From: Sam Hartman Date: Wed, 16 May 2012 18:58:36 +0000 (-0400) Subject: Update to 5.9p1-5 X-Git-Url: http://www.project-moonshot.org/gitweb/?p=openssh.git;a=commitdiff_plain;h=0261c41ab84510e8279ad2d365e9f4c8e2056e6b Update to 5.9p1-5 --- diff --git a/debian/changelog b/debian/changelog index 0fa2ddc..d165a7a 100644 --- a/debian/changelog +++ b/debian/changelog @@ -1,3 +1,37 @@ +openssh (1:5.9p1-5) unstable; urgency=low + + * Use dpkg-buildflags, including for hardening support; drop use of + hardening-includes. + * Fix cross-building: + - Allow using a cross-architecture pkg-config. + - Pass default LDFLAGS to contrib/Makefile. + - Allow dh_strip to strip gnome-ssh-askpass, rather than calling + 'install -s'. + + -- Colin Watson Mon, 02 Apr 2012 11:20:33 +0100 + +openssh (1:5.9p1-4) unstable; urgency=low + + * Disable OpenSSL version check again, as its SONAME is sufficient + nowadays (closes: #664383). + + -- Colin Watson Mon, 19 Mar 2012 11:06:30 +0000 + +openssh (1:5.9p1-3) unstable; urgency=low + + * debconf template translations: + - Update Polish (thanks, Michał Kułach; closes: #659829). + * Ignore errors writing to console in init script (closes: #546743). + * Move ssh-krb5 to Section: oldlibs. + + -- Colin Watson Fri, 24 Feb 2012 08:56:18 +0000 + +openssh (1:5.9p1-2) unstable; urgency=low + + * Mark openssh-client and openssh-server as Multi-Arch: foreign. + + -- Colin Watson Wed, 09 Nov 2011 02:06:48 +0000 + openssh (1:5.9p1-1+moonshot1) unstable; urgency=low * moonshot diff --git a/debian/control b/debian/control index 8ea645d..feff002 100644 --- a/debian/control +++ b/debian/control @@ -2,7 +2,7 @@ Source: openssh Section: net Priority: standard Maintainer: Debian OpenSSH Maintainers -Build-Depends: libwrap0-dev | libwrap-dev, zlib1g-dev (>= 1:1.2.3-1), libssl-dev (>= 0.9.8g), libpam0g-dev | libpam-dev, libgtk2.0-dev, libedit-dev, debhelper (>= 7.4.2~), libselinux1-dev [linux-any], libkrb5-dev | heimdal-dev, hardening-includes +Build-Depends: libwrap0-dev | libwrap-dev, zlib1g-dev (>= 1:1.2.3-1), libssl-dev (>= 0.9.8g), libpam0g-dev | libpam-dev, libgtk2.0-dev, libedit-dev, debhelper (>= 7.4.2~), libselinux1-dev [linux-any], libkrb5-dev | heimdal-dev, dpkg (>= 1.16.1~) Standards-Version: 3.8.4 Uploaders: Colin Watson , Matthew Vernon Homepage: http://www.openssh.org/ @@ -17,6 +17,7 @@ Conflicts: ssh (<< 1:3.8.1p1-9), sftp, rsh-client (<<0.16.1-1), ssh-krb5 (<< 1:4 Replaces: ssh, ssh-krb5 Suggests: ssh-askpass, libpam-ssh, keychain, monkeysphere Provides: rsh-client, ssh-client +Multi-Arch: foreign Description: secure shell (SSH) client, for secure access to remote machines This is the portable version of OpenSSH, a free implementation of the Secure Shell protocol as specified by the IETF secsh working @@ -49,6 +50,7 @@ Conflicts: ssh (<< 1:3.8.1p1-9), ssh-nonfree (<<2), ssh-socks, ssh2, sftp, rsh-c Replaces: ssh, openssh-client (<< 1:3.8.1p1-11), ssh-krb5 Suggests: ssh-askpass, rssh, molly-guard, ufw, monkeysphere Provides: ssh-server +Multi-Arch: foreign Description: secure shell (SSH) server, for secure access from remote machines This is the portable version of OpenSSH, a free implementation of the Secure Shell protocol as specified by the IETF secsh working @@ -80,6 +82,7 @@ Description: secure shell client and server (metapackage) may remove it if nothing depends on it. Package: ssh-krb5 +Section: oldlibs Priority: extra Architecture: all Depends: ${misc:Depends}, openssh-client, openssh-server diff --git a/debian/openssh-server.ssh.init b/debian/openssh-server.ssh.init index 62bcc21..f4c6f25 100644 --- a/debian/openssh-server.ssh.init +++ b/debian/openssh-server.ssh.init @@ -37,10 +37,10 @@ check_for_no_start() { # forget it if we're trying to start, and /etc/ssh/sshd_not_to_be_run exists if [ -e /etc/ssh/sshd_not_to_be_run ]; then if [ "$1" = log_end_msg ]; then - log_end_msg 0 + log_end_msg 0 || true fi if ! run_by_init; then - log_action_msg "OpenBSD Secure Shell server not in use (/etc/ssh/sshd_not_to_be_run)" + log_action_msg "OpenBSD Secure Shell server not in use (/etc/ssh/sshd_not_to_be_run)" || true fi exit 0 fi @@ -52,7 +52,7 @@ check_dev_null() { log_end_msg 1 || true fi if ! run_by_init; then - log_action_msg "/dev/null is not a character device!" + log_action_msg "/dev/null is not a character device!" || true fi exit 1 fi @@ -79,75 +79,73 @@ case "$1" in check_privsep_dir check_for_no_start check_dev_null - log_daemon_msg "Starting OpenBSD Secure Shell server" "sshd" + log_daemon_msg "Starting OpenBSD Secure Shell server" "sshd" || true if start-stop-daemon --start --quiet --oknodo --pidfile /var/run/sshd.pid --exec /usr/sbin/sshd -- $SSHD_OPTS; then - log_end_msg 0 + log_end_msg 0 || true else - log_end_msg 1 + log_end_msg 1 || true fi ;; stop) - log_daemon_msg "Stopping OpenBSD Secure Shell server" "sshd" + log_daemon_msg "Stopping OpenBSD Secure Shell server" "sshd" || true if start-stop-daemon --stop --quiet --oknodo --pidfile /var/run/sshd.pid; then - log_end_msg 0 + log_end_msg 0 || true else - log_end_msg 1 + log_end_msg 1 || true fi ;; reload|force-reload) check_for_no_start check_config - log_daemon_msg "Reloading OpenBSD Secure Shell server's configuration" "sshd" + log_daemon_msg "Reloading OpenBSD Secure Shell server's configuration" "sshd" || true if start-stop-daemon --stop --signal 1 --quiet --oknodo --pidfile /var/run/sshd.pid --exec /usr/sbin/sshd; then - log_end_msg 0 + log_end_msg 0 || true else - log_end_msg 1 + log_end_msg 1 || true fi ;; restart) check_privsep_dir check_config - log_daemon_msg "Restarting OpenBSD Secure Shell server" "sshd" + log_daemon_msg "Restarting OpenBSD Secure Shell server" "sshd" || true start-stop-daemon --stop --quiet --oknodo --retry 30 --pidfile /var/run/sshd.pid check_for_no_start log_end_msg check_dev_null log_end_msg if start-stop-daemon --start --quiet --oknodo --pidfile /var/run/sshd.pid --exec /usr/sbin/sshd -- $SSHD_OPTS; then - log_end_msg 0 + log_end_msg 0 || true else - log_end_msg 1 + log_end_msg 1 || true fi ;; try-restart) check_privsep_dir check_config - log_daemon_msg "Restarting OpenBSD Secure Shell server" "sshd" - set +e - start-stop-daemon --stop --quiet --retry 30 --pidfile /var/run/sshd.pid - RET="$?" - set -e + log_daemon_msg "Restarting OpenBSD Secure Shell server" "sshd" || true + RET=0 + start-stop-daemon --stop --quiet --retry 30 --pidfile /var/run/sshd.pid || RET="$?" case $RET in 0) # old daemon stopped check_for_no_start log_end_msg check_dev_null log_end_msg if start-stop-daemon --start --quiet --oknodo --pidfile /var/run/sshd.pid --exec /usr/sbin/sshd -- $SSHD_OPTS; then - log_end_msg 0 + log_end_msg 0 || true else - log_end_msg 1 + log_end_msg 1 || true fi ;; 1) # daemon not running - log_progress_msg "(not running)" - log_end_msg 0 + log_progress_msg "(not running)" || true + log_end_msg 0 || true ;; *) # failed to stop - log_progress_msg "(failed to stop)" - log_end_msg 1 + log_progress_msg "(failed to stop)" || true + log_end_msg 1 || true ;; esac ;; @@ -157,7 +155,7 @@ case "$1" in ;; *) - log_action_msg "Usage: /etc/init.d/ssh {start|stop|reload|force-reload|restart|try-restart|status}" + log_action_msg "Usage: /etc/init.d/ssh {start|stop|reload|force-reload|restart|try-restart|status}" || true exit 1 esac diff --git a/debian/patches/cross-pkg-config.patch b/debian/patches/cross-pkg-config.patch new file mode 100644 index 0000000..87818cd --- /dev/null +++ b/debian/patches/cross-pkg-config.patch @@ -0,0 +1,129 @@ +Description: Allow using a cross-architecture pkg-config +Author: Colin Watson +Bug: https://bugzilla.mindrot.org/show_bug.cgi?id=1996 +Forwarded: https://bugzilla.mindrot.org/show_bug.cgi?id=1996 +Last-Update: 2011-04-02 + +Index: b/configure +=================================================================== +--- a/configure ++++ b/configure +@@ -8739,8 +8739,9 @@ + if test "${with_libedit+set}" = set; then : + withval=$with_libedit; if test "x$withval" != "xno" ; then + if test "x$withval" = "xyes" ; then +- # Extract the first word of "pkg-config", so it can be a program name with args. +-set dummy pkg-config; ac_word=$2 ++ if test -n "$ac_tool_prefix"; then ++ # Extract the first word of "${ac_tool_prefix}pkg-config", so it can be a program name with args. ++set dummy ${ac_tool_prefix}pkg-config; ac_word=$2 + { $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5 + $as_echo_n "checking for $ac_word... " >&6; } + if ${ac_cv_path_PKGCONFIG+:} false; then : +@@ -8766,7 +8767,6 @@ + done + IFS=$as_save_IFS + +- test -z "$ac_cv_path_PKGCONFIG" && ac_cv_path_PKGCONFIG="no" + ;; + esac + fi +@@ -8780,6 +8780,63 @@ + fi + + ++fi ++if test -z "$ac_cv_path_PKGCONFIG"; then ++ ac_pt_PKGCONFIG=$PKGCONFIG ++ # Extract the first word of "pkg-config", so it can be a program name with args. ++set dummy pkg-config; ac_word=$2 ++{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5 ++$as_echo_n "checking for $ac_word... " >&6; } ++if ${ac_cv_path_ac_pt_PKGCONFIG+:} false; then : ++ $as_echo_n "(cached) " >&6 ++else ++ case $ac_pt_PKGCONFIG in ++ [\\/]* | ?:[\\/]*) ++ ac_cv_path_ac_pt_PKGCONFIG="$ac_pt_PKGCONFIG" # Let the user override the test with a path. ++ ;; ++ *) ++ as_save_IFS=$IFS; IFS=$PATH_SEPARATOR ++for as_dir in $PATH ++do ++ IFS=$as_save_IFS ++ test -z "$as_dir" && as_dir=. ++ for ac_exec_ext in '' $ac_executable_extensions; do ++ if { test -f "$as_dir/$ac_word$ac_exec_ext" && $as_test_x "$as_dir/$ac_word$ac_exec_ext"; }; then ++ ac_cv_path_ac_pt_PKGCONFIG="$as_dir/$ac_word$ac_exec_ext" ++ $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5 ++ break 2 ++ fi ++done ++ done ++IFS=$as_save_IFS ++ ++ ;; ++esac ++fi ++ac_pt_PKGCONFIG=$ac_cv_path_ac_pt_PKGCONFIG ++if test -n "$ac_pt_PKGCONFIG"; then ++ { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_pt_PKGCONFIG" >&5 ++$as_echo "$ac_pt_PKGCONFIG" >&6; } ++else ++ { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5 ++$as_echo "no" >&6; } ++fi ++ ++ if test "x$ac_pt_PKGCONFIG" = x; then ++ PKGCONFIG="no" ++ else ++ case $cross_compiling:$ac_tool_warned in ++yes:) ++{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5 ++$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;} ++ac_tool_warned=yes ;; ++esac ++ PKGCONFIG=$ac_pt_PKGCONFIG ++ fi ++else ++ PKGCONFIG="$ac_cv_path_PKGCONFIG" ++fi ++ + if test "x$PKGCONFIG" != "xno"; then + { $as_echo "$as_me:${as_lineno-$LINENO}: checking if $PKGCONFIG knows about libedit" >&5 + $as_echo_n "checking if $PKGCONFIG knows about libedit... " >&6; } +Index: b/configure.ac +=================================================================== +--- a/configure.ac ++++ b/configure.ac +@@ -1349,7 +1349,7 @@ + [ --with-libedit[[=PATH]] Enable libedit support for sftp], + [ if test "x$withval" != "xno" ; then + if test "x$withval" = "xyes" ; then +- AC_PATH_PROG([PKGCONFIG], [pkg-config], [no]) ++ AC_PATH_TOOL([PKGCONFIG], [pkg-config], [no]) + if test "x$PKGCONFIG" != "xno"; then + AC_MSG_CHECKING([if $PKGCONFIG knows about libedit]) + if "$PKGCONFIG" libedit; then +Index: b/contrib/Makefile +=================================================================== +--- a/contrib/Makefile ++++ b/contrib/Makefile +@@ -1,3 +1,5 @@ ++PKG_CONFIG = pkg-config ++ + all: + @echo "Valid targets: gnome-ssh-askpass1 gnome-ssh-askpass2" + +@@ -7,9 +9,9 @@ + `gnome-config --libs gnome gnomeui` + + gnome-ssh-askpass2: gnome-ssh-askpass2.c +- $(CC) `pkg-config --cflags gtk+-2.0` \ ++ $(CC) `$(PKG_CONFIG) --cflags gtk+-2.0` \ + gnome-ssh-askpass2.c -o gnome-ssh-askpass2 \ +- `pkg-config --libs gtk+-2.0 x11` ++ `$(PKG_CONFIG) --libs gtk+-2.0 x11` + + clean: + rm -f *.o gnome-ssh-askpass1 gnome-ssh-askpass2 gnome-ssh-askpass diff --git a/debian/patches/no-openssl-version-check.patch b/debian/patches/no-openssl-version-check.patch new file mode 100644 index 0000000..d88d0ff --- /dev/null +++ b/debian/patches/no-openssl-version-check.patch @@ -0,0 +1,27 @@ +Description: Disable OpenSSL version check + OpenSSL's SONAME is sufficient nowadays. +Author: Philip Hands +Author: Colin Watson +Bug-Debian: http://bugs.debian.org/93581 +Bug-Debian: http://bugs.debian.org/664383 +Forwarded: not-needed +Last-Update: 2012-03-19 + +Index: b/entropy.c +=================================================================== +--- a/entropy.c ++++ b/entropy.c +@@ -209,13 +209,6 @@ + #ifndef OPENSSL_PRNG_ONLY + unsigned char buf[RANDOM_SEED_SIZE]; + #endif +- /* +- * OpenSSL version numbers: MNNFFPPS: major minor fix patch status +- * We match major, minor, fix and status (not patch) +- */ +- if ((SSLeay() ^ OPENSSL_VERSION_NUMBER) & ~0xff0L) +- fatal("OpenSSL version mismatch. Built against %lx, you " +- "have %lx", (u_long)OPENSSL_VERSION_NUMBER, SSLeay()); + + #ifndef OPENSSL_PRNG_ONLY + if (RAND_status() == 1) { diff --git a/debian/patches/series b/debian/patches/series index 519b8d4..b4c08a8 100644 --- a/debian/patches/series +++ b/debian/patches/series @@ -38,8 +38,10 @@ doc-hash-tab-completion.patch # Miscellaneous bug fixes auth-log-verbosity.patch +cross-pkg-config.patch # Debian-specific configuration +no-openssl-version-check.patch gnome-ssh-askpass2-icon.patch debian-config.patch 0001-initial-empty-usernames-on-top-of-keyex-and-role.patch diff --git a/debian/po/pl.po b/debian/po/pl.po index e70ee26..ac69252 100644 --- a/debian/po/pl.po +++ b/debian/po/pl.po @@ -11,30 +11,34 @@ # # Developers do not need to manually edit POT or PO files. # +# Emil Nowak , 2004. +# Michał Kułach , 2012. msgid "" msgstr "" -"Project-Id-Version: PACKAGE VERSION\n" +"Project-Id-Version: \n" "Report-Msgid-Bugs-To: openssh@packages.debian.org\n" "POT-Creation-Date: 2010-01-02 08:55+0000\n" -"PO-Revision-Date: 2004-04-08 18:28+0200\n" -"Last-Translator: Emil Nowak \n" +"PO-Revision-Date: 2012-02-14 00:55+0100\n" +"Last-Translator: Michał Kułach \n" "Language-Team: Polish \n" "MIME-Version: 1.0\n" -"Content-Type: text/plain; charset=ISO-8859-2\n" +"Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" +"Language: pl\n" +"X-Generator: Lokalize 1.2\n" +"Plural-Forms: nplurals=3; plural=(n==1 ? 0 : n%10>=2 && n%10<=4 && (n%100<10 " +"|| n%100>=20) ? 1 : 2);\n" #. Type: boolean #. Description #: ../openssh-server.templates:1001 -#, fuzzy #| msgid "Do you want to continue (and risk killing active ssh sessions)?" msgid "Do you want to risk killing active SSH sessions?" -msgstr "Czy chcesz kontynuowaæ (i ryzykowaæ przerwaniem aktywnych sesji ssh) ?" +msgstr "Czy ryzykować przerwaniem aktywnych sesji SSH?" #. Type: boolean #. Description #: ../openssh-server.templates:1001 -#, fuzzy #| msgid "" #| "The version of /etc/init.d/ssh that you have installed, is likely to kill " #| "all running sshd instances. If you are doing this upgrade via an ssh " @@ -44,14 +48,14 @@ msgid "" "running sshd instances. If you are doing this upgrade via an SSH session, " "you're likely to be disconnected and leave the upgrade procedure unfinished." msgstr "" -"Zainstalowana w³a¶nie wersja /etc/init.d/ssh mo¿e zabiæ wszystkie dzia³aj±ce " -"obecnie kopie sshd. Je¶li wykonujesz t± aktualizacjê przez ssh, to by³aby " -"Z³a Rzecz(tm)." +"Instalowana właśnie wersja /etc/init.d/ssh może zabić wszystkie działające " +"obecnie kopie sshd. Jeśli aktualizacja jest wykonywana przez SSH, " +"prawdopodobnie zostanie wtedy przerwana i pozostawi nieukończoną procedurę " +"aktualizacji." #. Type: boolean #. Description #: ../openssh-server.templates:1001 -#, fuzzy #| msgid "" #| "You can fix this by adding \"--pidfile /var/run/sshd.pid\" to the start-" #| "stop-daemon line in the stop section of the file." @@ -59,42 +63,40 @@ msgid "" "This can be fixed by manually adding \"--pidfile /var/run/sshd.pid\" to the " "start-stop-daemon line in the stop section of the file." msgstr "" -"Mo¿esz to naprawiæ dodaj±c \"--pidfile /var/run/sshd.pid\" do linijki start-" -"stop-daemon w sekcji stop tego pliku." +"Można to naprawić dodając ręcznie \"--pidfile /var/run/sshd.pid\" do wiersza " +"start-stop-daemon w sekcji stop tego pliku." #. Type: note #. Description #: ../openssh-server.templates:2001 msgid "New host key mandatory" -msgstr "" +msgstr "Konieczny jest nowy klucz hosta" #. Type: note #. Description #: ../openssh-server.templates:2001 -#, fuzzy msgid "" "The current host key, in /etc/ssh/ssh_host_key, is encrypted with the IDEA " "algorithm. OpenSSH can not handle this host key file, and the ssh-keygen " "utility from the old (non-free) SSH installation does not appear to be " "available." msgstr "" -"Istnieje stary /etc/ssh/ssh_host_key, który jest zaszyfrowany przez IDEA. " -"OpenSSH nie umie korzystaæ z tak zaszyfrowanego klucza, a nie mo¿e znale¼æ " -"polecenia ssh-keygen ze starego SSH (non-free)." +"Obecny klucz hosta, /etc/ssh/ssh_host_key, jest zaszyfrowany algorytmem " +"IDEA. OpenSSH nie umie obsłużyć takiego pliku hosta, a dodatkowo ssh-keygen " +"ze starej (niewolnej) instalacji SSH wygląda na niedostępny." #. Type: note #. Description #: ../openssh-server.templates:2001 -#, fuzzy #| msgid "You will need to generate a new host key." msgid "You need to manually generate a new host key." -msgstr "Bêdziesz musia³ wygenerowaæ nowy klucz hosta." +msgstr "Należy ręcznie wygenerować nowy klucz hosta." #. Type: boolean #. Description #: ../openssh-server.templates:3001 msgid "Disable challenge-response authentication?" -msgstr "" +msgstr "Wyłączyć uwierzytelnianie typu pytanie-odpowiedź?" #. Type: boolean #. Description @@ -107,6 +109,12 @@ msgid "" "ensure that your PAM configuration does not allow Unix password file " "authentication." msgstr "" +"Uwierzytelnianie hasłem w obecnej konfiguracji serwera OpenSSH wygląda na " +"wyłączone. Aby zapobiec logowaniu użytkowników przy użyciu haseł (w zamian " +"prawdopodobnie będą używane klucze publiczne) w nowszych wersjach OpenSSH, " +"należy wyłączyć uwierzytelnianie typu pytanie-odpowiedź (and. challenge-" +"response) lub upewnić się, że bieżąca konfiguracja PAM uniemożliwia " +"uwierzytelnianie przy pomocy pliku haseł Unix." #. Type: boolean #. Description @@ -117,12 +125,18 @@ msgid "" "answer), then the 'PasswordAuthentication no' option will have no useful " "effect unless you also adjust your PAM configuration in /etc/pam.d/ssh." msgstr "" +"Jeśli uwierzytelnianie typu pytanie-odpowiedź zostanie wyłączone, " +"użytkownicy nie będą w stanie zalogować się przy użyciu haseł. Jeśli " +"pozostanie wybrana domyślna odpowiedź (włączone), to opcja " +"\"PasswordAuthentication no\" nie będzie przynosiła pożądanych efektów, " +"dopóki nie zostanie odpowiednio zmieniona konfiguracja PAM w pliku /etc/pam." +"d/ssh." #. Type: note #. Description #: ../openssh-server.templates:4001 msgid "Vulnerable host keys will be regenerated" -msgstr "" +msgstr "Narażone klucze zostaną wygenerowane ponownie" #. Type: note #. Description @@ -133,6 +147,10 @@ msgid "" "these host keys are from a well-known set, are subject to brute-force " "attacks, and must be regenerated." msgstr "" +"Część kluczy hosta serwera OpenSSH w tym systemie została wygenerowana " +"korzystając z wersji OpenSSL z nieprawidłowym generatorem liczb losowych. W " +"rezultacie, klucze hosta pochodzą ze znanego zestawu, który jest przedmiotem " +"ataków typu brute-force i musi zostać wygenerowany ponownie." #. Type: note #. Description @@ -143,12 +161,16 @@ msgid "" "keygen -l -f HOST_KEY_FILE' after the upgrade to print the fingerprints of " "the new host keys." msgstr "" +"Użytkownicy systemu powinni zostać poinformowani o tej zmianie, w związku z " +"informacją dotyczącą zmiany klucza hosta jaka pojawi się w trakcie ich " +"kolejnego logowania. Proszę użyć \"ssh-keygen -l -f HOST_KEY_FILE\" po tej " +"aktualizacji aby uzyskać nowe odciski kluczy hosta." #. Type: note #. Description #: ../openssh-server.templates:4001 msgid "The affected host keys are:" -msgstr "" +msgstr "Klucze hosta dotknięte problemem:" #. Type: note #. Description @@ -158,6 +180,10 @@ msgid "" "may be used as a partial test for this. See /usr/share/doc/openssh-server/" "README.compromised-keys.gz for more details." msgstr "" +"Użytkownicy również mogą być dotknięci tym problemem. Polecenie \"ssh-vulnkey" +"\" umożliwia częściowe sprawdzenie tego scenariusza. Proszę zapoznać się z /" +"usr/share/doc/openssh-server/README.compromised-keys.gz, aby uzyskać więcej " +"szczegółów." #, fuzzy #~ msgid "Generate a new configuration file for OpenSSH?" @@ -171,10 +197,10 @@ msgstr "" #~ "etc/ssh/sshd.config), which will work with the new server version, but " #~ "will not contain any customizations you made with the old