- stevesk@cvs.openbsd.org 2006/07/21 21:13:30
     [channels.c]
     more ARGSUSED (lint) for dispatch table-driven functions; ok djm@

   - dtucker@cvs.openbsd.org 2006/07/21 12:43:36
     [channels.c channels.h servconf.c servconf.h sshd_config.5]
     Make PermitOpen take a list of permitted ports and act more like most
     other keywords (ie the first match is the effective setting). This
     also makes it easier to override a previously set PermitOpen. ok djm@

   - stevesk@cvs.openbsd.org 2006/07/20 15:26:15
     [auth1.c serverloop.c session.c sshconnect2.c]
     missed some needed #include <unistd.h> when KERBEROS5=no; issue from
     massimo@cedoc.mo.it

   - dtucker@cvs.openbsd.org 2006/07/19 13:07:10
     [servconf.c servconf.h session.c sshd.8 sshd_config sshd_config.5]
     Add ForceCommand keyword to sshd_config, equivalent to the "command="
     key option, man page entry and example in sshd_config.
     Feedback & ok djm@, man page corrections & ok jmc@

   - dtucker@cvs.openbsd.org 2006/07/19 08:56:41
     [servconf.c sshd_config.5]
     Add support for X11Forwaring, X11DisplayOffset and X11UseLocalhost to
     Match.  ok djm@

   - stevesk@cvs.openbsd.org 2006/07/18 22:27:55
     [dh.c]
     remove unneeded includes; ok djm@

   - dtucker@cvs.openbsd.org 2006/07/18 08:22:23
     [sshd_config.5]
     Clarify description of Match, with minor correction from jmc@

   - jmc@cvs.openbsd.org 2006/07/18 08:03:09
     [ssh-agent.1 sshd_config.5]
     mark up angle brackets;

   - jmc@cvs.openbsd.org 2006/07/18 07:56:28
     [scp.1]
     replace DIAGNOSTICS with .Ex;

   - jmc@cvs.openbsd.org 2006/07/18 07:50:40
     [sshd_config.5]
     tweak; ok dtucker

   - dtucker@cvs.openbsd.org 2006/07/17 12:06:00
     [channels.c channels.h servconf.c sshd_config.5]
     Add PermitOpen directive to sshd_config which is equivalent to the
     "permitopen" key option.  Allows server admin to allow TCP port
     forwarding only two specific host/port pairs.  Useful when combined
     with Match.
     If permitopen is used in both sshd_config and a key option, both
     must allow a given connection before it will be permitted.
     Note that users can still use external forwarders such as netcat,
     so to be those must be controlled too for the limits to be effective.
     Feedback & ok djm@, man page corrections & ok jmc@.

   - dtucker@cvs.openbsd.org 2006/07/17 12:02:24
     [auth-options.c]
     Use '\0' rather than 0 to terminates strings; ok djm@

   - stevesk@cvs.openbsd.org 2006/07/17 01:31:10
     [authfd.c authfile.c channels.c cleanup.c clientloop.c groupaccess.c]
     [includes.h log.c misc.c msg.c packet.c progressmeter.c readconf.c]
     [readpass.c scp.c servconf.c sftp-client.c sftp-server.c sftp.c]
     [ssh-add.c ssh-agent.c ssh-keygen.c ssh-keyscan.c ssh-keysign.c ssh.c]
     [sshconnect.c sshlogin.c sshpty.c uidswap.c]
     move #include <unistd.h> out of includes.h

   - stevesk@cvs.openbsd.org 2006/07/14 01:15:28
     [monitor_wrap.h]
     don't need incompletely-typed 'struct passwd' now with
     #include <pwd.h>; ok markus@

   - stevesk@cvs.openbsd.org 2006/07/12 22:42:32
     [includes.h ssh.c ssh-rand-helper.c]
     move #include <stddef.h> out of includes.h

tidy

   - stevesk@cvs.openbsd.org 2006/07/12 22:28:52
     [auth-options.c canohost.c channels.c includes.h readconf.c servconf.c ssh-keyscan.c ssh.c sshconnect.c sshd.c]
     move #include <netdb.h> out of includes.h; ok djm@

   - jmc@cvs.openbsd.org 2006/07/12 13:39:55
     [sshd_config.5]
      - new sentence, new line
      - s/The the/The/
      - kill a bad comma

 - (dtucker) [auth-krb5.c auth-pam.c] Still more errno.h

 - (dtucker) [openbsd-compat/bsd-asprintf.c openbsd-compat/port-aix.c
   openbsd-compat/rresvport.c] More errno.h.

