upstream: Import regenerated moduli.

OpenBSD-Commit-ID: 5db7049ad5558dee5b2079d3422e8ddab187c1cc

upstream: Use curve25519-sha256 kex where possible.

Except where we're explicitly testing a different kex, use
curve25519-sha256 since it's faster than the default and supported even
when configured without OpenSSL.  Add a check to ensure that the kex we
intended to test is the one we actually tested. Speeds test up by ~5%.

OpenBSD-Regress-ID: 3b27fcc2ae953cb08fd82a0d3155c498b226d6e0

upstream: Send only as much data as needed to trigger rekeying. Speeds

up tests by about 10% in the common case, hopefully more when instrumented
with something like valgrind.

OpenBSD-Regress-ID: 7bf9292b4803357efcf0baf7cfbdc8521f212da1

simplify sshkey_prekey_alloc(); always use mmap

upstream: Merge AEAD test into main test loop.

Removes 3 duplicate tests and speeds overall test up by about 1%.

OpenBSD-Regress-ID: 5e5c9ff3f7588091ed369e34ac28520490ad2619

upstream: Set a default RekeyLimit of 256k.

Used unless overridden by a command-line flag, which simplifies some of
the ssh command lines.

OpenBSD-Regress-ID: e7cffa57027088e10336e412b34113969f88cb87

upstream: Add Compression=no to default ssh_config.

All of the rekey tests use it (otherwise the encrypted byte counts would
not match) so this lets us simplify the command lines.

OpenBSD-Regress-ID: dab7ce10f4cf6c68827eb8658141272aab3ea262

upstream: Remove duplicate curve25519-sha256 kex.

curve25519-sha256@libssh.org is the pre-standardization name for the same
thing, so remove it as a duplicate.  Speeds up test by a tiny amount.

OpenBSD-Regress-ID: 5a5ee5fa1595a6e140b1cc16040bedf5996a5715

upstream: Unnest rekey param parsing test and use ssh not sshd.

ssh uses the same parsing code, now has "-G" to dump its config and is
slightly faster to start up.  This speeds up the test slightly (~5%) in the
common case but should help more during instrumented tests, eg under
valgrind, where startup costs are magnified.

OpenBSD-Regress-ID: 07c3acaf4c728e641033071f4441afc88141b0d0

upstream: actually use the length parameter that was passed in rather

than a constant (this makes no difference in practice because the length is
always the same); reported by martin AT nmkd.net

OpenBSD-Commit-ID: 4aecce232c2fe9b16e9217ff6bcb3c848d853e7e

private key coredump protection for Linux/FreeBSD

platforms not supporting coredump exclusion using mmap/madvise flags
fall back to plain old malloc(3).

upstream: place shielded keys (i.e. keys at rest in RAM) into memory

allocated using mmap(3) with MAP_CONCEAL set. This prevents exposure of the
key material in coredumps, etc (this is in addition to other measures we take
in this area).

ok deraadt@

OpenBSD-Commit-ID: cbbae59f337a00c9858d6358bc65f74e62261369

upstream: mention that ed25519 is the default key type generated and

clarify that rsa-sha2-512 is the default signature scheme when RSA is in use.
Based on GHPR505 from SebastianRzk

OpenBSD-Commit-ID: 1d90df71636a04601685d2a10a8233bcc8d4f4c5

upstream: fix minor memory leak in Subsystem option parsing; from

Antonio Larrosa via GHPR515

OpenBSD-Commit-ID: fff3bbefd1b2c45c98cbe45c6b857b15d8a2d364

upstream: fix swapping of source and destination addresses in some sshd

log messages

OpenBSD-Commit-ID: 24d4cbb86325275df1f037545aa3b91456e52d25

Add compat functions for EVP_Digest{Sign,Verify}.

