9 files changed, 697 insertions, 271 deletions
diff --git a/debian/changelog b/debian/changelog
index e5651eb28..6a6a6eb0c 100644
--- a/debian/changelog
+++ b/debian/changelog
@@ -1,3 +1,33 @@
+openssh (1:3.5p1-1) unstable; urgency=low
+  * New upstream release.
+    - Fixes typo in ssh-add usage (closes: #152239).
+    - Fixes 'PermitRootLogin forced-commands-only' (closes: #166184).
+    - ~/.ssh/environment and environment= options in ~/.ssh/authorized_keys
+      are deprecated for security reasons and will eventually go away. For
+      now they can be re-enabled by setting 'PermitUserEnvironment yes' in
+      sshd_config.
+    - ssh-agent is installed setgid to prevent ptrace() attacks. The group
+      actually doesn't matter, as it drops privileges immediately, but to
+      avoid confusion the postinst creates a new 'ssh' group for it.
+  * Obsolete patches:
+    - Solar Designer's privsep+compression patch for Linux 2.2 (see
+      1:3.3p1-0.0woody1).
+    - Hostbased auth ssh-keysign backport (see 1:3.4p1-4).
+  * Remove duplicated phrase in ssh_config(5) (closes: #152404).
+  * Source the debconf confmodule at the top of the postrm rather than at
+    the bottom, to avoid making future non-idempotency problems worse (see
+    #151035).
+  * Debconf templates:
+    - Add Polish (thanks, Grzegorz Kusnierz).
+    - Update French (thanks, Denis Barbier; closes: #132509).
+    - Update Spanish (thanks, Carlos Valdivia Yag�e; closes: #164716).
+  * Write a man page for gnome-ssh-askpass, and link it to ssh-askpass.1 if
+    this is the selected ssh-askpass alternative (closes: #67775).
+ -- Colin Watson <cjwatson@debian.org>  Sat, 26 Oct 2002 19:41:51 +0100
 openssh (1:3.4p1-4) unstable; urgency=low
  * Allow ssh-krb5 in ssh-askpass-gnome's dependencies (closes: #129532).
diff --git a/debian/gnome-ssh-askpass.1 b/debian/gnome-ssh-askpass.1
new file mode 100644
index 000000000..b74c410a8
--- /dev/null
+++ b/debian/gnome-ssh-askpass.1
@@ -0,0 +1,51 @@
+.TH GNOME-SSH-ASKPASS 1
+.SH NAME
+gnome\-ssh\-askpass \- prompts a user for a passphrase using GNOME
+.SH SYNOPSIS
+.B gnome\-ssh\-askpass
+.SH DESCRIPTION
+.B gnome\-ssh\-askpass
+is a GNOME-based passphrase dialog for use with OpenSSH.
+It is intended to be called by the
+.BR ssh\-add (1)
+program and not invoked directly.
+It allows
+.BR ssh\-add (1)
+to obtain a passphrase from a user, even if not connected to a terminal
+(assuming that an X display is available).
+This happens automatically in the case where
+.B ssh\-add
+is invoked from one's
+.B ~/.xsession
+or as one of the GNOME startup programs, for example.
+.PP
+In order to be called automatically by
+.BR ssh\-add ,
+.B gnome\-ssh\-askpass
+should be installed as
+.IR /usr/bin/ssh\-askpass .
+.SH "ENVIRONMENT VARIABLES"
+The following environment variables are recognized:
+.TP
+.I GNOME_SSH_ASKPASS_GRAB_SERVER
+Causes
+.B gnome\-ssh\-askpass
+to grab the X server before asking for a passphrase.
+.TP
+.I GNOME_SSH_ASKPASS_GRAB_POINTER
+Causes
+.B gnome\-ssh\-askpass
+to grab the mouse pointer using
+.IR gdk_pointer_grab ()
+before asking for a passphrase.
+.PP
+Regardless of whether either of these environment variables is set,
+.B gnome\-ssh\-askpass
+will grab the keyboard using
+.IR gdk_keyboard_grab ().
+.SH AUTHOR
+This manual page was written by Colin Watson <cjwatson@debian.org>
+for the Debian system (but may be used by others).
+It was based on that for
+.B x11\-ssh\-askpass
+by Philip Hands.
