so.0.9.6 libssl.so.0.9.7 sowie die Links libssl.so libssl.so.0 libssl.so.0.9.6 libz.so.1.2.1 sowie die Links libz.so libz.so.1 - Die folgenden Dateien sind nicht mehr im inet Paket enthalten: /usr/bin/openssl /usr/bin/ssl/c_hash /usr/bin/ssl/c_info /usr/bin/ssl/c_issuer /usr/bin/ssl/c_name /usr/bin/ssl/c_rehash /usr/bin/ssl/c89.sh Bitte installieren Sie das CERTS Paket, wenn diese Dateien erforderlich sind. - Veränderungen für den sshd -------------------------- - Als Standardwert für SSH_LISTEN_ADDR_N wird jetzt der Wert '0' genutzt. Bei dieser Angabe "lauscht" der sshd auf allen lokalen IP Adressen. Achtung: der Standardwert wird nur genutzt, wenn es keine alte Konfigurationdatei gibt. - Wenn ein Wert ungleich '0' für SSH_LISTEN_ADDR_N genutzt wird, so wird jetzt automatisch die Zeile ListenAddress 127.0.0.1 für die Konfiguration des sshd generiert. Dies ermöglicht die Ausführung von "ssh localhost". - Die Datei /etc/pam.d/sshd wurde hinzugefügt. - Die Datei /etc/init.d/sshd wurde geändert. Die Änderung wirkt nur, wenn SSH_LISTEN_ADDR_N ungleich '0' ist. Vor Start des sshd prüft das Skript alle Angaben ListenAddress in der Datei /etc/sshd_config. Bisher wurden für diese Prüfung die Angaben IP_ETH_N und IP_ETH_#_IPADDR aus /etc/config.d/base genutzt. Die Prüfung wurde jetzt erweitert und nutzt jetzt die Funktionen aus /var/install/include/inetlib. Diese Funktionen ermitteln die aktuelle IP-Adressen indem sie den Befehl ifconfig aufrufen. Mit dieser Änderung sollte der sshd besser mit Konfigurationen zurechtkommen, bei denen dynamisch Zuweisungen erfolgen, also z.B. bei Nutzung des Pakets dhcpc. - Veränderungen für den pure-ftpd ------------------------------- - Die fehlerhafte Datei /usr/local/ssl/certs/pure-ftpd.pem aus den Versionen 1.5.2 bzw. 1.5.3 des inet Paketes wird, wenn sie nicht inzwischen neu generiert wurde, durch eine korrekte Version ersetzt. - Die Generierung des certfiles wurde korrigiert. Die Basis Certs-Konfiguration wird jetzt genutzt. Ein Fehler bei der Nutzug einer temporären Datei wurde korrigiert. Zertifikate sind jetzt 365 Tage gültig.