upstream: escape the final dot at eol in "e.g." to avoid double

spacing;

OpenBSD-Commit-ID: 0a9fb10bc9f7d577afe2da3f498a08bc431115b9

upstream: enable PerSourcePenalties by default.

ok markus

NB. if you run a sshd that accepts connections from behind large NAT
blocks, proxies or anything else that aggregates many possible users
behind few IP addresses, then this change may cause legitimate traffic
to be denied.

Please read the PerSourcePenalties, PerSourcePenaltyExemptList and
PerSourceNetBlockSize options in sshd_config(5) for how to tune your
sshd(8) for your specific circumstances.

OpenBSD-Commit-ID: 24a0e5c23d37e5a63e16d2c6da3920a51078f6ce

upstream: mention that PerSourcePenalties don't affect concurrent

in-progress connections.

OpenBSD-Commit-ID: 20389da6264f2c97ac3463edfaa1182c212d420c

upstream: regress test for PerSourcePenalties

OpenBSD-Regress-ID: a1af13d411b25a727742644459d26480b9a1b0f1

upstream: make sure logs are saved from sshd run via start_sshd

OpenBSD-Regress-ID: de4ef0e32e3ab85ff3a6c36eb08d1909c0dd1b4a

upstream: simplify

OpenBSD-Regress-ID: 50316e0d1ae0c0a057a45af042253e54ce23d11c

upstream: prepare for PerSourcePenalties being enabled by default

in future

OpenBSD-Regress-ID: 5236c6d1c823997aac5a35e2915da30f1903bec7

upstream: disable stderr redirection before closing fds

OpenBSD-Commit-ID: d42cb895ee4542098050367fc35321c9303f003a

upstream: Add a facility to sshd(8) to penalise particular

problematic client behaviours, controlled by two new sshd_config(5) options:
PerSourcePenalties and PerSourcePenaltyExemptList.

When PerSourcePenalties are enabled, sshd(8) will monitor the exit
status of its child pre-auth session processes. Through the exit
status, it can observe situations where the session did not
authenticate as expected. These conditions include when the client
repeatedly attempted authentication unsucessfully (possibly indicating
an attack against one or more accounts, e.g. password guessing), or
when client behaviour caused sshd to crash (possibly indicating
attempts to exploit sshd).

When such a condition is observed, sshd will record a penalty of some
duration (e.g. 30 seconds) against the client's address. If this time
is above a minimum threshold specified by the PerSourcePenalties, then
connections from the client address will be refused (along with any
others in the same PerSourceNetBlockSize CIDR range).

Repeated offenses by the same client address will accrue greater
penalties, up to a configurable maximum. A PerSourcePenaltyExemptList
option allows certain address ranges to be exempt from all penalties.

We hope these options will make it significantly more difficult for
attackers to find accounts with weak/guessable passwords or exploit
bugs in sshd(8) itself.

PerSourcePenalties is off by default, but we expect to enable it
automatically in the near future.

much feedback markus@ and others, ok markus@

OpenBSD-Commit-ID: 89ded70eccb2b4926ef0366a4d58a693de366cca

whitespace

upstream: enable -fret-clean on amd64, for libc libcrypto ld.so

kernel, and all the ssh tools.  The dynamic objects are entirely ret-clean,
static binaries will contain a blend of cleaning and non-cleaning callers.

OpenBSD-Commit-ID: 112aacedd3b61cc5c34b1fa6d9fb759214179172

remove PRIVSEP macros for osx

upstream: be really strict with fds reserved for communication with the

separate sshd-session process - reserve them early and fatal if we can't
dup2(2) them later. The pre-split fallback to re-reading the configuration
files is not possible, so sshd-session absolutely requires the fd the
configuration is passed over to be in order.