diff --git a/debian/postinst b/debian/postinst
index 10d61d86e..1b741c203 100644
--- a/debian/postinst
+++ b/debian/postinst
@@ -280,6 +280,18 @@ set_sshd_permissions() {
 }
+set_ssh_agent_permissions() {
+        if ! getent group | grep -q '^ssh:'; then
+                addgroup --quiet ssh
+        fi
+        if ! [ -x /usr/sbin/dpkg-statoverride ] || \
+            ! dpkg-statoverride --list /usr/bin/ssh-agent >/dev/null ; then
+                chgrp ssh /usr/bin/ssh-agent
+                chmod 2755 /usr/bin/ssh-agent
+        fi
+}
 setup_startup() {
        start=yes
        [ -e /usr/share/debconf/confmodule ] && {
@@ -311,6 +323,7 @@ fix_statoverride
 create_alternatives
 setup_sshd_user
 set_sshd_permissions
+set_ssh_agent_permissions
 setup_startup
 setup_init
diff --git a/debian/postrm b/debian/postrm
index bd0bbee38..c76f662df 100644
--- a/debian/postrm
+++ b/debian/postrm
@@ -1,5 +1,7 @@
 #!/bin/sh -e
+#DEBHELPER#
 if [ "$1" = "purge" ]
 then
  rm -rf /etc/ssh
@@ -11,6 +13,7 @@ fi
 if [ "$1" = "purge" ] ; then
        deluser --quiet sshd > /dev/null || true
+        delgroup --quiet ssh > /dev/null || true
 fi
-#DEBHELPER#
+exit 0
diff --git a/debian/rules b/debian/rules
index 7615c8708..fb60b2270 100755
--- a/debian/rules
+++ b/debian/rules
@@ -23,9 +23,7 @@ build-stamp:
                --with-privsep-path=/var/run/sshd  --without-rand-helper
        $(MAKE) -j 2 ASKPASS_PROGRAM='/usr/bin/ssh-askpass' CFLAGS='-O2 -g -Wall -DLOGIN_PROGRAM=\"/bin/login\" -DSSHD_PAM_SERVICE=\"ssh\" -D__FILE_OFFSET_BITS=64 -DHAVE_MMAP_ANON_SHARED' \
                SSH_KEYSIGN='/usr/lib/ssh-keysign'
-        gcc -O2 `gnome-config --cflags gnome gnomeui` \
+        $(MAKE) -C contrib gnome-ssh-askpass1 CC='gcc -O2'
-           contrib/gnome-ssh-askpass.c -o contrib/gnome-ssh-askpass \
-           `gnome-config --libs gnome gnomeui`
        touch build-stamp
@@ -33,7 +31,8 @@ clean:
        dh_testdir
        rm -f build-stamp
        -$(MAKE) -i distclean
-        rm -f contrib/gnome-ssh-askpass config.log
+        -$(MAKE) -C contrib clean
+        rm -f config.log
        if [ -f version.h.upstream ]; then mv version.h.upstream version.h; \
        fi
        dh_clean
@@ -54,9 +53,10 @@ install: build
        rm -f debian/tmp/usr/share/Ssh.bin
        install -m 755 contrib/ssh-copy-id debian/tmp/usr/bin/ssh-copy-id
-        install -m644 -c contrib/ssh-copy-id.1 debian/tmp/usr/share/man/man1/ssh-copy-id.1
+        install -m 644 -c contrib/ssh-copy-id.1 debian/tmp/usr/share/man/man1/ssh-copy-id.1
+        install -m 644 debian/gnome-ssh-askpass.1 debian/tmp/usr/share/man/man1/gnome-ssh-askpass.1
-        install -s -o root -g root -m 755 contrib/gnome-ssh-askpass debian/ssh-askpass-gnome/usr/lib/ssh/gnome-ssh-askpass
+        install -s -o root -g root -m 755 contrib/gnome-ssh-askpass1 debian/ssh-askpass-gnome/usr/lib/ssh/gnome-ssh-askpass
        install -o root -g root debian/init debian/tmp/etc/init.d/ssh
diff --git a/debian/ssh-askpass-gnome.postinst b/debian/ssh-askpass-gnome.postinst
index 3a52d3005..7441cca29 100644
--- a/debian/ssh-askpass-gnome.postinst
+++ b/debian/ssh-askpass-gnome.postinst
@@ -24,7 +24,11 @@ set -e
 case "$1" in
    configure)
-        update-alternatives --quiet --install /usr/bin/ssh-askpass ssh-askpass /usr/lib/ssh/gnome-ssh-askpass 30
+        update-alternatives --quiet \
+            --install /usr/bin/ssh-askpass ssh-askpass \
+                      /usr/lib/ssh/gnome-ssh-askpass 30 \
+            --slave /usr/share/man/man1/ssh-askpass.1.gz \
+                    ssh-askpass.1.gz /usr/share/man/man1/gnome-ssh-askpass.1.gz
    ;;
diff --git a/debian/templates.es b/debian/templates.es
index c3cc971ca..8d7b25a34 100644
--- a/debian/templates.es
+++ b/debian/templates.es
@@ -1,78 +1,24 @@
-Template: ssh/new_config
+Template: ssh/run_sshd
-Type: boolean
-Default: true
-Description: Generate new configuration file
- This version of OpenSSH has a considerably changed configuration file from
- the version shipped in Debian 'Potato', which you appear to be upgrading
- from. I can now generate you a new configuration file
- (/etc/ssh/sshd.config), which will work with the new server version, but
- will not contain any customisations you made with the old version. 
- .
- Please note that this new configuration file will set the value of
- 'PermitRootLogin' to yes (meaning that anyone knowing the root password
- can ssh directly in as root). It is the opinion of the maintainer that
- this is the correct default (see README.Debian for more details), but you
- can always edit sshd_config and set it to no if you wish.
