- release 4 (by relup.sh)

updated source to https

config.sub is fresh enough already

remove openssh-5.8p1-authorized-keys-command.patch

never used in spec, another copy later added as
authorized-keys-command.patch

updated noarch rule

upstream patch to allow pselect6_time64 in seccomp filter

appears to be required by arm with glibc 2.33

- openssl rebuild
- release 3 (by relup.sh)

- don't bump release

- use rlimit sandbox if building without libseccomp

- release 2 (openssl 1.1.1h)

- versioned runtime dependency on libfido2

- up to 8.4p1

- up to 8.3p1

The FIDO helper has been moved to subpackage to keep it's dependencies out of client subpackage

fix build without ldap

- release 4 (by relup.sh)

- openssl rebuild
- release 3 (by relup.sh)

- release 2 (by relup.sh)

- up to 8.2p1; new - FIDO/U2F support

- rel 4; more syscalls

- rel 3; allow glibc 2.31 to work with filter

disable conch interoperability tests

python-TwistedConch version in PLD appears to be too ancient

patches tend to work better if they are applied

try disabling tests that require pty

fix sshd-keygen location in on demand service; rel 2

- up to 8.1p1

- release 3 (rebuild with openssl 1.1.1d)

- release 2 (by relup.sh)

- updated to 8.0p1 (CVE-2019-6111)

- moduli is public information (https://bugzilla.redhat.com/show_bug.cgi?id=1043661)

- release 3, rebuild against openssl-1.1.1b

- release 2 (by relup.sh)

- BR: openssl-devel >= 1.1.0g

- pass TEST_SSH_TRACE for verbose output from tests

- try random port for tests

- no longer needed

- updated to 7.9p1

- rel 4; build with openssl 1.1.1

- release 3 (by relup.sh)

- rel 2; use seccomp_filter sandbox by default; requires kernel >= 3.5 which is old enough

- up to 7.8p1

- up to 7.7p1

- openssl-1.0.2o rebuild
- release 4 (by relup.sh)

- release 3 (by relup.sh)

- release 2 (by relup.sh)

- up to 7.6p1

- release 2 (by relup.sh)

- dropped outdated TODO file

- added ldns patch (fixes ldns detection) and bcond

- up to 7.5p1

- openssl rebuild
- release 2 (by relup.sh)

- up to 7.4p1

- openssl
- release 3 (by relup.sh)

- openssl rebuild
- release 2 (by relup.sh)

do not lower ssh client security by default

ForwardX11Trusted might be enabled on command line by using -Y instead
of -X, so there's no real need for doing it system-wide(!) default.
Moreover, the rationale behind trusting remote party might be obsolete:
http://dailypackage.fedorabook.com/index.php?/archives/48-Wednesday-Why-Trusted-and-Untrusted-X11-Forwarding-with-SSH.html
Either way, trusting some potentially malicious (especially without
StrictHostKeyChecking) )remote side MUST be conscious decision.

do not repeat default config values for ssh client

do not enable upstream-disabled DSA keys

reenabling them (temporarily) should be consciuos admin decision to follow
transition period until they are ultimately removed from openssh. Note
the double-hash comment to indicate, that this is only a hint, not default

do not uncomment default values, as this suggests altering these params

- up to 7.3p1

sshd-keygen: do not exit as failure if restorecon is missing

- up to 7.2p2; fixes X11 security issue http://www.openssh.com/txt/x11fwd.adv

- openssl rebuild
- release 3 (by relup.sh)

- rel 2; x32 build fix

- updated to 7.2p1; slogin is gone
- updated ldap,chroot patches
- removed obsolete no_libnsl patch
- fixed memory leaks in chroot patch

- openssl 1.0.2g rebuild
- release 3 (by relup.sh)

- release 2 (by relup.sh)

- up to 7.1p2; fixes CVE-2016-0777 (client side problem)

- openssl 1.0.2d rebuild
- release 9 (by relup.sh)

fix broken patch from 00b8e87

see http://lists.pld-linux.org/mailman/pipermail/pld-devel-en/2015-December/024591.html

- rel 6; fix start check

- reorder so oldest/worst ones are last

- rel 6; disable rsa1 host key generation (it's used with ssh1 which is disabled in openssh >= 7.0p1 by default)

- HostkeyAlgorithms - to allow connection with older systems

enable in server, disable in client

http://lists.pld-linux.org/mailman/pipermail/pld-devel-en/2015-October/024509.html

allow dsa keys also client side, enable by default

add sample how to enable dsa keys

- updated to 7.1p1

no macro for trigger epoch

- rel 2; DSA keys warning

- up to 7.0p1

- release 2 (by relup.sh)

- added tests-reuseport (fixes regression tests failure due to missing SO_REUSEPORT feature in pre-3.9 Linux)

- up to 6.9p1

- release 12 (by relup.sh)

do not force 3.5 kernel on non-x32

3.5 kernel is needed in server, not client

really modify files (witekfl)

fix sshd-keygen in sshd initscript

- rel 7

- safecatch on x32

- do not parallelize tests

- don't pass sandbox to configure on ac

- sandbox macro is always defined

- fix sandbox macro
- rel 6

restore lost BR 3.5 kernel from cebd27d

prevent upstream provided aclocal.m4 being overwritten

add libseccomp bcond, building with it requires 3.5 kernel

with 3.4.92 kernel you get such error:
sshd[4604]: fatal: ssh_sandbox_child:libseccomp unable to load filter -22 [preauth]

drop all Upstart hacks

Release: 4

more accudate status check

sshd initscript: do not rely only on lock file

OpenSSH service is already running.
daemon sshd dead but subsys (sshd) locked

basically main pid is down, but lockfile exists.
making exception to sshd (being important service) to not to rely only
on lockfile.