This should make LibreSSL 3.1.x through 3.3.x work again.  Code from
tb@, ok djm@.  Restore the test configs covering those.

make sure that usage & man page match

SSH-Copy-ID-Upstream: da5b1abe55b72a16e0430e7598e1573da01779c0

update copyright notices

Bump the year to 2024, but also reflect the fact that hands.com Ltd. has
been wound up in the UK, and its assets (including this copyright) have
now reverted to its owner, Philip Hands.

SSH-Copy-ID-Upstream: 0e4c4d072747a6568b11a790c29dd1b4ce663d7f

restore optionality of -i's argument

SSH-Copy-ID-Upstream: f70e3abb510e4eeb040b47894e41828246c1b720

avoid exploring .ssh/id*.pub subdirectories

SSH-Copy-ID-Upstream: 0b9e08b7707ad16de3c8e6a0410d9f42fbd56997

ensure that we're always told the source of keys

SSH-Copy-ID-Upstream: 1bee96f4793e8ec3fab9f9361204ae58f5cc7cae

add $HOME to ERROR if one cannot write to ~/.ssh

SSH-Copy-ID-Upstream: ebef3e9c06e0447bff06e9d84b33023cf592e0ba

assert that SCRATCH_DIR is a writable directory

SSH-Copy-ID-Upstream: ecb2b9d10883b9a16df56c83896c9bb47a80cde2

quote to avoid potential for word splitting

SSH-Copy-ID-Upstream: f379adbe06ac2ef1daf0f130752234c7f8b97e3c

ensure ERROR output goes to STDERR

SSH-Copy-ID-Upstream: ac394b05eead3b91feb7c2ae4129a3e9b892f1e2

avoid extra space when no arg given to -i option

SSH-Copy-ID-Upstream: feca9e67e6e37c5653445d1c733569d7abb1770e

put the -i before -[pP] (matching man pages)

The man pages (ssh, sftp & ssh-copy-id) all list -i before the port
setting, so make the output match that order, which also seems more
natural with the port being next to the server.

SSH-Copy-ID-Upstream: 34d5d614172c78f9a42249466c4b81975b8883a1

Minor space issue fixed

SSH-Copy-ID-Upstream: 335e44d7be78b03962a54c3a5c99a2ff45294a54

Show identity file in 'ssh' command

- Previously no identity file is shown in "ssh" command output on the line "Now try logging into the..."
- This commit makes sure whenever "ssh-copy-id" with "-i" is invoked, it also reflects in "ssh" command

SSH-Copy-ID-Upstream: 58e022ec26cb2315eb3be581d01e0ba787082428

more OPENSSL_HAS_ECC

fix merge botch that broke !OPENSSL_HAS_ECC

missed OPENSSL_HAS_ECC case

retire testing aginst older LibreSSL versions

libressl prior to 3.4.x lack support for the EVP_DigestSign and
EVP_DigestVerify APIs that we need now that sshkey is converted
to EVP_PKEY.

If someone makes a good case for why we should support these versions
then we could bring back support with wrappers.

sync TEST_MALLOC_OPTIONS for OpenBSD

remove gratuitious difference from OpenBSD

upstream: adapt to EVP_PKEY conversion

OpenBSD-Regress-ID: 0e2d4efb0ed0e392e23cd8fda183fe56531ac446

upstream: test transfers in mux proxy mode too

OpenBSD-Regress-ID: 2edfc980628cfef3550649cab8d69fa23b5cd6c4

upstream: Convert RSA and ECDSA key to the libcrypto EVP_PKEY API.

DSA remains unconverted as it will be removed within six months.

Based on patches originally from Dmitry Belyavskiy, but significantly
reworked based on feedback from Bob Beck, Joel Sing and especially
Theo Buehler (apologies to anyone I've missed).

ok tb@

OpenBSD-Commit-ID: d098744e89f1dc7e5952a6817bef234eced648b5

upstream: Reorder calloc arguments

The first argument should be the amount, the second argument should be the
element size. Fixing this also silences some gcc compiler warnings for
portable.