version." #~ msgstr "" -#~ "W tej wersji OpenSSH zmieni³ siê plik konfiguracyjny w stosunku do wersji " -#~ "dostarczanej z Debianem 'Potato', któr± zdajesz siê aktualizowaæ. Mogê " -#~ "teraz wygenerowaæ nowy plik konfiguracyjny (/etc/ssh/sshd.config), który " -#~ "bêdzie dzia³a³ z now± wersj± serwera, ale nie bêdzie zawiera³ ¿adnych " +#~ "W tej wersji OpenSSH zmienił się plik konfiguracyjny w stosunku do wersji " +#~ "dostarczanej z Debianem 'Potato', którą zdajesz się aktualizować. Mogę " +#~ "teraz wygenerować nowy plik konfiguracyjny (/etc/ssh/sshd.config), który " +#~ "będzie działał z nową wersją serwera, ale nie będzie zawierał żadnych " #~ "dokonanych przez ciebie w starej wersji zmian." #, fuzzy @@ -190,27 +216,27 @@ msgstr "" #~ "can ssh directly in as root). Please read the README.Debian file for more " #~ "details about this design choice." #~ msgstr "" -#~ "Zauwa¿ proszê, ¿e nowy plik konfiguracyjny bêdzie ustawia³ warto¶æ opcji " -#~ "'PermitRootLogin' na 'tak' (co oznacza, ¿e ka¿dy kto zna has³o root'a " -#~ "mo¿e zdalnie zalogowaæ siê przez ssh jako root). W opinii opiekuna " -#~ "pakietu to jest poprawna warto¶æ domy¶lna (szczegó³y w README.Debian), " -#~ "ale mo¿esz sobie wyedytowaæ sshd_config i ustawiæ tê opcjê na 'nie' je¶li " -#~ "siê z t± opini± nie zgadzasz." +#~ "Zauważ proszę, że nowy plik konfiguracyjny będzie ustawiał wartość opcji " +#~ "'PermitRootLogin' na 'tak' (co oznacza, że każdy kto zna hasło root'a " +#~ "może zdalnie zalogować się przez ssh jako root). W opinii opiekuna " +#~ "pakietu to jest poprawna wartość domyślna (szczegóły w README.Debian), " +#~ "ale możesz sobie wyedytować sshd_config i ustawić tę opcję na 'nie' jeśli " +#~ "się z tą opinią nie zgadzasz." #, fuzzy #~ msgid "" #~ "It is strongly recommended that you choose to generate a new " #~ "configuration file now." #~ msgstr "" -#~ "Jest bardzo wskazane aby¶ pozwoli³ mi wygenerowaæ nowy plik " +#~ "Jest bardzo wskazane abyś pozwolił mi wygenerować nowy plik " #~ "konfiguracyjny." #~ msgid "Warning: you must create a new host key" -#~ msgstr "Uwaga: musisz utworzyæ nowy klucz hosta" +#~ msgstr "Uwaga: musisz utworzyć nowy klucz hosta" #~ msgid "Warning: telnetd is installed --- probably not a good idea" #~ msgstr "" -#~ "Uwaga: telnetd jest zainstalowany --- prawdopodobnie nienajlepszy pomys³" +#~ "Uwaga: telnetd jest zainstalowany --- prawdopodobnie nienajlepszy pomysł" #~ msgid "" #~ "I'd advise you to either remove the telnetd package (if you don't " @@ -218,52 +244,52 @@ msgstr "" #~ "there is at least some chance that telnet sessions will not be sending " #~ "unencrypted login/password and session information over the network." #~ msgstr "" -#~ "Radzi³bym albo usun±æ pakiet telnetd (je¶li nie potrzebujesz koniecznie " -#~ "udostêpniaæ telnet'a) albo zainstalowaæ telnetd-ssl aby by³a choæ " -#~ "szansza, ¿e sesje telnet nie bêd± przesy³aæ niezaszyfrowanego loginu/" -#~ "has³a oraz danych sesji przez sieæ." +#~ "Radziłbym albo usunąć pakiet telnetd (jeśli nie potrzebujesz koniecznie " +#~ "udostępniać telnet'a) albo zainstalować telnetd-ssl aby była choć " +#~ "szansza, że sesje telnet nie będą przesyłać niezaszyfrowanego loginu/" +#~ "hasła oraz danych sesji przez sieć." #~ msgid "Warning: rsh-server is installed --- probably not a good idea" #~ msgstr "" #~ "Uwaga: serwer rsh jest zainstalowany --- prawdopodobnie nienajlepszy " -#~ "pomys³" +#~ "pomysł" #~ msgid "" #~ "having rsh-server installed undermines the security that you were " #~ "probably wanting to obtain by installing ssh. I'd advise you to remove " #~ "that package." #~ msgstr "" -#~ "Posiadanie zainstalowanego serwera rsh podminowuje zabezpieczenia, które " -#~ "prawdopodobnie starasz siê uzyskaæ instaluj±c ssh. Radzi³bym usun±æ ten " +#~ "Posiadanie zainstalowanego serwera rsh podminowuje zabezpieczenia, które " +#~ "prawdopodobnie starasz się uzyskać instalując ssh. Radziłbym usunąć ten " #~ "pakiet." #~ msgid "Do you want ssh-keysign to be installed SUID root?" -#~ msgstr "Czy chcesz aby ssh-keysign by³ zainstalowany jako SUID root?" +#~ msgstr "Czy chcesz aby ssh-keysign był zainstalowany jako SUID root?" #~ msgid "" #~ "You have the option of installing the ssh-keysign helper with the SUID " #~ "bit set." #~ msgstr "" -#~ "Masz mo¿liwo¶æ zainstalowania pomocniczego programu ssh-keysign z " -#~ "w³±czonym bitem SETUID." +#~ "Masz możliwość zainstalowania pomocniczego programu ssh-keysign z " +#~ "włączonym bitem SETUID." #~ msgid "" #~ "If you make ssh-keysign SUID, you will be able to use SSH's Protocol 2 " #~ "host-based authentication." #~ msgstr "" -#~ "Je¶li uczynisz ssh-keysign SUIDowym, bêdziesz móg³ u¿ywaæ opartej na " -#~ "hostach autoryzacji drugiej wersji protoko³u SSH." +#~ "Jeśli uczynisz ssh-keysign SUIDowym, będziesz mógł używać opartej na " +#~ "hostach autoryzacji drugiej wersji protokołu SSH." #~ msgid "" #~ "If in doubt, I suggest you install it with SUID. If it causes problems " #~ "you can change your mind later by running: dpkg-reconfigure ssh" #~ msgstr "" -#~ "Je¶li masz w±tpliwo¶ci, radzê zainstalowaæ go z SUIDem. Je¶li to sprawia " -#~ "problemy, mo¿esz zmieniæ swoje zdanie uruchamiaj±c pó¼niej polecenie: " +#~ "Jeśli masz wątpliwości, radzę zainstalować go z SUIDem. Jeśli to sprawia " +#~ "problemy, możesz zmienić swoje zdanie uruchamiając później polecenie: " #~ "dpkg-reconfigure ssh" #~ msgid "Allow SSH protocol 2 only" -#~ msgstr "Zezwalaj wy³±cznie na wersjê 2 protoko³u SSH" +#~ msgstr "Zezwalaj wyłącznie na wersję 2 protokołu SSH" #~ msgid "" #~ "This version of OpenSSH supports version 2 of the ssh protocol, which is " @@ -271,50 +297,50 @@ msgstr "" #~ "things down on low end machines and might prevent older clients from " #~ "connecting (the ssh client shipped with \"potato\" is affected)." #~ msgstr "" -#~ "Ta wersja OpenSSH wspiera drug± wersjê protoko³u ssh, która jest znacznie " -#~ "bardziej bezpieczna. Wy³±czenie ssh 1 jest zalecane, choæ spowalnia to " -#~ "dzia³anie na starych maszynach i mo¿e uniemo¿liwiæ po³±czenie starszym " -#~ "wersjom klientów (dotyczy to np. klienta ssh do³±czanego do \"potato\")." +#~ "Ta wersja OpenSSH wspiera drugą wersję protokołu ssh, która jest znacznie " +#~ "bardziej bezpieczna. Wyłączenie ssh 1 jest zalecane, choć spowalnia to " +#~ "działanie na starych maszynach i może uniemożliwić połączenie starszym " +#~ "wersjom klientów (dotyczy to np. klienta ssh dołączanego do \"potato\")." #~ msgid "" #~ "Also please note that keys used for protocol 1 are different so you will " #~ "not be able to use them if you only allow protocol 2 connections." #~ msgstr "" -#~ "Ponadto, zauwa¿ proszê, ¿e klucze u¿ywane przez protokó³ 1 s± inne, wiêc " -#~ "nie bêdziesz móg³ ich u¿ywaæ je¶li zezwolisz na korzystanie wy³±cznie z " -#~ "wersji 2 protoko³u." +#~ "Ponadto, zauważ proszę, że klucze używane przez protokół 1 są inne, więc " +#~ "nie będziesz mógł ich używać jeśli zezwolisz na korzystanie wyłącznie z " +#~ "wersji 2 protokołu." #~ msgid "" #~ "If you later change your mind about this setting, README.Debian has " #~ "instructions on what to do to your sshd_config file." #~ msgstr "" -#~ "Je¶li pó¼niej zmienisz zdanie co do tego ustawienia, to instrukcje co " -#~ "zmieniæ w sshd_config znajduj± siê w README.Debian." +#~ "Jeśli później zmienisz zdanie co do tego ustawienia, to instrukcje co " +#~ "zmienić w sshd_config znajdują się w README.Debian." #~ msgid "NOTE: Forwarding of X11 and Authorization disabled by default." #~ msgstr "" -#~ "UWAGA: Przekazywanie (forwarding) X11 i Autoryzacji jest domy¶lnie " -#~ "wy³±czone." +#~ "UWAGA: Przekazywanie (forwarding) X11 i Autoryzacji jest domyślnie " +#~ "wyłączone." #~ msgid "" #~ "For security reasons, the Debian version of ssh has ForwardX11 and " #~ "ForwardAgent set to ``off'' by default." #~ msgstr "" -#~ "Ze wzglêdów bezpieczeñstwa Debianowa wersja ssh ma ForwardX11 i " -#~ "ForwardAgent ustawione domy¶lnie na 'off'." +#~ "Ze względów bezpieczeństwa Debianowa wersja ssh ma ForwardX11 i " +#~ "ForwardAgent ustawione domyślnie na 'off'." #~ msgid "" #~ "You can enable it for servers you trust, either in one of the " #~ "configuration files, or with the -X command line option." #~ msgstr "" -#~ "Dla zaufanych serwerów mo¿esz w³±czyæ te opcje w pliku konfiguracyjnym " +#~ "Dla zaufanych serwerów możesz włączyć te opcje w pliku konfiguracyjnym " #~ "lub przy pomocy opcji -X z linii komend." #~ msgid "More details can be found in /usr/share/doc/ssh/README.Debian" -#~ msgstr "Wiêcej szczegó³ów znajdziesz w /usr/share/doc/ssh/README.Debian." +#~ msgstr "Więcej szczegółów znajdziesz w /usr/share/doc/ssh/README.Debian." #~ msgid "ssh2 keys merged in configuration files" -#~ msgstr "klucze ssh2 w³±czone do plików konfiguracyjnych" +#~ msgstr "klucze ssh2 włączone do plików konfiguracyjnych" #~ msgid "" #~ "As of version 3 OpenSSH no longer uses separate files for ssh1 and ssh2 " @@ -322,35 +348,35 @@ msgstr "" #~ "longer needed. They will still be read in order to maintain backwards " #~ "compatibility" #~ msgstr "" -#~ "Pocz±wszy od wersji 3 OpenSSH nie u¿ywa ju¿ osobnych plików dla kluczy " -#~ "ssh1 i ssh2. Oznacza to, ¿e pliki authorized_keys2 i known_hosts2 nie s± " -#~ "ju¿ potrzebne. Bêd± one jednak odczytywane aby zachowaæ wsteczn± " -#~ "kompatybilno¶æ." +#~ "Począwszy od wersji 3 OpenSSH nie używa już osobnych plików dla kluczy " +#~ "ssh1 i ssh2. Oznacza to, że pliki authorized_keys2 i known_hosts2 nie są " +#~ "już potrzebne. Będą one jednak odczytywane aby zachować wsteczną " +#~ "kompatybilność." #~ msgid "Do you want to run the sshd server?" -#~ msgstr "Czy chcesz uruchamiaæ serwer sshd ?" +#~ msgstr "Czy chcesz uruchamiać serwer sshd ?" #~ msgid "This package contains both the ssh client, and the sshd server." -#~ msgstr "Ten pakiet zawiera zarówno klienta ssh, jak i serwer sshd." +#~ msgstr "Ten pakiet zawiera zarówno klienta ssh, jak i serwer sshd." #~ msgid "" #~ "Normally the sshd Secure Shell Server will be run to allow remote logins " #~ "via ssh." #~ msgstr "" -#~ "Normalnie serwer sshd (Secure Shell Server) bêdzie uruchomiony aby " -#~ "umo¿liwiæ zdalny dostêp przez ssh." +#~ "Normalnie serwer sshd (Secure Shell Server) będzie uruchomiony aby " +#~ "umożliwić zdalny dostęp przez ssh." #~ msgid "" #~ "If you are only interested in using the ssh client for outbound " #~ "connections on this machine, and don't want to log into it at all using " #~ "ssh, then you can disable sshd here." #~ msgstr "" -#~ "Je¶li jeste¶ zainteresowany u¿ywaniem wy³±cznie klienta ssh dla po³±czeñ " -#~ "wychodz±cych z tej maszyny, i nie chcesz siê na ni± logowaæ przy pomocy " -#~ "ssh, to mo¿esz teraz wy³±czyæ serwer sshd." +#~ "Jeśli jesteś zainteresowany używaniem wyłącznie klienta ssh dla połączeń " +#~ "wychodzących z tej maszyny, i nie chcesz się na nią logować przy pomocy " +#~ "ssh, to możesz teraz wyłączyć serwer sshd." #~ msgid "Environment options on keys have been deprecated" -#~ msgstr "Odradzamy stosowanie ustawieñ ¶rodowiskowych dla kluczy." +#~ msgstr "Odradzamy stosowanie ustawień środowiskowych dla kluczy." #~ msgid "" #~ "This version of OpenSSH disables the environment option for public keys " @@ -358,54 +384,54 @@ msgstr "" #~ "If you are using this option in an authorized_keys file, beware that the " #~ "keys in question will no longer work until the option is removed." #~ msgstr "" -#~ "Ta wersja OpenSSH ma wy³±czon± opcjê wykorzystywania ustawieñ " -#~ "¶rodowiskowych dla kluczy publicznych. Mo¿na dziêki temu unikn±æ pewnych " -#~ "ataków (jak np.: LD_PRELOAD). Je¿eli u¿ywasz tej opcji w pliku " -#~ "authorized_keys, to zawarte w nim klucze nie bêd± dzia³aæ dopóki ta opcja " -#~ "nie zostanie usuniêta." +#~ "Ta wersja OpenSSH ma wyłączoną opcję wykorzystywania ustawień " +#~ "środowiskowych dla kluczy publicznych. Można dzięki temu uniknąć pewnych " +#~ "ataków (jak np.: LD_PRELOAD). Jeżeli używasz tej opcji w pliku " +#~ "authorized_keys, to zawarte w nim klucze nie będą działać dopóki ta opcja " +#~ "nie zostanie usunięta." #~ msgid "" #~ "To re-enable this option, set \"PermitUserEnvironment yes\" in /etc/ssh/" #~ "sshd_config after the upgrade is complete, taking note of the warning in " #~ "the sshd_config(5) manual page." #~ msgstr "" -#~ "Aby ponownie w³±czyæ tê opcjê, nale¿y dodaæ wpis \"PermitUserEnvironment " -#~ "yes\" do pliku /etc/ssh/sshd_config po ukoñczeniu aktualizacji. Przy " -#~ "zmianie konfiguracji nale¿y zapoznaæ siê z informacjami zawartymi na " -#~ "stronie podrêcznika systemowego sshd_config(5)." +#~ "Aby ponownie włączyć tę opcję, należy dodać wpis \"PermitUserEnvironment " +#~ "yes\" do pliku /etc/ssh/sshd_config po ukończeniu aktualizacji. Przy " +#~ "zmianie konfiguracji należy zapoznać się z informacjami zawartymi na " +#~ "stronie podręcznika systemowego sshd_config(5)." #~ msgid "Privilege separation" -#~ msgstr "Separacja uprawnieñ" +#~ msgstr "Separacja uprawnień" #~ msgid "" #~ "Privilege separation is turned on by default, so if you decide you want " #~ "it turned off, you need to add \"UsePrivilegeSeparation no\" to /etc/ssh/" #~ "sshd_config." #~ msgstr "" -#~ "Separacja uprawnieñ jest domy¶lnie w³±czona, wiêc je¶li zdecydujesz siê " -#~ "j± wy³±czyæ, musisz dodaæ \"UsePrivilegeSeparation no\" do pliku /etc/ssh/" +#~ "Separacja uprawnień jest domyślnie włączona, więc jeśli zdecydujesz się " +#~ "ją wyłączyć, musisz dodać \"UsePrivilegeSeparation no\" do pliku /etc/ssh/" #~ "sshd_config." #~ msgid "Enable Privilege separation" -#~ msgstr "W³±czenie separacji uprawnieñ" +#~ msgstr "Włączenie separacji uprawnień" #~ msgid "" #~ "This version of OpenSSH contains the new privilege separation option. " #~ "This significantly reduces the quantity of code that runs as root, and " #~ "therefore reduces the impact of security holes in sshd." #~ msgstr "" -#~ "Ta wersja OpenSSH zawiera now± opcjê separacji uprawnieñ. Znacz±co " -#~ "zmniejsza ona ilo¶æ kodu, który jest uruchamiany jako root i co za tym " -#~ "idzie redukuje efekty luk bezpieczeñstwa w sshd." +#~ "Ta wersja OpenSSH zawiera nową opcję separacji uprawnień. Znacząco " +#~ "zmniejsza ona ilość kodu, który jest uruchamiany jako root i co za tym " +#~ "idzie redukuje efekty luk bezpieczeństwa w sshd." #~ msgid "" #~ "Unfortunately, privilege separation interacts badly with PAM. Any PAM " #~ "session modules that need to run as root (pam_mkhomedir, for example) " #~ "will fail, and PAM keyboard-interactive authentication won't work." #~ msgstr "" -#~ "Niestety separacja uprawnieñ ¼le reaguje z PAMem. Jakikolwiek modu³ sesji " -#~ "PAM, który musi byæ uruchamiany jako root (pam_mkhomedir, na przyk³ad) " -#~ "zawiedzie. Nie bêdzie dzia³aæ równie¿ interaktywna autentykacja z " +#~ "Niestety separacja uprawnień źle reaguje z PAMem. Jakikolwiek moduł sesji " +#~ "PAM, który musi być uruchamiany jako root (pam_mkhomedir, na przykład) " +#~ "zawiedzie. Nie będzie działać również interaktywna autentykacja z " #~ "klawiatury (keyboard-interactive authentication)." #, fuzzy @@ -415,18 +441,18 @@ msgstr "" #~ "Unless you know you need to use PAM features that won't work with this " #~ "option, you should enable it." #~ msgstr "" -#~ "Zdecydowa³e¶ siê na to abym wygenerowa³ dla ciebie plik sshd_config, i " -#~ "mo¿esz wybraæ czy chcesz w³±czyæ Separacjê Uprawnieñ, czy te¿ nie. Je¶li " -#~ "nie u¿ywasz