- .
- It is strongly recommended that you let me generate a new configuration
- file for you 
-Description-es: Generar un fichero de configuraci�n nuevo
- Esta versi�n de OpenSSH tiene un fichero de configuraci�n muy distinto del
- que inclu�a la versi�n de 'Potato'. Parece que est� actualizando desde esa
- versi�n, por lo que puede generar un nuevo fichero de configuraci�n
- (/etc/ssh/sshd.config), que funcionar� con la nueva versi�n del servidor,
- pero no tendr� ninguno de los cambios que hubiera hecho a la versi�n
- antigua.
- .
- Debe saber que este nuevo fichero de configuraci�n pondr� el valor de
- 'PermitRootLogin' a "yes" (por lo que root podr� entrar directamente por
- ssh). El mantenedor opina que �sta es la opci�n por defecto m�s adecuada
- (consulte README.Debian para conocer m�s detalles), pero recuerde que
- siempre puede editar sshd_config y cambiarlo.
- .
- Es muy recomendable generar ahora autom�ticamente un nuevo fichero de
- configuraci�n.
-Template: ssh/protocol2_only
 Type: boolean
 Default: true
-Description: Allow SSH protocol 2 only
+Description: Do you want to run the sshd server ?
- This version of OpenSSH supports version 2 of the ssh protocol, which is
+ This package contains both the ssh client, and the sshd server.
- much more secure.  Disabling ssh 1 is encouraged, however this will slow
- things down on low end machines and might prevent older clients from
- connecting (the ssh client shipped with "potato" is affected).
 .
- Also please note that keys used for protocol 1 are different so you will
+ Normally the sshd Secure Shell Server will be run to allow remote logins
- not be able to use them if you only allow protocol 2 connections.
+ via ssh.
 .
- If you later change your mind about this setting, README.Debian has
+ If you are only interested in using the ssh client for outbound
- instructions on what to do to your sshd_config file.
+ connections on this machine, and don't want to log into it at all using
-Description-es: Permitir s�lo la versi�n 2 del protocolo SSH
+ ssh, then you can disable sshd here.
- Esta versi�n de OpenSSH soporta la versi�n 2 del protocolo ssh, que es
+Description-es: �Quiere ejecutar el servidor sshd?
- mucho m�s segura que la anterior. Se recomienda no usar ssh versi�n 1,
+ Este paquete contiene el cliente ssh y el servidor sshd.
- aunque ir� m�s lento en m�quinas modestas y puede impedir que se conecten
- clientes antiguos, como por ejemplo el cliente de ssh incluido en
- "potato".
 .
- Tambi�n tenga en cuenta que las claves utilizadas para el protocolo 1 son
+ Generalmente, el servidor de ssh (Secure Shell Server) se ejecuta para
- diferentes, por lo que no podr� usarlas si �nicamente permite conexiones
+ permitir el acceso remoto mediante ssh.
- mediante el protocolo 2.
 .
- Si cambia de opini�n m�s tarde, el fichero README.Debian contiene
+ Si s�lo est� interesado en usar el cliente ssh en conexiones salientes del
- instrucciones sobre qu� ha de cambiar en el fichero sshd_config.
+ sistema y no quiere acceder a �l mediante ssh, entonces puede desactivar
+ sshd.
-Template: ssh/ssh2_keys_merged
-Type: note
-Description: ssh2 keys merged in configuration files
- As of version 3 OpenSSH no longer uses separate files for ssh1 and ssh2
- keys. This means the authorized_keys2 and known_hosts2 files are no longer
- needed. They will still be read in order to maintain backwards
- compatibility
-Description-es: Las claves ssh2 ya se incluyen en los ficheros de configuraci�n
- A partir de la versi�n 3, OpenSSH ya no utiliza ficheros diferentes para
- las claves ssh1 y ssh2. Esto quiere decir que ya no son necesarios los
- ficheros authorized_keys2 y known_hosts2, aunque a�n se seguir�n leyendo
- para mantener compatibilidad hacia atr�s.
 Template: ssh/use_old_init_script
 Type: boolean
@@ -84,13 +30,63 @@ Description: Do you want to continue (and risk killing active ssh sessions) ?
 .
 You can fix this by adding "--pidfile /var/run/sshd.pid" to the
 start-stop-daemon line in the stop section of the file.
-Description-es: �Desea continuar, a�n a riesgo de matar todas las sesiones ssh?
+Description-es: �Desea continuar, a�n a riesgo de matar las sesiones ssh activas?
- La versi�n de /etc/init.d/ssh que tiene instalada, es muy probable que
+ La versi�n de /etc/init.d/ssh que tiene instalada es muy probable que
- mate el demonio ssh. Si est� actualizando mediante una sesi�n ssh, puede
+ mate el demonio ssh. Si est� actualizando a trav�s de una sesi�n ssh,
- no ser muy buena idea.
+ puede que no sea muy buena idea.