Spotted with Benny Baumann (BenBE at geshi dot org).

ok djm@

OpenBSD-Commit-ID: 711ad6f7bd7fb48bf52208f2cf9f108cddb6d41a

upstream: Extend sshbuf validation

Multiple sshbuf structs can be linked through a parent/child relationship.
Make sure that a single sshbuf cannot be its own parent. If this would ever
happen, it would result in reference counting issues.

This is a cheap way of testing this with very little overhead. It does not
detect A->B->A linkages though for performance reason and the fact that it
takes a programming error for this to occur anyway.

Authored with Benny Baumann (BenBE at geshi dot org).

ok djm@

OpenBSD-Commit-ID: fb3fa9ee2cad3c7e842ebadfd7f5db220c4aaf16

upstream: Use freezero for better readability

It has the same meaning as the current pair of calling explicit_bzero
and free. Spotted with Benny Baumann (BenBE at geshi dot org).

ok djm@

OpenBSD-Commit-ID: 939fbe9ccf52d0d48c5fa53694d6f3bb9927970c

upstream: Fix typo in comment

Spotted with Benny Baumann (BenBE at geshi dot org).

ok djm@

OpenBSD-Commit-ID: 829160ac8ef3ad3409695ce3a3ade835061cae57

upstream: add a random amount of time (up to 4 seconds) to the

grace login time.

ok deraadt@ djm@

OpenBSD-Commit-ID: abd3c57aaa5861517529b322df79b6be35ee67f4

upstream: document the reduced logingrace penalty

OpenBSD-Commit-ID: 9b63e0e3599d524ddc10edc4f978081382c3548b

Explicitly install libssl-devel cygwin.

Should fix CI tests for cygwin default config.

upstream: reduce logingrace penalty.

A single forgotton login that times out should be below the penalty
threshold.

ok deraadt/claudio

OpenBSD-Commit-ID: cee1f7d17597c97bff8e5092af5d136fdb08f81d

upstream: Fix proxy multiplexing (-O proxy) bug

If a mux started with ControlPersist then later has a forwarding added using
mux proxy connection and the forwarding was used, then when the mux proxy
session terminates, the mux master process will send a channel close to the
server with a bad channel ID and crash the connection.

This was caused by my stupidly reusing c->remote_id for mux channel
associations when I should have just added another member to struct channel.

ok markus@

OpenBSD-Commit-ID: c9f474e0124e3fe456c5e43749b97d75e65b82b2

upstream: mention mux proxy mode

OpenBSD-Commit-ID: fd77a77779f06d316a314e4540dc57c93fc3369a

upstream: fix double word; ok dtucker@

OpenBSD-Commit-ID: e6aff005914fa350b896d2be030be3d3b56ec0e8

Check for SA_RESTART before using it.

ok djm@

Class-imposed login restrictions

If the following functions are available,
add an additional check if users are allowed to login imposed by login class.

* auth_hostok(3)
* auth_timeok(3)

These functions are implemented on FreeBSD.

upstream: correct keyword; from Yatao Su via GHPR509

OpenBSD-Commit-ID: 81c778c76dea7ef407603caa157eb0c381c52ad2

upstream: don't need return at end of void function

OpenBSD-Commit-ID: 42d322d37f13aa075ae7b1ad9eef591e20b89717

upstream: fix grammar: "a pattern lists" -> "one or more pattern

lists"

OpenBSD-Commit-ID: f3c844763398faa9800687e8ff6621225498202a

Cast to sockaddr * in systemd interface.

Fixes build with musl libx.  bz#3707.

Add 9.8 branch to ci-status page.