 - (dtucker) [openbsd-compat/openbsd-compat.h] v*printf needs stdarg.h.

 - (dtucker) [ssh-keyscan.c ssh-rand-helper.c] More errno.h here too.

 - (dtucker) [openbsd-compat/setproctitle.c] Include stdarg.h.

 - (dtucker) [loginrec.c openbsd-compat/xmmap.c openbsd-compat/bindresvport.c
   openbsd-compat/glob.c openbsd-compat/mktemp.c openbsd-compat/port-tun.c
   openbsd-compat/readpassphrase.c openbsd-compat/strtonum.c] Include <errno.h>.

 - (dtucker) [openbsd-compat/xmmap.c] Include <errno.h>.

   - dtucker@cvs.openbsd.org 2006/07/12 11:34:58
     [sshd.c servconf.h servconf.c sshd_config.5 auth.c]
     Add support for conditional directives to sshd_config via a "Match"
     keyword, which works similarly to the "Host" directive in ssh_config.
     Lines after a Match line override the default set in the main section
     if the condition on the Match line is true, eg
     AllowTcpForwarding yes
     Match User anoncvs
             AllowTcpForwarding no
     will allow port forwarding by all users except "anoncvs".
     Currently only a very small subset of directives are supported.
     ok djm@

   - stevesk@cvs.openbsd.org 2006/07/11 20:27:56
     [authfile.c ssh.c]
     need <errno.h> here also (it's also included in <openssl/err.h>)

   - stevesk@cvs.openbsd.org 2006/07/11 20:16:43
     [ssh.c]
     cast asterisk field precision argument to int to remove warning;
     ok markus@

   - stevesk@cvs.openbsd.org 2006/07/11 20:07:25
     [scp.c auth.c monitor.c serverloop.c sftp-server.c sshpty.c readpass.c
     sshd.c monitor_wrap.c monitor_fdpass.c ssh-agent.c ttymodes.c atomicio.c
     includes.h session.c sshlogin.c monitor_mm.c packet.c sshconnect2.c
     sftp-client.c nchan.c clientloop.c sftp.c misc.c canohost.c channels.c
     ssh-keygen.c progressmeter.c uidswap.c msg.c readconf.c sshconnect.c]
     move #include <errno.h> out of includes.h; ok markus@

   - markus@cvs.openbsd.org 2006/07/11 18:50:48
     [clientloop.c ssh.1 ssh.c channels.c ssh_config.5 readconf.h session.c
     channels.h readconf.c]
     add ExitOnForwardFailure: terminate the connection if ssh(1)
     cannot set up all requested dynamic, local, and remote port
     forwardings. ok djm, dtucker, stevesk, jmc

   - dtucker@cvs.openbsd.org 2006/07/11 10:12:07
     [ssh.c]
     Only copy the part of environment variable that we actually use.  Prevents
     ssh bailing when SendEnv is used and an environment variable with a really
     long value exists.  ok djm@

   - stevesk@cvs.openbsd.org 2006/07/10 16:37:36
     [readpass.c log.h scp.c fatal.c xmalloc.c includes.h ssh-keyscan.c misc.c
     auth.c packet.c log.c]
     move #include <stdarg.h> out of includes.h; ok markus@

   - jmc@cvs.openbsd.org 2006/07/10 16:04:21
     [sshd.8]
     s/and and/and/

   - stevesk@cvs.openbsd.org 2006/07/10 16:01:57
     [sftp-glob.c sftp-common.h sftp.c]
     buffer.h only needed in sftp-common.h and remove some unneeded
     user includes; ok djm@

 - (dtucker) [openbsd-compat/port-tun.c] OpenBSD needs <netinet/in.h> before
   <netinet/ip.h>.