 .
 Puede arreglarlo a�adiendo "--pidfile /var/run/sshd.pid" a la l�nea
- 'start-stop-daemon' en la secci�n 'stop' del fichero.
+ 'start-stop-daemon', en la secci�n 'stop' del fichero.
+Template: ssh/SUID_client
+Type: boolean
+Default: true
+Description: Do you want /usr/lib/ssh-keysign to be installed SUID root?
+ You have the option of installing the ssh-keysign helper with the SUID bit
+ set.
+ .
+ If you make ssh-keysign SUID, you will be able to use SSH's Protocol 2
+ host-based authentication.
+ .
+ If in doubt, I suggest you install it with SUID.  If it causes problems
+ you can change your mind later by running:   dpkg-reconfigure ssh
+Description-es: �Quiere instalar /usr/lib/ssh-keysign SUID root?
+ Puede instalar ssh-keysign con el bit SUID (se ejecutar� con privilegios
+ de root).
+ .
+ Si hace ssh-keysign SUID, podr� usar la autentificiaci�n basada en
+ servidor de la versi�n 2 del protocolo SSH.
+ .
+ Si duda, se recomienda que lo instale SUID. Si surgen problemas puede
+ cambiar de opini�n posteriormente ejecutando �dpkg-reconfigure ssh�.
+Template: ssh/encrypted_host_key_but_no_keygen
+Type: note
+Description: Warning: you must create a new host key
+ There is an old /etc/ssh/ssh_host_key, which is IDEA encrypted. OpenSSH
+ can not handle this host key file, and I can't find the ssh-keygen utility
+ from the old (non-free) SSH installation.
+ .
+ You will need to generate a new host key.
+Description-es: Aviso: debe crear una nueva clave para su servidor
+ Su sistema tiene un /etc/ssh/ssh_host_key antiguo, que usa cifrado IDEA.
+ OpenSSH no puede manejar este fichero de claves y tampoco se encuentra la
+ utilidad ssh-keygen incluida en el paquete ssh no libre.
+ .
+ Necesitar� generar una nueva clave para su servidor.
+Template: ssh/insecure_telnetd
+Type: note
+Description: Warning: telnetd is installed --- probably not a good idea
+ I'd advise you to either remove the telnetd package (if you don't actually
+ need to offer telnet access) or install telnetd-ssl so that there is at
+ least some chance that telnet sessions will not be sending unencrypted
+ login/password and session information over the network.
+Description-es: Aviso: tiene telnetd instalado
+ Es muy aconsejable que borre el paquete telnetd si no necesita realmente
+ ofrecer acceso mediante telnet o instalar telnetd-ssl para que las
+ contrase�as, nombres de usuario y dem�s informaci�n de las sesiones telnet
+ no viajen sin cifrar por la red.
 Template: ssh/forward_warning
 Type: note
@@ -104,104 +100,167 @@ Description: NOTE: Forwarding of X11 and Authorization disabled by default.
 More details can be found in /usr/share/doc/ssh/README.Debian
 Description-es: NOTA: Reenv�o de X11 y Autorizaci�n desactivadas por defecto.
 Por razones de seguridad, la versi�n de ssh de Debian tiene por defecto
- ForwardX11 y ForwardAgent puestas a ``off''.
+ ForwardX11 y ForwardAgent desactivadas.
 .
- Puede activar estas opciones para los servidores en los que conf�e, en
+ Puede activar estas opciones para los servidores en los que conf�e, en los
- los ficheros de configuraci�n o con la opci�n -X en l�nea de comandos.
+ ficheros de configuraci�n o con la opci�n -X en l�nea de comandos.
 .
 Puede encontrar m�s detalles en /usr/share/doc/ssh/README.Debian.
+Template: ssh/privsep_tell
+Type: note
+Description: Privilege separation
+ This version of OpenSSH contains the new privilege separation option. This
+ significantly reduces the quantity of code that runs as root, and
+ therefore reduces the impact of security holes in sshd.
+ .
+ Unfortunately, privilege separation interacts badly with PAM. Any PAM
+ session modules that need to run as root (pam_mkhomedir, for example) will
+ fail, and PAM keyboard-interactive authentication won't work.
+ .
+ Privilege separation is turned on by default, so if you decide you want it
+ turned off, you need to add "UsePrivilegeSeparation no" to
+ /etc/ssh/sshd_config.
+ .
+ NB! If you are running a 2.0 series Linux kernel, then privilege
+ separation will not work at all, and your sshd will fail to start unless
+ you explicitly turn privilege separation off.
+Description-es: Separaci�n de privilegios
+ Esta versi�n de OpenSSH incluye una nueva opci�n de separaci�n de
+ privilegios que reduce significativamente la cantidad de c�digo que se
+ ejecuta como root, por lo que reduce el impacto de posibles agujeros de
+ seguridad en sshd.
+ .
