upstream: Add TEST_SSH_SSHD_ENV variable which is added to sshd's

environment. Will be used in Portable to tweak behaviour of tcmalloc's
debugging.

OpenBSD-Regress-ID: 67e38c3c4517ddb72c8a3549a3325a166d7bb6d6

upstream: chown log directory in addition to log files.

OpenBSD-Regress-ID: b520d54a0bbf2c6554413c798218bda26b385ad9

Be explicit about environment variables for tests.

This will make it easier to reproduce a test failure by cut-and-paste of
the corresponding line from the github log.

Add tcmalloc flags to TEST_SSH_SSHD_ENV.

This will get passed to sshd via test-exec.sh.

Add PuTTY 0.81, 0.82 and 0.83 to tests.

Include TCMALLOC_STACKTRACE_METHOD in output.

If TCMALLOC_STACKTRACE_METHOD happens to be set, include it in the debug
output to make reproducing test cases easier.

Test with-linux-memlock-onfault in kitchensink.

Include fcntl.h so AT_FDCWD does not get redefined.

Add support for locking memory on Linux

Linux wakes up kcompactd threads in order to make more contiguous memory
available on the system, it does this by migrating live movable pages
(actively modifying live processes' page tables and constantly flooding
them with page invalidation IPIs, which can be up to millions per
second), which causes the process to become unresponsive for up to
seconds or even minutes in some severe cases. In case of sshd, we want
to always be able to connect to the system, even if it's under heavy
kcompactd load.

Introduce an option to protect sshd and its children sessions from being
compacted by kcompactd (this works in cojunction with
compact_unevictable_allowed = 0). Note that we depend on MCL_ONFAULT
being available, which was introduced in linux 4.4. MCL_ONFAULT allows
the system to lock pages lazily, thus drastically reducing memory usage
of a locked process (without MCL_ONFAULT, every existing mapping in the
process is instantly write-faulted).

platform: introduce a way to hook new session start

Previously this was possible via post_fork_child, but ever since sshd
was split into multiple binaries, this is now no longer possible becase
of execv.

upstream: Prevent theoretical NULL deref in throughlocal_sftp.

Coverity CID 405019, although at the moment it's not reachable. ok djm@

OpenBSD-Commit-ID: 630d46c1021b69fbb470e349976c70e9a48b7644

Fix workflow syntax again.

Differentiate logfiles better.

Fix another typo in workflow.

Fix syntax error in workflow.

Identify each logfile while printing them.

upstream: fix NULL dereference for Match conditions missing

arguments, e.g. "Match user". Spotted by Coverity (CID 477813)

OpenBSD-Commit-ID: 13584281cfa23b8ebc41f9d128a6b9464ae960d4

upstream: Fix EVP_CIPHER_CTX_ctrl() return checks

While this API tries to translate negative return values (i.e. -1) to 0
in BoringSSL and LibreSSL, it is still possible for it to return negative
values in prinicple. We even incorrectly document that -1 can be returned
while Boring and OpenSSL plead the Fifth.

In OpenSSL 3 there are now code paths that explicitly return -1 and they
started shifting their return checks to <= 0 - of course they do this in
inconsistent and sometimes incorrect manner. While these paths aren't
reachable from ssh right now, who can really tell what happens in the two
hundred lines of inscrutable bloated mess this has become.

So error check with <= 0 to ensure that we don't accidentally translate an
error to success.

ok markus schwarze

OpenBSD-Commit-ID: a855c833cf4ecfce43bedc761f26ad924f70483c

Fix debug log path.

Also lazily unmount workspace in case of straggers.

Make sure upstream tests run on correct hardware.

Add OpenBSD upstream test on obsdsnap-arm64.

rebuild .depend

upstream: remove assumption that the sshd_config and any configs

included from it can fit in a (possibly enlarged) socket buffer, by having
the sshd listener mainloop actively manage sending the configuration to the
sshd-session subprocess.

work by markus@ w/ a little feedback from me;
ok me and committing on his behalf

OpenBSD-Commit-ID: 8f54451483f64951853074adb76bc4f838eaf3ae

upstream: Prime caches for DNS names needed for tests.

When running the SSHFP tests, particularly on an ephemeral VM, the first
query or two can fail for some reason, presumably because something isn't
fully initialized or something.  To work around this, issue queries for the
names we'll need before we need them.

OpenBSD-Regress-ID: 900841133540e7dead253407db5a874a6ed09eca

upstream: Some dd's don't understand "1m", so handle seperately.

OpenBSD-Regress-ID: 1d983b27c96f28f69d3a288c19e8d8c58e1b2ee3

Lazily unmount github workspace at end of workflow.