 - (dtucker) [configure.ac] OpenBSD needs <sys/types.h> before <sys/socket.h>
   for SHUT_RD.

rewrap

 - (dtucker) [configure.ac defines.h] Only define SHUT_RD (and friends) and O_NONBLOCK
   if they're really needed.  Fixes build errors on HP-UX, old Linuxes and probably
   more.

 - (dtucker) [entropy.c] More fcntl.h, this time on AIX (and probably
   others).

 - (dtucker) [configure.ac ssh-keygen.c openbsd-compat/bsd-openpty.c
   openbsd-compat/daemon.c] Add includes needed by open(2).  Conditionally
   include paths.h.  Fixes build error on Solaris.

 - (dtucker) [configure.ac ssh-keygen.c openbsd-compat/bsd-openpty.c
   openbsd-compat/daemon.c] Add includes needed by open(2).  Conditionally
   include paths.h.  Fixes build error on Solaris.

 - (dtucker) [openbsd-compat/openbsd-compat.h] Need to include <sys/socket.h>
   for struct sockaddr on platforms that use the fake-rfc stuff.

   - dtucker@cvs.openbsd.org 2006/07/10 12:46:51
     [misc.c misc.h sshd.8 sshconnect.c]
     Add port identifier to known_hosts for non-default ports, based originally
     on a patch from Devin Nate in bz#910.
     For any connection using the default port or using a HostKeyAlias the
     format is unchanged, otherwise the host name or address is enclosed
     within square brackets in the same format as sshd's ListenAddress.
     Tested by many, ok markus@.

   - djm@cvs.openbsd.org 2006/07/10 12:08:08
     [channels.c]
     fix misparsing of SOCKS 5 packets that could result in a crash;
     reported by mk@ ok markus@

   - djm@cvs.openbsd.org 2006/07/10 12:03:20
     [scp.c]
     duplicate argv at the start of main() because it gets modified later;
     pointed out by deraadt@ ok markus@

 - (djm) [loginrec.c ssh-rand-helper.c sshd.c openbsd-compat/glob.c]
   [openbsd-compat/mktemp.c openbsd-compat/openbsd-compat.h]
   [openbsd-compat/port-tun.c openbsd-compat/readpassphrase.c]
   [openbsd-compat/xcrypt.c] Fix includes.h fallout, mainly fcntl.h

   - djm@cvs.openbsd.org 2006/07/10 11:25:53
     [sftp-server.c]
     don't log variables that aren't yet set

   - djm@cvs.openbsd.org 2006/07/10 11:24:54
     [sftp-server.c]
     remove optind - it isn't used here

   - stevesk@cvs.openbsd.org 2006/07/09 15:27:59
     [ssh-add.c]
     use O_RDONLY vs. 0 in open(); no binary change

   - stevesk@cvs.openbsd.org 2006/07/09 15:15:11
     [auth2-none.c authfd.c authfile.c includes.h misc.c monitor.c]
     [readpass.c scp.c serverloop.c sftp-client.c sftp-server.c]
     [ssh-add.c ssh-agent.c ssh-keygen.c ssh-keysign.c ssh.c sshd.c]
     [sshlogin.c sshpty.c]
     move #include <fcntl.h> out of includes.h

   - stevesk@cvs.openbsd.org 2006/07/08 23:30:06
     [log.c]
     move user includes after /usr/include files

   - stevesk@cvs.openbsd.org 2006/07/08 21:48:53
     [monitor.c session.c]
     missed these from last commit:
     move #include <sys/socket.h> out of includes.h

   - stevesk@cvs.openbsd.org 2006/07/08 21:47:12
     [authfd.c canohost.c clientloop.c dns.c dns.h includes.h]
     [monitor_fdpass.c nchan.c packet.c servconf.c sftp.c ssh-agent.c]
     [ssh-keyscan.c ssh.c sshconnect.h sshd.c sshlogin.h]
     move #include <sys/socket.h> out of includes.h

   - stevesk@cvs.openbsd.org 2006/07/06 17:36:37
     [monitor_wrap.h]
     typo in comment

   - stevesk@cvs.openbsd.org 2006/07/06 16:22:39
     [ssh-keygen.c]
     move #include "dns.h" up