+ Desafortunadamente, la separaci�n de privilegios no interact�a
+ correctamente con PAM. Cualquier m�dulo PAM que necesite ejecutarse como
+ root (como, por ejemplo, pam_mkhomedir) y la autentificaci�n interactiva
+ PAM con teclado no funcionar�n.
+ .
+ La separaci�n de privilegios est� activa por defecto, por lo que si decide
+ desactivarla, tiene que a�adir "UsePrivilegeSeparation no" al fichero
+ /etc/ssh/sshd_config.
+ .
+ Nota: Si utiliza un n�cleo Linux de la serie 2.0, la separaci�n de
+ privilegios fallar� estrepitosamente y sshd no funcionar� a no ser que la
+ desactive.
+Template: ssh/ssh2_keys_merged
+Type: note
+Description: ssh2 keys merged in configuration files
+ As of version 3 OpenSSH no longer uses separate files for ssh1 and ssh2
+ keys. This means the authorized_keys2 and known_hosts2 files are no longer
+ needed. They will still be read in order to maintain backwards
+ compatibility
+Description-es: Las claves ssh2 ya se incluyen en los ficheros de configuraci�n
+ A partir de la versi�n 3, OpenSSH ya no utiliza ficheros diferentes para
+ las claves ssh1 y ssh2. Esto quiere decir que ya no son necesarios los
+ ficheros authorized_keys2 y known_hosts2, aunque a�n se seguir�n leyendo
+ para mantener compatibilidad hacia atr�s.
+Template: ssh/protocol2_only
+Type: boolean
+Default: true
+Description: Allow SSH protocol 2 only
+ This version of OpenSSH supports version 2 of the ssh protocol, which is
+ much more secure.  Disabling ssh 1 is encouraged, however this will slow
+ things down on low end machines and might prevent older clients from
+ connecting (the ssh client shipped with "potato" is affected).
+ .
+ Also please note that keys used for protocol 1 are different so you will
+ not be able to use them if you only allow protocol 2 connections.
+ .
+ If you later change your mind about this setting, README.Debian has
+ instructions on what to do to your sshd_config file.
+Description-es: Permitir s�lo la versi�n 2 del protocolo SSH
+ Esta versi�n de OpenSSH soporta la versi�n 2 del protocolo ssh, que es
+ mucho m�s segura que la anterior. Se recomienda desactivar la versi�n 1,
+ aunque funcionar� m�s lento en m�quinas modestas y puede impedir que se
+ conecten clientes antiguos, como, por ejemplo, el incluido en "potato".
+ .
+ Tambi�n tenga en cuenta que las claves utilizadas para el protocolo 1 son
+ diferentes, por lo que no podr� usarlas si �nicamente permite conexiones
+ mediante la versi�n 2 del protocolo.
+ .
+ Si m�s tarde cambia de opini�n, el fichero README.Debian contiene
+ instrucciones sobre c�mo modificar en el fichero sshd_config.
 Template: ssh/insecure_rshd
 Type: note
 Description: Warning: rsh-server is installed --- probably not a good idea
 having rsh-server installed undermines the security that you were probably
 wanting to obtain by installing ssh.  I'd advise you to remove that
 package.
-Description-es: Aviso: tiene rsh-server instalado (no es una buena idea)
+Description-es: Aviso: tiene rsh-server instalado
 Tener rsh-server instalado representa un menoscabo de la seguridad que
- probablemente desea obtener instalando ssh. Le aconsejar�a borrar ese
+ probablemente desea obtener instalando ssh. Es muy aconsejable que borre
- paquete.
+ ese paquete.
-Template: ssh/insecure_telnetd
+Template: ssh/privsep_ask
-Type: note
-Description: Warning: telnetd is installed --- probably not a good idea
- I'd advise you to either remove the telnetd package (if you don't actually
- need to offer telnet access) or install telnetd-ssl so that there is at
- least some chance that telnet sessions will not be sending unencrypted
- login/password and session information over the network.
-Description-es: Aviso: tiene telnetd instalado (no es una buena idea)
- Le aconsejar�a borrar el paquete telnetd si no necesita realmente
- ofrecer acceso mediante telnet o instalar telnetd-ssl para que las
- contrase�as, login y dem�s informaci�n de las sesiones telnet no viajen
- sin cifrar por la red.
-Template: ssh/encrypted_host_key_but_no_keygen
-Type: note
-Description: Warning: you must create a new host key
- There is an old /etc/ssh/ssh_host_key, which is IDEA encrypted. OpenSSH
- can not handle this host key file, and I can't find the ssh-keygen utility
- from the old (non-free) SSH installation.
- .
- You will need to generate a new host key.
-Description-es: Aviso: debe crear una nueva clave para su servidor
- Su sistema tiene un /etc/ssh/ssh_host_key antiguo, que usa cifrado IDEA.
- OpenSSH no puede manejar este fichero de claves y tampoco se encuentra la
- utilidad ssh-keygen incluida en el paquete ssh no libre.
- .
- Necesitar� generar una nueva clave para su servidor.
-Template: ssh/SUID_client
 Type: boolean
 Default: true
-Description: Do you want /usr/bin/ssh to be installed SUID root?