ok deraadt@

OpenBSD-Commit-ID: 308a98ef3c8a6665ebf92c7c9a0fc9600ccd7065

depend

rename need_privsep to need_chroot

privsep is mandatory, chroot is optional (disabled when running
sshd as non-root)

remove remaining use_privsep mention

upstream: warn when -r (deprecated option to disable re-exec) is

passed

OpenBSD-Commit-ID: 73145ef5150edbe3ce7889f0844ed8fa6155f551

upstream: typos

OpenBSD-Commit-ID: edfa72eb06bfa65da30fabf7d2fe76d2d33f77bf

upstream: don't need sys/queue.h here

OpenBSD-Commit-ID: dd137396828171eb19e4911581812ca58de6c578

upstream: remove references to SSH1 and DSA server keys

OpenBSD-Commit-ID: 57cc1c98d4f998981473734f144b904af7d178a2

upstream: remove unused struct fwd_perm_list, no decl with complete

type ok djm@

OpenBSD-Commit-ID: 416fb3970b7e73c76d2963c4f00cf96f2b2ee2fb

upstream: Do not pass -Werror twice when building with clang.

OpenBSD-Commit-ID: 5f378c38ad8976d507786dc4db9283a879ec8cd0

upstream: Do not pass -Werror if building with gcc 3, for asn1.h

and bio.h cause (admittedly bogus) warnings with gcc 3.

OpenBSD-Commit-ID: fb39324748824cb0387e9d67c41d1bef945c54ea

upstream: this test has been broken since 2014, and has been

testing the same key exchange algorithm repeatedly instead of testing all of
them. Spotted by nreilly AT blackberry.com in bz3692

Who broke the test? me.

OpenBSD-Regress-ID: 48f4f5946276f975667141957d25441b3c9a50e2

upstream: Add missing kex-names.c source file required since the

ssh split.

OpenBSD-Regress-ID: ca666223f828fc4b069cb9016bff1eb50faf9fbb

upstream: remove duplicate copy of relink kit for sshd-session

OpenBSD-Commit-ID: 6d2ded4cd91d4d727c2b26e099b91ea935bed504

upstream: remove prototypes with no matching function; ok djm@

OpenBSD-Commit-ID: 6d9065dadea5f14a01bece0dbfe2fba1be31c693

upstream: remove externs for removed vars; ok djm@

OpenBSD-Commit-ID: f51ea791d45c15d4927eb4ae7d877ccc1e5a2aab

upstream: -Werror was turned on (probably just for development),

and this is a simple way to satisfy older gcc.

OpenBSD-Commit-ID: 7f698df54384b437ce33ab7405f0b86c87019e86

attempt at updating RPM specs for sshd-session

upstream: g/c unused variable

OpenBSD-Commit-ID: aa6ef0778a1f1bde0d73efba72a777c48d2bd010

upstream: spelling; ok djm@

OpenBSD-Commit-ID: bdea29bb3ed2a5a7782999c4c663b219d2270483

upstream: allow overriding the sshd-session binary path

OpenBSD-Regress-ID: 5058cd1c4b6ca1a15474e33546142931d9f964da

upstream: Since ssh-agent(1) is only readable by root by now, use

ssh(1) while generating data in tests.

OpenBSD-Regress-ID: 24eb40de2e6b0ace185caaba35e2d470331ffe68

upstream: fix incorrect debug option name introduce in previous

commit

OpenBSD-Commit-ID: 66d69e22b1c072c694a7267c847f212284614ed3

upstream: construct and install a relink-kit for sshd-session ok

djm

OpenBSD-Commit-ID: 8b3820adb4da4e139c4b3cffbcc0bde9f08bf0c6

Makefile support for sshd-session

upstream: missing files from previous

OpenBSD-Commit-ID: 4b7be4434d8799f02365552b641a7a70a7ebeb2f

upstream: Start the process of splitting sshd into separate

binaries. This step splits sshd into a listener and a session binary. More
splits are planned.

After this changes, the listener binary will validate the configuration,
load the hostkeys, listen on port 22 and manage MaxStartups only. All
session handling will be performed by a new sshd-session binary that the
listener fork+execs.