Sometimes when a test times out the workspace is still busy when we try
to unmount it, which leaves the runner unusable until it's cleaned up
manually. We try to unmount this in the first step, but that usually
doesn't work since it fails during setup before it starts our workflow.
Move it to the end and make it a lazy unmount so it hopefully works
eventually.

upstream: Add regress test for sftp resume.

OpenBSD-Regress-ID: 37f629b3014338fa23a85df1e1bb320ea12282e1

upstream: Use ssh binary instead of the (smaller) script when

preparing test data files since it's faster.

OpenBSD-Regress-ID: 4215e42682fdb73e131e10645d4a1a23a91d64f5

upstream: Set up dbclient's known_hosts as it expects.

OpenBSD-Regress-ID: 9e0898e8423237ce5023be53787bb4062e0d0418

upstream: Use $DBCLIENT to access dbclient for consistency.

OpenBSD-Regress-ID: 81e1b41e1ffc49aba1e6fcaeb6242f3b7875ea3c

upstream: Check if dbclient supports SHA1 before trying SHA1-based

KEX.

Dropbear 2025.87 removed SHA1 support by default, which means
diffie-hellman-group14-sha1 is not available.  Unfortunately there isn't a
flag to query supported KEX, so instead check MACs and if it doesn't have
SHA1 methods, assuming SHA1 based KEXes are likewise not available.  Spotted
by anton@.

OpenBSD-Regress-ID: acfa8e26c001cb18b9fb81a27271c3b51288d304

upstream: Set highwater when resuming a "put". Prevents bogus "server

reordered acks" debug message.  ok djm@

OpenBSD-Commit-ID: aa7f6d0fc2e893c8c278ea3e6e0974c2eca83f5d

upstream: Test for %-token and env var expansion in SetEnv.

OpenBSD-Regress-ID: bd6139a6177ac4afb29a0ce4afc23567b22ef9f9

upstream: Also test User expansions when supplied via -l option and

user@host.

OpenBSD-Regress-ID: 56415859260b53ef0dd20f71225ba5fdf6320f50

upstream: Tests for User expansion of %-tokens and environment

variables.

OpenBSD-Regress-ID: 7ed21dd0e09fb1f3537b8b177f171018aa501628

upstream: use glob(3) wildcards in AuthorizedKeys/PrincipalsFile

tests to exercise this feature; ok dtucker

OpenBSD-Regress-ID: 7f7b19c0b05b1862cc6521ce61b2b301a3f9cc3b

upstream: implement attestation verification for ED25519 keys

OpenBSD-Regress-ID: c44fa5cdb434375a8b5545fdb4fc651061afca1f

upstream: Add %-token and environment variable expansion to SetEnv.

feedback deraadt@ jmc@, nits and ok djm@

OpenBSD-Commit-ID: 2f6e5070481cb73e6f35fd1c6608c1eeff88a5c1

upstream: fix PerSourcePenalty incorrectly using "crash" penalty when

LoginGraceTime was exceeded. Reported by irwin AT princeton.edu via bz3797

OpenBSD-Commit-ID: 1ba3e490a5a9451359618c550d995380af454d25

include __builtin_popcount replacement function

Some systems/compilers lack __builtin_popcount(), so replace it as
necessary. Reported by Dennis Clarke; ok dtucker@

upstream: whitespace

OpenBSD-Commit-ID: 1bd8953a37451ef7e0991f9fceec5e8005fe986a

upstream: Make a copy of the user when handling ssh -l, so that

later during User token expansion we don't end up freeing a member of argv.
Spotted by anton@'s regress tests.

OpenBSD-Commit-ID: 2f671a4f5726b66d123b88b1fdd1a90581339955

upstream: Allow %-token and environment variable expansion in User,

with the exception of %r and %C which are self-referential.  Requested in
bz#3477, ok djm@, man page improvements jmc@

OpenBSD-Commit-ID: caeb46251ee073662f6f5864c6f7b92d8ac80fa8

Rebuild config files if Makefile changes.

This ensures paths are updated if they are changed by re-running configure.
Patch from rapier at psc.edu.

Check for le32toh, le64toh, htole64 individually.