Fix detection of setres*id on GNU/Hurd

Like Linux, proper _SOURCE macros need to be set to get declarations of
various standard functions, notably setres*id. Now that Debian is using
-Werror=implicit-function-declaration this is really required. While at
it, define other _SOURCE macros like on GNU/Linux, since GNU/Hurd uses
the same glibc.

version numbers

upstream: openssh-9.8

OpenBSD-Commit-ID: 5f8b89e38a4c5f7c6d52ffa19f796d49f36fab19

upstream: when sending ObscureKeystrokeTiming chaff packets, we

can't rely on channel_did_enqueue to tell that there is data to send. This
flag indicates that the channels code enqueued a packet on _this_ ppoll()
iteration, not that data was enqueued in _any_ ppoll() iteration in the
timeslice. ok markus@

OpenBSD-Commit-ID: 009b74fd2769b36b5284a0188ade182f00564136

upstream: use "lcd" to change directory before "lls" rather then "cd",

since the directory we're trying to list is local. Spotted by Corinna
Vinschen

OpenBSD-Regress-ID: 821feca4a4bebe491944e624c8f7f2990b891415

upstream: delete obsolete comment

OpenBSD-Commit-ID: 5fb04f298ed155053f3fbfdf0c6fe7cdf84bbfa2

upstream: retire unused API

OpenBSD-Commit-ID: 3e30d7b0615e2707f6bbe70f61b1c2f72f78161b

upstream: ssl(8) no longer contains a HISTORY section;

OpenBSD-Commit-ID: 83b7ff34433d79595e9c2a5d2a561a6660251245

upstream: move child process waitpid() loop out of SIGCHLD handler;

ok deraadt

OpenBSD-Commit-ID: 65815a39564e431414aed7c5ace8076f4e9ca741

upstream: Instead of using possibly complex ssh_signal(), write all

the parts of the grace_alarm_handler() using the exact things allowed by the
signal-safe rules.  This is a good rule of thumb: Handlers should be written
to either set a global volatile sig_atomic_t inspected from outside, and/or
directly perform only safe operations listed in our sigaction(2) manual page.
ok djm markus

OpenBSD-Commit-ID: 14168ae8368aab76e4ed79e17a667cb46f404ecd

upstream: save_errno wrappers inside two small signal handlers that

perform system calls, for systems with libc that do perform libc sigtramps.
ok djm markus

OpenBSD-Commit-ID: 7749b56419a7c9dcfe4c6c04811e429813346c62

upstream: - uppercase start of sentence - correct sentence grammar

ok djm

OpenBSD-Commit-ID: 1ec4b0fdb633a43667f2c8fff1d600bd647dde25

upstream: mention SshdSessionPath option

OpenBSD-Commit-ID: c29734d36c21003973b15c1c9965c35f36cef30c

Rerun upstream tests on .sh file changes too.

upstream: Work around dbclient cipher/mac query bug.

Unlike earlier versions, recent Dropbear (at least v2024.85) requires
a host arg when querying supported ciphers and macs via "-c/-m
help".  Earlier versions accept but do not require it, so always
provide it.  If these queries fail, skip the test with a warning.

OpenBSD-Regress-ID: 98eb863a3f0363416922efb273885e6b3c7f68d4

upstream: Remove dropbear key types not supported

by current OpenSSH. Allows subsequent test runs to work if OpenSSH is
rebuilt w/out OpenSSL.

OpenBSD-Regress-ID: e0129eb2b1d31771105903a8055216fbba20a770

upstream: stricter check for overfull tables in penalty record path

OpenBSD-Commit-ID: 7df01e648a0723418c554e64a9f2b6d38db060a6

upstream: put back reaping of preauth child process when writes

from the monitor fail. Not sure how this got lost in the avalanche of
patches.

OpenBSD-Commit-ID: eb7eb36371e1ac01050b32b70fb2b3e5d98e72f5

upstream: remove one more mention of DSA

OpenBSD-Commit-ID: 8515f55a15f02836ba657df341415f63c60526ca

Move -f to the place needed to restart sshd.