j±dra z serii 2.0 (w którym to przypadku *musisz* " -#~ "odpowiedzieæ tutaj 'nie' albo sshd w ogóle nie ruszy) i je¶li nie musisz " -#~ "korzystaæ z mo¿liwo¶ci PAMa, które nie bêd± dzia³a³y z t± opcj±, " -#~ "powiniene¶ odpowiedzieæ tutaj 'tak'." +#~ "Zdecydowałeś się na to abym wygenerował dla ciebie plik sshd_config, i " +#~ "możesz wybrać czy chcesz włączyć Separację Uprawnień, czy też nie. Jeśli " +#~ "nie używasz jądra z serii 2.0 (w którym to przypadku *musisz* " +#~ "odpowiedzieć tutaj 'nie' albo sshd w ogóle nie ruszy) i jeśli nie musisz " +#~ "korzystać z możliwości PAMa, które nie będą działały z tą opcją, " +#~ "powinieneś odpowiedzieć tutaj 'tak'." #~ msgid "" #~ "NB! If you are running a 2.0 series Linux kernel, then privilege " #~ "separation will not work at all, and your sshd will fail to start unless " #~ "you explicitly turn privilege separation off." #~ msgstr "" -#~ "UWAGA! Je¿eli u¿ywasz j±dra Linux'a z serii 2.0, to separacja uprawnieñ w " -#~ "ogóle nie bêdzie dzia³aæ i sshd nie wystartuje dopóki w³asnorêcznie nie " -#~ "wy³±czysz separacji uprawnieñ w /etc/ssh/sshd_config." +#~ "UWAGA! Jeżeli używasz jądra Linux'a z serii 2.0, to separacja uprawnień w " +#~ "ogóle nie będzie działać i sshd nie wystartuje dopóki własnoręcznie nie " +#~ "wyłączysz separacji uprawnień w /etc/ssh/sshd_config." diff --git a/debian/rules b/debian/rules index ce56fde..889b5a0 100755 --- a/debian/rules +++ b/debian/rules @@ -3,17 +3,9 @@ # Uncomment this to turn on verbose mode. # export DH_VERBOSE=1 -include /usr/share/hardening-includes/hardening.make - # This has to be exported to make some magic below work. export DH_OPTIONS -ifeq (,$(filter noopt,$(DEB_BUILD_OPTIONS))) -OPTFLAGS := -O2 -else -OPTFLAGS := -O0 -endif - ifeq (,$(filter nocheck,$(DEB_BUILD_OPTIONS))) RUN_TESTS := yes else @@ -25,13 +17,14 @@ DEB_BUILD_GNU_TYPE ?= $(shell dpkg-architecture -qDEB_BUILD_GNU_TYPE) ifeq ($(DEB_BUILD_GNU_TYPE),$(DEB_HOST_GNU_TYPE)) CC := gcc + PKG_CONFIG = pkg-config else CC := $(DEB_HOST_GNU_TYPE)-gcc + PKG_CONFIG = $(DEB_HOST_GNU_TYPE)-pkg-config RUN_TESTS := endif DEB_HOST_ARCH_OS := $(shell dpkg-architecture -qDEB_HOST_ARCH_OS 2>/dev/null) -DEB_HOST_ARCH_CPU := $(shell dpkg-architecture -qDEB_HOST_ARCH_CPU 2>/dev/null) # Take account of old dpkg-architecture output. ifeq ($(DEB_HOST_ARCH_OS),) @@ -40,20 +33,6 @@ ifeq ($(DEB_HOST_ARCH_OS),) DEB_HOST_ARCH_OS := hurd endif endif -ifeq ($(DEB_HOST_ARCH_CPU),) - DEB_HOST_ARCH_CPU := $(shell dpkg-architecture -qDEB_HOST_GNU_CPU) - ifeq ($(DEB_HOST_ARCH_CPU),x86_64) - DEB_HOST_ARCH_CPU := amd64 - endif -endif - -ifneq (,$(findstring :$(DEB_HOST_ARCH_OS):,:linux:knetbsd:)) - ifneq (,$(findstring :$(DEB_HOST_ARCH_CPU):,:mips:mipsel:)) - # Apparently this is not implied by -fPIE, at least on the mipsen. - PIC_CFLAGS := -fPIC - PIC_LDFLAGS := -fPIC - endif -endif # Change the version string to include the Debian version SSH_EXTRAVERSION := Debian-$(shell dpkg-parsechangelog | sed -n -e '/^Version:/s/Version: //p' | sed -e 's/[^-]*-//') @@ -108,7 +87,9 @@ confflags += --with-default-path=$(DEFAULT_PATH) --with-superuser-path=$(SUPERUS confflags_udeb += --with-default-path=/usr/local/bin:/usr/bin:/bin --with-superuser-path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin # Compiler flags. -cflags := $(OPTFLAGS) $(PIC_CFLAGS) $(HARDENING_CFLAGS) +export DEB_BUILD_MAINT_OPTIONS := hardening=+all +default_cflags := $(shell dpkg-buildflags --get CPPFLAGS) $(shell dpkg-buildflags --get CFLAGS) +cflags := $(default_cflags) cflags += -DLOGIN_PROGRAM=\"/bin/login\" -DLOGIN_NO_ENDOPT cflags += -DSSH_EXTRAVERSION=\"$(SSH_EXTRAVERSION)\" cflags_udeb := -Os @@ -117,7 +98,8 @@ confflags += --with-cflags='$(cflags)' confflags_udeb += --with-cflags='$(cflags_udeb)' # Linker flags. -confflags += --with-ldflags='$(strip -Wl,--as-needed $(PIC_LDFLAGS) $(HARDENING_LDFLAGS))' +default_ldflags := $(shell dpkg-buildflags --get LDFLAGS) +confflags += --with-ldflags='$(strip -Wl,--as-needed $(default_ldflags))' confflags_udeb += --with-ldflags='-Wl,--as-needed' %: @@ -139,7 +121,7 @@ override_dh_auto_build: $(MAKE) -C build-deb -j 2 ASKPASS_PROGRAM='/usr/bin/ssh-askpass' $(MAKE) -C build-udeb -j 2 ASKPASS_PROGRAM='/usr/bin/ssh-askpass' ssh scp sftp sshd ssh-keygen - $(MAKE) -C contrib gnome-ssh-askpass2 CC='$(CC) $(OPTFLAGS) -g -Wall -Wl,--as-needed' + $(MAKE) -C contrib gnome-ssh-askpass2 CC='$(CC) $(default_cflags) -Wall -Wl,--as-needed $(default_ldflags)' PKG_CONFIG=$(PKG_CONFIG) override_dh_auto_test: ifeq ($(RUN_TESTS),yes) @@ -165,7 +147,7 @@ override_dh_install: dh_install -popenssh-client-udeb -popenssh-server-udeb \ --sourcedir=build-udeb - install -s -o root -g root -m 755 contrib/gnome-ssh-askpass2 debian/ssh-askpass-gnome/usr/lib/openssh/gnome-ssh-askpass + install -o root -g root -m 755 contrib/gnome-ssh-askpass2 debian/ssh-askpass-gnome/usr/lib/openssh/gnome-ssh-askpass install -o root -g root debian/openssh-server.if-up debian/openssh-server/etc/network/if-up.d/openssh-server install -o root -g root -m 644 debian/openssh-server.ufw.profile debian/openssh-server/etc/ufw/applications.d/openssh-server