+Description: Enable Privilege separation
- You have the option of installing the ssh client with the SUID bit set.
+ This version of OpenSSH contains the new privilege separation option. This
+ significantly reduces the quantity of code that runs as root, and
+ therefore reduces the impact of security holes in sshd.
 .
- If you make ssh SUID, you will be able to use Rhosts/RhostsRSA
+ Unfortunately, privilege separation interacts badly with PAM. Any PAM
- authentication, but will not be able to use socks via the LD_PRELOAD
+ session modules that need to run as root (pam_mkhomedir, for example) will
- trick.  This is the traditional approach.
+ fail, and PAM keyboard-interactive authentication won't work.
 .
- If you do not make ssh SUID, you will be able to use socks, but
+ Since you've opted to have me generate an sshd_config file for you, you
- Rhosts/RhostsRSA authentication will stop working, which may stop you
+ can choose whether or not to have Privilege Separation turned on or not.
- logging in to remote systems.  It will also mean that the source port will
+ Unless you are running 2.0 (in which case you *must* say no here or your
- be above 1024, which may confound firewall rules you've set up.
+ sshd won't start at all) or know you need to use PAM features that won't
+ work with this option, you should say yes here.
+Description-es: Activar separaci�n de privilegios
+ Esta versi�n de OpenSSH incluye una nueva opci�n de separaci�n de
+ privilegios que reduce significativamente la cantidad de c�digo que se
+ ejecuta como root, por lo que reduce el impacto de posibles agujeros de
+ seguridad en sshd.
 .
- If in doubt, I suggest you install it with SUID.  If it causes problems
+ Desafortunadamente, la separaci�n de privilegios no interact�a
- you can change your mind later by running:   dpkg-reconfigure ssh 
+ correctamente con PAM. Cualquier m�dulo PAM que necesite ejecutarse como
-Description-es: �Desea hacer que /usr/bin/ssh se ejecute con permisos de root?
+ root (como, por ejemplo, pam_mkhomedir) y la autentificaci�n PAM mediante
- Tiene la posibilidad de instalar el cliente ssh setuid root.
+ teclado no funcionar�n.
- .
+ .
- Instalarlo setuid root le permitir� usar la autentificaci�n
+ Puesto que ha elegido crear autom�ticamente el fichero sshd_config, puede
- Rhosts/RhostsRSA, pero no podr� usar socks mediante el truco de
+ decidir ahora si quiere activar la opci�n de separaci�n de privilegios. A
- LD_PRELOAD. Tradicionalmente, este ha sido el enfoque m�s habitual.
+ menos que utilice la versi�n 2.0 (en cuyo caso debe responer no aqu� o
- .
+ sshd no arrancar�) o sepa que necesita usar ciertas caracter�sticas de PAM
- Si no hace ssh setuid, podr� usar socks pero la autentificaci�n
+ que funcionan con esta opci�n, deber�a responder s� a esta pregunta.
- Rhosts/RhostsRSA dejar� de funcionar, lo cual le puede impedir el acceso
- a sistemas remotos. Tambi�n significar� que el puerto de origen se
- encontrar� por encima del 1024, lo cual puede confundir a las reglas del
- cortafuegos que haya configurado.
- .
- Si tiene dudas, le sugiero que lo instale sin setuid. Si esto le causa
- alg�n problema puede cambiar posteriormente la configuraci�n ejecutando:
- dpkg-reconfigure ssh
-Template: ssh/run_sshd
+Template: ssh/new_config
 Type: boolean
 Default: true
-Description: Do you want to run the sshd server ?
+Description: Generate new configuration file
- This package contains both the ssh client, and the sshd server.
+ This version of OpenSSH has a considerably changed configuration file from
+ the version shipped in Debian 'Potato', which you appear to be upgrading
+ from. I can now generate you a new configuration file
+ (/etc/ssh/sshd.config), which will work with the new server version, but
+ will not contain any customisations you made with the old version.
 .
- Normally the sshd Secure Shell Server will be run to allow remote logins
+ Please note that this new configuration file will set the value of
- via ssh.
+ 'PermitRootLogin' to yes (meaning that anyone knowing the root password
+ can ssh directly in as root). It is the opinion of the maintainer that
+ this is the correct default (see README.Debian for more details), but you
+ can always edit sshd_config and set it to no if you wish.
 .
- If you are only interested in using the ssh client for outbound
+ It is strongly recommended that you let me generate a new configuration
- connections on this machine, and don't want to log into it at all using
+ file for you.
- ssh, then you can disable sshd here.
+Description-es: Generar un nuevo fichero de configuraci�n
-Description-es: �Quiere ejecutar el servidor sshd?
+ Esta versi�n de OpenSSH tiene un fichero de configuraci�n
- Este paquete contiene el cliente ssh y el servidor sshd.