It appears that at least some versions of endian.h in glibc do not have
the latter two, so check for and replace each one individually.
bz#3794, ok djm@

upstream: ressurect fix for "match invalid-user" that got clobbered

by 1.423

OpenBSD-Commit-ID: d18bf0945976e0f3467d710d4bc8bdbe181c0567

upstream: Also prohibit , (comma) in hostnames, proposed by David

Leadbeater ok djm millert

OpenBSD-Commit-ID: 2837fa31dc6e81976f510f0a259edaa559b20b07

Try to fix github tcmalloc target failure

tcmalloc may, depending on the stacktrace generator it uses, create
pipe(2) fds during shared library initialisation. These will later
get clobbered by ssh/sshd calling closefrom() and chaos will ensue.
Tell tcmalloc to use an unwinder that doesn't pull this stuff.

cleanup last mention of ubuntu-20.04

prune gcc/clang versions to be tested

Test only the oldest and latest versions of each

Update AWS-LC version number

Patch from Shubham Mittal bz bz3792

adjust workflows for ubuntu version transition

remove workflows for unsupported compilers, add a few for additional
supported compilers, move some workflows to run on ubuntu-latest

Add ubuntu-*-arm test runners

remove ubuntu-20.04 Github action runners

ubuntu-20.04 is deprecated now, so migrate all its unique runners
to ubuntu-22.04.

ok dtucker@

openssh-9.9p2

upstream: Fix cases where error codes were not correctly set

Reported by the Qualys Security Advisory team. ok markus@

OpenBSD-Commit-ID: 7bcd4ffe0fa1e27ff98d451fb9c22f5fae6e610d

upstream: Don't reply to PING in preauth phase or during KEX

Reported by the Qualys Security Advisory team. ok markus@

OpenBSD-Commit-ID: c656ac4abd1504389d1733d85152044b15830217

upstream: - use \& when contructs like "e.g." end a line, to avoid

double spacing - macro is Qq not Oq

OpenBSD-Commit-ID: 17e5d2d7f288cc7fc536e3af252224525f9fb43a

depend

upstream: add "Match version" support to ssh_config. Allows

matching on the local version of OpenSSH, e.g. "Match version OpenSSH_10.*"

ok markus@

OpenBSD-Commit-ID: c0cb504d0b9e43ccf12e68a544a7cd625e89758d

upstream: Add support for "Match sessiontype" to ssh_config. Allows

matching on the type of session requested, either "shell" for interactive
sessions, "exec" for command execution sessions, "subsystem" for subsystem
requests, such as sftp, or "none" for transport/forwarding-only sessions.

ok markus@

OpenBSD-Commit-ID: eff5c001aecb2283d36639cfb28c0935a8bfd468

upstream: "Match command ..." support for ssh_config to allow

matching on the remote command specified on the commandline.

Also relaxes matching rules for `Match tagged` to allow
`Match tagged ""` to match an empty tag value. This also works
for command.

ok markus@

OpenBSD-Commit-ID: 00dcfea425bf58d824bf5e3464cfc2409121b60d

depend

upstream: include arguments the command was invoked with, and

operating system name, version and architecture in startup debugging output;
ok dtucker

OpenBSD-Commit-ID: 2a509d319aaf31a6bf9998e1842832883fbc3edd

upstream: include line number in Match debug messages, makes it a

little easier to see what's going on

OpenBSD-Commit-ID: 1fcf4aa2ee667711b9497ded0fa52d757c69b1df

upstream: fix "Match invalid-user" from incorrectly being activated

in initial configuration pass when no other predicates were present on the
match line

OpenBSD-Commit-ID: 02703b4bd207fafd03788bc4e7774bf80be6c9a8

upstream: In a section 1 manual, use the plain English words

"standard output" rather than the overly technical abbreviation "stdout" - we
are not talking about a device file or a FILE * object here. Issue reported
by <onf at disroot dot org> on the groff mailing list.

OpenBSD-Commit-ID: a0816999f970e6159523bed8484f62c42ec93109

upstream: Fix debug logging of user specific delay. Patch from

Achim Leitner (fjl5) via github PR#552.

OpenBSD-Commit-ID: 834a869ed9b15058d3c1ef0cd75402ef989255d8

upstream: Call log_init in sshd-auth and sshd-session immediately

after parsing the config file so that any log settings set in the config file
take effect immediately.  Move version banners to immediately after that, and
make them distinct per binary.  ok djm@

OpenBSD-Commit-ID: acf3d090638edf9b6e6f78eed96b537fe671f0f5

upstream: Use strprefix helper when processing sshd -C test args

instead of counting bytes by hand.  ok djm@

OpenBSD-Commit-ID: 2866d369d96fe04bf76112260ac37e489f98a9a9

add support for AWS-LC (AWS libcrypto)

Patch from Shubham Mittal via bz3784; ok dtucker

fix old typo (s/SYSVINITSTOPT/SYSVINITSTOP/)

upstream: Plug leak on error path, spotted by Coverity. ok djm@

OpenBSD-Commit-ID: b1859959374b4709569760cae0866d22a16606d3

Add $(srcdir) for standalone sk-libfido2 make target.