This reduces the listener process to the minimum necessary and sets us
up for future work on the sshd-session binary.

feedback/ok markus@ deraadt@

NB. if you're updating via source, please restart sshd after installing,
otherwise you run the risk of locking yourself out.

OpenBSD-Commit-ID: 43c04a1ab96cdbdeb53d2df0125a6d42c5f19934

upstream: simplify exit message handling, which was more complicated

than it needed to be because of unexpunged ssh1 remnants. ok markus@

OpenBSD-Commit-ID: 8b0cd2c0dee75fb053718f442aa89510b684610b

upstream: remove SSH1 leftovers

Authored with Space Meyer <git at the-space dot agency>

ok djm

OpenBSD-Commit-ID: 81db602e4cb407baae472689db1c222ed7b2afa3

upstream: never close stdin

The sanitise_stdfd call makes sure that standard file descriptors are
open (if they were closed, they are connected with /dev/null).

Do not close stdin in any case to prevent error messages when stdin is
read multiple times and to prevent later usage of fd 0 for connections,
e.g.

echo localhost | ssh-keyscan -f - -f -

While at it, make stdin-related error messages nicer.

Authored with Max Kunzelmann <maxdev at posteo dot de>

ok djm

OpenBSD-Commit-ID: 48e9b7938e2fa2f9bd47e6de6df66a31e0b375d3

sync getrrsetbyname.c with recent upstream changes

upstream: fix home-directory extension implementation, it always

returned the current user's home directory contrary to the spec.

Patch from Jakub Jelen via GHPR477

OpenBSD-Commit-ID: 5afd775eab7f9cbe222d7fbae4c793de6c3b3d28

upstream: flush stdout after writing "sftp>" prompt when not using

editline.

From Alpine Linux via GHPR480

OpenBSD-Commit-ID: 80bdc7ffe0358dc090eb9b93e6dedb2b087b24cd

upstream: stricter validation of messaging socket fd number; disallow

usage of stderr. Based on GHPR492 by RealHurrison

OpenBSD-Commit-ID: 73dbbe82ea16f73ce1d044d3232bc869ae2f2ce8

upstream: add missing reserved fields to key constraint protocol

documentation.

from Wiktor Kwapisiewicz via GHPR487

OpenBSD-Commit-ID: 0dfb69998cfdb3fa00cbb0e7809e7d2f6126e3df

depend

upstream: correctly restore sigprocmask around ppoll() reported

by Tõivo Leedjärv; ok deraadt@

OpenBSD-Commit-ID: c0c0f89de5294a166578f071eade2501929c4686

upstream: add explict check for server hostkey type against

HostkeyAlgorithms. Allows HostkeyAlgorithms to disable implicit fallback from
certificate keys to plain keys. ok markus@

OpenBSD-Commit-ID: 364087e4a395ff9b2f42bf3aefdb2090bb23643a

upstream: correct indentation; no functional change ok tb@

OpenBSD-Commit-ID: dd9702fd43de546bc6a3f4f025c74d6f3692a0d4

upstream: set right mode on ssh-agent at boot-time

which sthen@
ok deraadt@

OpenBSD-Commit-ID: 662b5056a2c6171563e1626f9c69f27862b5e7af

upstream: Oops, incorrect hex conversion spotted by claudio.

While here try to improve how it reads a bit better.  Surprising the
regression tests didn't spot this error, maybe it fails to roundtrip the
values.

OpenBSD-Commit-ID: 866cfcc1955aef8f3fc32da0b70c353a1b859f2e

upstream: for parse_ipqos(), use strtonum() instead of mostly

idiomatic strtoul(), but wow it's so gross. ok djm

OpenBSD-Commit-ID: cec14a76af2eb7b225300c80fc0e21052be67b05

upstream: can shortcut by returning strtonum() value directly; ok

djm

OpenBSD-Commit-ID: 7bb2dd3d6d1f288dac14247d1de446e3d7ba8b8e

upstream: rewrite convtime() to use a isdigit-scanner and

strtonum() instead of strange strtoul can might be fooled by garage
characters. passes regress/usr.bin/ssh/unittests/misc ok djm

OpenBSD-Commit-ID: 4b1ef826bb16047aea3f3bdcb385b72ffd450abc

upstream: Remove unused ptr[3] char array in pkcs11_decode_hex.