   - stevesk@cvs.openbsd.org 2006/07/06 16:03:53
     [auth-options.c auth-options.h auth-passwd.c auth-rh-rsa.c]
     [auth-rhosts.c auth-rsa.c auth.c auth.h auth2-hostbased.c]
     [auth2-pubkey.c auth2.c includes.h misc.c misc.h monitor.c]
     [monitor_wrap.c monitor_wrap.h scp.c serverloop.c session.c]
     [session.h sftp-common.c ssh-add.c ssh-keygen.c ssh-keysign.c]
     [ssh.c sshconnect.c sshconnect.h sshd.c sshpty.c sshpty.h uidswap.c]
     [uidswap.h]
     move #include <pwd.h> out of includes.h; ok markus@

   - djm@cvs.openbsd.org 2006/07/06 10:47:57
     [sftp-server.8 sftp-server.c]
     add commandline options to enable logging of transactions; ok markus@

   - djm@cvs.openbsd.org 2006/07/06 10:47:05
     [servconf.c servconf.h session.c sshd_config.5]
     support arguments to Subsystem commands; ok markus@

   - stevesk@cvs.openbsd.org 2006/07/05 02:42:09
     [canohost.c hostfile.c includes.h misc.c packet.c readconf.c]
     [serverloop.c sshconnect.c uuencode.c]
     move #include <netinet/in.h> out of includes.h; ok deraadt@
     (also ssh-rand-helper.c logintest.c loginrec.c)

   - stevesk@cvs.openbsd.org 2006/07/03 17:59:32
     [channels.c includes.h]
     move #include <arpa/inet.h> out of includes.h; old ok djm@
     (portable needed session.c too)

   - stevesk@cvs.openbsd.org 2006/07/03 08:54:20
     [includes.h ssh.c sshconnect.c sshd.c]
     move #include "version.h" out of includes.h; ok markus@

   - stevesk@cvs.openbsd.org 2006/07/02 23:01:55
     [clientloop.c ssh.1]
     use -KR[bind_address:]port here; ok djm@

   - stevesk@cvs.openbsd.org 2006/07/02 22:45:59
     [groupaccess.c groupaccess.h includes.h session.c sftp-common.c sshpty.c]
     move #include <grp.h> out of includes.h
     (portable needed uidswap.c too)

   - stevesk@cvs.openbsd.org 2006/07/02 18:36:47
     [gss-serv-krb5.c gss-serv.c]
     no "servconf.h" needed here
     (gss-serv-krb5.c change not applied, portable needs the server options)

   - stevesk@cvs.openbsd.org 2006/07/02 17:12:58
     [ssh.1 ssh.c ssh_config.5 sshd_config.5]
     more details and clarity for tun(4) device forwarding; ok and help
     jmc@

   - djm@cvs.openbsd.org 2006/06/26 10:36:15
     [clientloop.c]
     mention optional bind_address in runtime port forwarding setup
     command-line help. patch from santhi.amirta AT gmail.com

 - OpenBSD CVS Sync
   - djm@cvs.openbsd.org 2006/06/14 10:50:42
     [sshconnect.c]
     limit the number of pre-banner characters we will accept; ok markus@

 - (dtucker) [INSTALL] New autoconf version: 2.60.

 - (dtucker) [INSTALL] A bit more info on autoconf.

 - (dtucker) [configure.ac] Try AIX blibpath test in different order when
   compiling with gcc.  gcc 4.1.x will accept (but ignore) -b flags so
   configure would not select the correct libpath linker flags.

whitespace

whitespace

 - (dtucker) [ssh-rand-helper.c] Don't exit if mkdir fails because the
   target already exists.

 - (dtucker) [INSTALL] Bug #1202: Note when autoconf is required and which
   version.

 - (dtucker) [openbsd-compat/getrrsetbyname.c] Undef _res before defining it,
   prevents warnings on platforms where _res is in the system headers.

 - (dtucker) [openbsd-compat/openbsd-compat.h] SNPRINTF_CONST for snprintf
   declaration too.  Patch from russ at sludge.net.

 - (dtucker) [configure.ac] Bug #1203: Add missing '[', which causes problems
   with autoconf 2.60.  Patch from vapier at gentoo.org.

 - (dtucker) [channels.c serverloop.c] Apply the bug #1102 workaround to ptys
   only, otherwise sshd can hang exiting non-interactive sessions.