+ considerablemente diferente del incluido en Debian Potato, que es la
+ versi�n desde la que parece estar actualizando. Puede crear
+ autom�ticamente un nuevo fichero de configuraci�n (/etc/ssh/sshd_config),
+ que funcionar� con la nueva versi�n del servidor, pero no incuir� las
+ modificaciones que hiciera en la versi�n antigua.
 .
- Generalmente, el servidor de ssh se ejecuta para permitir el acceso
+ Adem�s, recuerde que este nuevo fichero de configuraci�n dir� s� en la
- mediante ssh.
+ opci�n 'PermitRootLogin', por lo que cualquiera que conozca la contrase�a
+ de root podr� entrar mediante ssh directamente como root. En opini�n del
+ mantenedor �sta es la opci�n predeterminada m�s adecuada (puede leer
+ README.Debian si quiere conocer m�s detalles), pero siempre puede editar
+ sshd_config y poner no si lo desea.
 .
- Si s�lo est� interesado en usar el cliente ssh en conexiones salientes de
+ Es muy recomendable que permita que se genere un nuevo fichero de
- esta m�quina, y no quiere acceder a ella mediante ssh, entonces puede
+ configuraci�n ahora.
- desactivar sshd.
diff --git a/debian/templates.fr b/debian/templates.fr
index f23a83ae1..5eee0f92a 100644
--- a/debian/templates.fr
+++ b/debian/templates.fr
@@ -12,30 +12,29 @@ Description: Privilege separation
 .
 Privilege separation is turned on by default, so if you decide you
 want it turned off, you need to add "UsePrivilegeSeparation no" to
- /etc/ssh/sshd_config 
+ /etc/ssh/sshd_config.
 .
 NB! If you are running a 2.0 series Linux kernel, then privilege
 separation will not work at all, and your sshd will fail to start
- unless you explicity turn privilege separation off.
+ unless you explicitly turn privilege separation off.
-Description-fr: La s�paration des privil�ges
+Description-fr: S�paration des privil�ges
- Cette version d'OpenSSH est livr�e avec la nouvelle option de 
+ Cette version d'OpenSSH est livr�e avec la nouvelle option de
- s�paration des privil�ges. Cel� r�duit de mani�re signifiante la 
+ s�paration des privil�ges. Cela r�duit de mani�re significative la
- quantit� de code s'ex�ctutant en tant que root, et donc r�duit 
+ quantit� de code s'ex�cutant en tant que super-utilisateur, et donc
- l'impact des trous de s�curit� dans sshd.
+ r�duit l'impact des trous de s�curit� dans sshd.
- .
+ .
- Malheureusement, la s�paration des privil�ges int�ragit mal avec PAM.
+ Malheureusement, la s�paration des privil�ges interagit mal avec PAM.
- Tous les modules de session PAM ayant besoin d'�tre ex�cut� en tant que
+ Tous les modules de session PAM qui doivent �tre ex�cut�s en tant
- root (pam_mkhomedir, par exemple) ne s'ex�cutera pas, et
+ que super-utilisateur (pam_mkhomedir, par exemple) ne s'ex�cuteront
- l'authentification int�ractive au clavier ne fonctionnera pas.
+ pas, et l'authentification interactive au clavier ne fonctionnera pas.
- .
+ .
- La s�paration des privil�ges est activ�e par d�faut, donc si vous
+ La s�paration des privil�ges est activ�e par d�faut ; si vous
- souhaitez la d�sactiver, vous devez ajouter �UsePrivilegeSeparation no� 
+ souhaitez la d�sactiver, vous devez ajouter ��UsePrivilegeSeparation
- dans /etc/ssh/sshd_config
+ no�� dans /etc/ssh/sshd_config.
- .
+ .
- NB! Si vous avez un noyau Linux de la s�rie des 2.0, alors la
+ NB�! Si vous avez un noyau Linux de la s�rie des 2.0, la s�paration
- s�paration des privil�ges ne fonctionnera pas, et votre d�mon sshd ne
+ des privil�ges ne fonctionne pas, et votre d�mon sshd ne se lancera
- se lancera pas jusqu'� ce que vous d�sactiviez explicitement la
+ que si vous avez explicitement d�sactiv� la s�paration des privil�ges.
- s�paration des privil�ges.
 Template: ssh/privsep_ask
 Type: boolean
@@ -55,23 +54,24 @@ Description: Enable Privilege separation
 or not. Unless you are running 2.0 (in which case you *must* say no
 here or your sshd won't start at all) or know you need to use PAM
 features that won't work with this option, you should say yes here.
-Description-fr: Activation de la s�paration des privil�ges
+Description-fr: Activer la s�paration des privil�ges
- Cette version d'OpenSSH est livr�e avec la nouvelle option de 
+ Cette version d'OpenSSH est livr�e avec la nouvelle option de
- s�paration des privil�ges. Cel� r�duit de mani�re signifiante la 
+ s�paration des privil�ges. Cela r�duit de mani�re significative la
- quantit� de code s'ex�ctutant en tant que root, et donc r�duit 
+ quantit� de code s'ex�cutant en tant que super-utilisateur, et donc
- l'impact des trous de s�curit� dans sshd.