Fix out-of-tree build failure due to incorrect path for `sk-usbhid.c`.

upstream: replace bespoke logging of MaxSessions enforcement with

new ratelimited logging infrastructure.

Add ratelimits to logging of connections dropped by PerSourcePenalties

ok dtucker

OpenBSD-Commit-ID: f22fe7c39607e4361aadf95e33773ffd68c59489

upstream: add infrastructure for ratelimited logging; feedback/ok

dtucker

OpenBSD-Commit-ID: 18a83e5ac09d59aaf1e834fd6b796db89dd842e7

upstream: allow glob(3) patterns for sshd_config AuthorizedKeysFile

and AuthorizedPrincipalsFile directives; bz2755 ok dtucker

OpenBSD-Commit-ID: 3e3e05a17fca39bba78b993a07b44664519adf7f

upstream: support VersionAddendum in the client, mirroring the

option of the same name in the server; bz2745 ok dtucker@

OpenBSD-Commit-ID: 6ff7905b3f9806649bde750515786553fb89cdf4

upstream: clarify encoding of options/extensions; bz2389

OpenBSD-Commit-ID: c4e92356d44dfe6d0a4416deecb33d1d1eba016c

upstream: ignore SIGPIPE here; some downstreams have had this for

years...

OpenBSD-Commit-ID: 73674ee4f8ceb8fc9cb8de71d8ddea0c721eb035

upstream: sync -o option lists with ssh.1; requested jmc@

OpenBSD-Commit-ID: a7ac295b444da7b2ca7a33a52370594f6897f6bb

Remove ancient RHL 6.x config in RPM spec.

It looks like build6x options were intended for RHL 6.x
(the Red Hat distro predating Fedora, not RHEL), but were
then applied to RHEL.

Completely remove support for this ancient configuration.

Successfully built, installed and run on RHEL 6. This also
remove a build warning about deprecation of PreReq.

Add new hardware-backed signing key for myself.

Retire old non-hardware based signing key.

Fix configure implicit declaration and format warnings.

upstream: Expand $SSH to absolute path if it's not already.

Prevents problem later in increase_datafile_size if ssh is not in
the path.  Patch from quaresmajose via GHPR#510.

OpenBSD-Regress-ID: 2670a66af8b827410ca7139f0a89f4501cece77b

upstream: Change "login again" to "log in again"

in password change message.  From ThinLinc-Zeijlon via github PR#532.

OpenBSD-Commit-ID: fea5e9bc04caf613a118c419f16863733b340cf1

upstream: catch up documentation: AES-GCM is preferred to AES-CTR

OpenBSD-Commit-ID: 63360924b6834507fe70020edb936f5075043a9e

Change text from "login to" to "log in to".

From ThinLinc-Zeijlon via GHPR#532.

Fix configure message typo in sk-libfido2 standalone.

Skip 2038 key expiry test on 64 bit time_t systems.

This allows testing Y2038 with system time set to after that (i.e. 2040),
so that actual Y2038 issues can be exposed, and not masked by key expiry
errors.

Signed-off-by: Alexander Kanavin <alex@linutronix.de>

Skip 64bit expiry time test on 32bit time_t.

upstream: Add key expiry test in the 64bit time_t range for additional

coverage. From Alexander Kanavin via bz#3684.

OpenBSD-Regress-ID: bdf6eb3c2421f2e1e11483d03b34c7931d1bccf7

typo

add a Makefile target for ssh-verify-attestation

Not built by default, but easier than doing it by hand

upstream: De-magic the x11 base port number into a define. ok djm@

OpenBSD-Commit-ID: 23b85ca9d222cb739b9c33ee5e4d6ac9fdeecbfa

upstream: Prevent integer overflow in x11 port handling. These are

theoretically possible if the admin misconfigures X11DisplayOffset or the
user misconfigures their own $DISPLAY, but don't happen in normal operation.
From Suhov Roman via bz#3730, ok djm@

OpenBSD-Commit-ID: e9e3860f1a19b862ccf07dc8ecbe8f1e1034f4ed

upstream: add a work-in-progress tool to verify FIDO attestation

blobs that ssh-keygen can write when enrolling FIDO keys.

OpenBSD-Regress-ID: 6c97bf3f46e48866677ad69f54b77683eb92437f

upstream: Don't assume existence of SK provider in test. Patch from

balu.gajjala at gmail via bz#3402.

OpenBSD-Regress-ID: d571932016d07d135b54433d07520b9e1901db43

upstream: sync the list of options accepted by -o with ssh_config.5

prompted by bz3455

OpenBSD-Commit-ID: 0ecbfa70aea6c769bcc259defe07182edf461f57