 - (dtucker) [serverloop.c] Get ifdef/ifndef the right way around for the bug
   #1102 workaround.

 - (dtucker) [configure.ac] Bug #1193: Define PASSWD_NEEDS_USERNAME on Solaris.
   Works around limitation in Solaris' passwd program for changing passwords
   where the username is longer than 8 characters.  ok djm@

 - (dtucker) [channels.c configure.ac serverloop.c] Bug #1102: Around AIX
   4.3.3 ML3 or so, the AIX pty layer starting passing zero-length writes
   on the pty slave as zero-length reads on the pty master, which sshd
   interprets as the descriptor closing.  Since most things don't do zero
   length writes this rarely matters, but occasionally it happens, and when
   it does the SSH pty session appears to hang, so we add a special case for
   this condition.  ok djm@

 - (dtucker) [README.platform configure.ac openbsd-compat/port-tun.c] Add
   tunnel support for Mac OS X/Darwin via a third-party tun driver.  Patch
   from reyk@, tested by anil@

 - (djm) [getput.h] This file has been replaced by functions in misc.c

   - djm@cvs.openbsd.org 2006/06/13 01:18:36
     [ssh-agent.c]
     always use a format string, even when printing a constant
   - djm@cvs.openbsd.org 2006/06/13 02:17:07
     [ssh-agent.c]
     revert; i am on drugs. spotted by alexander AT beard.se

   - markus@cvs.openbsd.org 2006/06/08 14:45:49
     [readpass.c sshconnect.c sshconnect2.c uidswap.c uidswap.h]
     do not set the gid, noted by solar; ok djm

   - markus@cvs.openbsd.org 2006/06/06 10:20:20
     [readpass.c sshconnect.c sshconnect.h sshconnect2.c uidswap.c]
     replace remaining setuid() calls with permanently_set_uid() and
     check seteuid() return values; report Marcus Meissner; ok dtucker djm

   - markus@cvs.openbsd.org 2006/06/01 09:21:48
     [sshd.c]
     call get_remote_ipaddr() early; fixes logging after client disconnects;
     report mpf@; ok dtucker@

   - mk@cvs.openbsd.org 2006/05/30 11:46:38
     [ssh-add.c]
     Sync usage() with man page and reality.
     ok deraadt dtucker

   - jmc@cvs.openbsd.org 2006/05/29 16:13:23
     [ssh.1]
     add GSSAPI to the list of authentication methods supported;

   - jmc@cvs.openbsd.org 2006/05/29 16:10:03
     [ssh_config.5]
     oops - previous was too long; split the list of auths up

   - dtucker@cvs.openbsd.org 2006/05/29 12:56:33
     [ssh_config]
     Add GSSAPIAuthentication and GSSAPIDelegateCredentials to examples in sample
     ssh_config.  ok markus@

   - dtucker@cvs.openbsd.org 2006/05/29 12:54:08
     [ssh_config.5]
     Add gssapi-with-mic to PreferredAuthentications default list; ok jmc

   - miod@cvs.openbsd.org 2006/05/18 21:27:25
     [kexdhc.c kexgexc.c]
     paramter -> parameter

   - markus@cvs.openbsd.org 2006/05/17 12:43:34
     [scp.c sftp.c ssh-agent.c ssh-keygen.c sshconnect.c]
     fix leak; coverity via Kylene Jo Hall

   - markus@cvs.openbsd.org 2006/05/16 09:00:00
     [clientloop.c]
     missing free; from Kylene Hall

   - djm@cvs.openbsd.org 2006/05/08 10:49:48
     [sshconnect2.c]
     uint32_t -> u_int32_t (which we use everywhere else)
     (Id sync only - portable already had this)

 - (dtucker) [auth.c monitor.c] Now that we don't log from both the monitor
   and slave, we can remove the special-case handling in the audit hook in
   auth_log.

 - (dtucker) [ssh-rand-helper.c] Check return code of mkdir and fix file
   pointer leak.  From kjhall at us.ibm.com, found by coverity.

typo

 - (dtucker) [auth-pam.c] Bug #1188: pass result of do_pam_account back and
   do not allow kbdint again after the PAM account check fails.  ok djm@