OK deraadt@

OpenBSD-Commit-ID: 3d14433e39fd558f662d3b0431c4c555ef920481

upstream: Replace non-idiomatic strtoul(, 16) to parse a region

of 2-character hex sequences with a low-level replacement designed just for
the task. ok djm

OpenBSD-Commit-ID: 67bab8b8a4329a19a0add5085eacd6f4cc215e85

upstream: Use strtonum() instead of severely non-idomatic

strtoul() In particular this will now reject trailing garbage, ie.
'12garbage'. ok djm

OpenBSD-Commit-ID: c82d95e3ccbfedfc91a8041c2f8bf0cf987d1501

upstream: also create a relink kit for ssh-agent, since it is a

long-running setgid program carrying keys with some (not very powerful)
communication channels. solution for testing the binary from dtucker.
agreement from djm. Will add it into /etc/rc in a few days.

OpenBSD-Commit-ID: 2fe8d707ae35ba23c7916adcb818bb5b66837ba0

upstream: new-style relink kit for sshd. The old scheme created

a Makefile by concatenating two Makefiles and was incredibly fragile.  In the
new way a narrow-purposed install.sh script is created and shipped with the
objects. A recently commited /etc/rc script understands these files.

OpenBSD-Commit-ID: ef9341d5a50f0d33e3a6fbe995e92964bc7ef2d3

Shell syntax fix (leftover from a sync).

Signed-off-by: renmingshuai <renmingshuai@huawei.com>

Merge flags for OpenSSL 3.x versions.

OpenSSL has moved to 3.4 which we don't currently accept.  Based on
the OpenSSL versioning policy[0] it looks like all of the 3.x versions
should work with OpenSSH, so remove the distinction in configure and
accept all of them.

[0] https://openssl.org/policies/general/versioning-policy.html

Remove 9.6 branch from status page.

Update LibreSSL and OpenSSL versions tested.

Update LibreSSL versions to current releases (3.8.4 & 3.9.1).
Add newly-released OpenSSL 3.3.0, and add tests against the 3.1 and
3.3 branches.

Fix missing header for systemd notification

notify systemd on listen and reload

Standalone implementation that does not depend on libsystemd.
With assistance from Luca Boccassi, and feedback/testing from Colin
Watson. bz2641

Port changes from selfhosted to upstream tests.

Should get them working again.

Check if OpenSSL implementation supports DSA.

If --enable/disable-dsa-keys is not specified, set based on what OpenSSL
supports.  If specified as enabled, but not supported by OpenSSL error
out.  ok djm@

upstream: in OpenSSH private key format, correct type for subsequent

private keys in blob. From Jakub Jelen via GHPR430

OpenBSD-Commit-ID: d17dbf47554de2d752061592f95b5d772baab50b

Expose SSH_AUTH_INFO_0 always to PAM auth modules.

This changes SSH_AUTH_INFO_0 to be exposed to PAM auth modules also
when a password authentication method is in use and not only
when a keyboard-interactive authentication method is in use.

Rearrange selfhosted VM scheduling.

Instead of trying to infer the type of the self hosted tests in each of
the driver scripts (inconsistently...), set one of the following
variables to "true" in the workflow:

VM: tests run in a virtual machine.
EPHEMERAL: tests run on an ephemeral virtual machine.
PERSISTENT: tests run on a persistent virtual machine
REMOTE: tests run on a physical remote host.

EPHEMERAL VMs can have multiple instances of any given VM can exist
simultaneously and are run by a runner pool.  The other types have a
dedicated runner instance and can only run a single test at a time.