Need to supply "-f" to restart sshd.

upstream: Provide defaults for ciphers and macs

if querying for them fails since on some versions of Dropbear (at least
v2024.85) "-m help" doesn't seem to work.  Enable all supported pubkey
algorithms in the server.

OpenBSD-Regress-ID: 4f95556a49ee9f621789f25217c367a33d2745ca

upstream: Use ed25519 keys for kex tests

since that's supported by OpenSSH even when built without OpenSSL.
Only test diffie-hellman kex if OpenSSH is compiled with support for it.

OpenBSD-Regress-ID: a5d09ef9bbd171f9e4ec73ed0d9eeb49a8878e97

upstream: Rework dropbear key setup

to always generate ed25519 keys, other types only if OpenSSH has support
for the corresponding key type.

OpenBSD-Regress-ID: 8f91f12604cddb9f8d93aa34f3f93a3f6074395d

Restart sshd after installing it for testing.

When installing an sshd built without OpenSSL the mismatch between
the running sshd and newly installed sshd-session will cause the
remainder of the test to fail.

Remove macos-11 runner.

Github is retiring them soon.

PAMServiceName may appear in a Match block

upstream: Re-enable ssh-dss tests

... if ssh is compiled with DSA support

OpenBSD-Regress-ID: bbfaf8c17f2b50a2d46ac35cb97af99b990c990d

upstream: Stop using DSA in dropbear interop tests.

OpenBSD-Regress-ID: abfd4457d99d8cc1417fd22ca2c570270f74c1cf

missed a bit of DSA in the fuzzer

DSA support is disabled, so remove from fuzzers

upstream: disable the DSA signature algorithm by default; ok

markus@

(yes, I know this expands to "the Digitial Signature Algorithm
signature algorithm)

OpenBSD-Commit-ID: 961ef594e46dd2dcade8dd5721fa565cee79ffed

upstream: promote connection-closed messages from verbose to info

log level; they could be the only record of the connection terminating if the
client doesn't send a SSH2_MSG_DISCONNECT message. ok dtucker@

OpenBSD-Commit-ID: 0c8bfaf5e9fdff945cee09ac21e641f6c5d65d3c

propagate PAM crashes to PerSourcePenalties

If the PAM subprocess crashes, exit with a crash status that will be
picked up by the sshd(8) listener process where it can be used by
PerSourcePenalties to block the client. This is similar handling to
the privsep preauth process.

minix doesn't have loopback, so skip penalty tests

pointed out by dtucker@

upstream: same treatment for this test

OpenBSD-Regress-ID: d0cc9efca7833e673ea7b0cb3a679a3acee8d4c7

upstream: penalty test is still a bit racy

OpenBSD-Regress-ID: 90c9ac224db454637baf1ebee5857e007321e824

upstream: crank up penalty timeouts so this should work on even the

slowest of test builders

OpenBSD-Regress-ID: 70bda39c83e3fc9d0f3c1fad4542ed33e173d468

upstream: sort -q in the options list;

OpenBSD-Commit-ID: 6839b38378f38f754de638a5e988c13b4164cc7c

upstream: clarify KEXAlgorithms supported vs available. Inspired by

bz3701 from Colin Watson.

OpenBSD-Commit-ID: e698e69bea19bd52971d253f2b1094490c4701f7

upstream: ssh-keyscan -q man bits

OpenBSD-Commit-ID: ba28d0e1ac609a4c99c453e57e86560c79079db1

skip penalty-expire test in valgrind test env

upstream: split the PerSourcePenalties test in two: one tests penalty

enforcement but not penalty expiry, the other tests penalty expiry.

This lets us disable the expiry testing in certain CI test environments.

OpenBSD-Regress-ID: f56811064f3e3cb52ee73a206b8c2a06af1c8791

add a sshd_config PamServiceName option

Allows selecting which PAM service name to use when UsePAM is
enabled. Defaults to "sshd" unless overridden at compile time
by defining SSHD_PAM_SERVICE.

bz2102, ok dtucker@