Other settings:
SSHFS: We need to sshfs mount over the repo so the workflow can collect
build artifacts.  This also implies the tests must be run over ssh.
DEBUG_ACTIONS: enable "set -x" in scripts for debugging.

add new token-based signing key for dtucker@

Verified in person and via signature with old key.
Will remove old key in a bit.

Fix OpenSSL ED25519 support detection

Wrong function signature in configure.ac prevents openssh from enabling
the recently new support for ED25519 priv keys in PEM PKCS8 format.

upstream: allow WAYLAND_DISPLAY to enable SSH_ASKPASS

From dkg via GHPR479; ok dtucker@

OpenBSD-Commit-ID: 1ac1f9c45da44eabbae89375393c662349239257

upstream: Use egrep instead of grep -E.

Some plaforms don't have the latter so this makes things easier
in -portable.

OpenBSD-Regress-ID: ff82260eb0db1f11130200b25d820cf73753bbe3

upstream: test -h is the POSIXly way of testing for a symlink. Reduces

diff vs Portable.

OpenBSD-Regress-ID: 6f31cd6e231e3b8c5c2ca0307573ccb7484bff7d

Fix name of OpenBSD upstream CI jobs.

Resync with upstream: ${} around DATAFILE.

upstream: optional debugging

OpenBSD-Regress-ID: b4852bf97ac8fb2e3530f2d5f999edd66058d7bc

upstream: Verify string returned from local shell command.

OpenBSD-Regress-ID: 5039bde24d33d809aebfa8d3ad7fe9053224e6f8

upstream: Improve shell portability: grep -q is not portable so

redirect stdout, and use printf instead of relying on echo to do \n
substitution.  Reduces diff vs Portable.

Also resync somewhat with upstream.

OpenBSD-Regress-ID: 9ae876a8ec4c4725f1e9820a0667360ee2398337

upstream: Save error code from SSH for use inside case statement,

from portable. In some shells, "case" will reset the value of $?, so save it
first.

OpenBSD-Regress-ID: da32e5be19299cb4f0f7de7f29c11257a62d6949

upstream: Increase timeout. Resyncs with portable where some of

the test VMs are slow enough for this to matter.

OpenBSD-Regress-ID: 6a83a693602eb0312f06a4ad2cd6f40d99d24b26

upstream: In PuTTY interop test, don't assume the PuTTY major

version is 0. Patch from cjwatson at debian.org via bz#3671.

OpenBSD-Regress-ID: 835ed03c1b04ad46be82e674495521f11b840191

Really mkdir /usr/local/etc in CI tests.

Better short name for OpenBSD upstream CI jobs too.

Ensure /usr/local/etc exists before using in tests.

Be more specific about when to rerun workflows.

Add short names for test jobs on github CI.

If we're using xpg4's id, remember to pass args.

upstream: Import regenerated moduli.

OpenBSD-Commit-ID: ad3d1486d105b008c93e952d158e5af4d9d4c531

upstream: Clarify how literal IPv6 addresses can be used in -J mode

OK djm@

OpenBSD-Commit-ID: 524ddae97746b3563ad4a887dfd0a6e6ba114c50

Add Mac OS X 14 test targets.

Move xpg4 'id' handling into test-exec.sh.

Handle replacement of 'id' the same way as we do other Portable specific
replacements in test-exec.sh.  This brings percent.sh back into sync
with upstream.

Update branches shown on ci-status to 9.7 and 9.6.

Improve detection of -fzero-call-used-regs=used.

Should better detect problems with gcc 13 on m68k.  bz#3673 from Colin
Watson via bz#3673 and https://gcc.gnu.org/bugzilla/show_bug.cgi?id=110934

Signed-off-by: Darren Tucker <dtucker@dtucker.net>

version number in README

crank RPM spec versions

upstream: openssh-9.7

OpenBSD-Commit-ID: 618ececf58b8cdae016b149787af06240f7b0cbc