+ r�duit l'impact des trous de s�curit� dans sshd.
- .
+ .
- Malheureusement, la s�paration des privil�ges int�ragit mal avec PAM.
+ Malheureusement, la s�paration des privil�ges interagit mal avec PAM.
- Tous les modules de session PAM ayant besoin d'�tre ex�cut� en tant que
+ Tous les modules de session PAM qui doivent �tre ex�cut�s en tant
- root (pam_mkhomedir, par exemple) ne s'ex�cutera pas, et
+ que super-utilisateur (pam_mkhomedir, par exemple) ne s'ex�cuteront
- l'authentification int�ractive au clavier ne fonctionnera pas.
+ pas, et l'authentification interactive au clavier ne fonctionnera pas.
- .
+ .
- Comme vous souhaitez que je g�n�re le fichier de configuration � votre
+ Comme vous souhaitez que je g�n�re le fichier de configuration
- place, vous pouvez choisir d'activer ou non l'option de s�paration des
+ sshd_config � votre place, vous pouvez choisir d'activer ou non
- privil�ges. Si vous utilisez un noyau 2.0 (dans ce cas vous *devez*
+ l'option de s�paration des privil�ges. Si vous utilisez un noyau 2.0
- r�pondre non ici ou bien sshd ne se lancera pas) ou bien si vous avez
+ (dans ce cas vous *devez* d�sactiver cette option ou alors sshd ne se
- besoin de fonctionnalit�s PAM, cela ne fonctionnera pas avec cette
+ lancera pas) ou bien si vous avez besoin de fonctionnalit�s PAM, cela
- option d'activ�e, dans le cas contraire vous pouvez dire oui.
+ ne fonctionnera pas si cette option est activ�e, dans le cas contraire
+ vous devriez l'activer.
 Template: ssh/new_config
 Type: boolean
@@ -90,26 +90,26 @@ Description: Generate new configuration file
 edit sshd_config and set it to no if you wish.
 .
 It is strongly recommended that you let me generate a new configuration file 
- for you 
+ for you.
-Description-fr: G�n�ration du fichier de configuration
+Description-fr: Cr�er un nouveau fichier de configuration
- Cette version d'OpenSSH poss�de un fichier de configuration
+ Cette version d'OpenSSH utilise un fichier de configuration qui a
- consid�rablement diff�rent de celui fournit avec la Debian 'Potato',
+ �norm�ment chang� depuis la version contenue dans la distribution
- qui apparement est la version � partir de laquelle vous effectuez la
+ Debian ��Potato��, depuis laquelle vous semblez faire une mise � jour.
- mise � jour. Je peux g�n�rer pour vous un nouveau fichier de
+ Je peux g�n�rer maintenant pour vous un nouveau fichier de
- configuration (/etc/ssh/sshd_config), lequel fonctionnera avec la
+ configuration (/etc/ssh/sshd.config) qui marchera avec la nouvelle
- nouvelle version du serveur, mais ne contiendra aucuns des param�trages
+ version du serveur, mais ne contiendra aucun des r�glages que vous avez
- personnels que vous avaient d�j� fait.
+ faits sur l'ancienne version.
- .
+ .
- Notez que le nouveau fichier de configuration mettre l'option
+ Veuillez noter que ce nouveau fichier de configuration positionnera la
- 'PermitRootLogin' � yes (signifiant que toute personne connaissant le
+ valeur de ��PermitRootLogin�� � ��yes�� (ce qui signifie que quiconque
- mot de passe root pourra directement se connecter en tant que root).
+ connaissant le mot de passe du super-utilisateur peut se connecter
- C'est ce que consid�re comme option par d�faut le mainteneur (voir le
+ en tant que tel sur la machine). Le responsable du paquet
- fichier README.Debian pour plus de d�tails), mais vous pouvez toujours
+ pense que c'est l� un comportement par d�faut normal (lisez
- �diter le fichier sshd_config et mettre la valeur � no si vous le
+ README.Debian pour plus d'informations), mais vous pouvez toujours
- souhaitez.
+ �diter le fichier sshd_config et changer cela.
- .
+ .
- Il est fortement conseill� de me laisser g�n�rer le nouveau fichier de
+ Il est fortement recommand� que vous me laissiez g�n�rer le nouveau
- configuration � votre place.
+ fichier de configuration.
 Template: ssh/protocol2_only
 Type: boolean
@@ -126,20 +126,19 @@ Description: Allow SSH protocol 2 only
 If you later change your mind about this setting, README.Debian has 
 instructions on what to do to your sshd_config file.
 Description-fr: Permettre seulement la version 2 du protocole SSH
- Cette version d'OpenSSH supporte la version 2 du protocole ssh, lequel
+ Cette version d'OpenSSH conna�t la version 2 du protocole ssh, qui est
- �tant beaucoup plus s�curis�. D�sactiver ssh 1 est conseill�, sinon
+ bien plus s�re. D�sactiver ssh 1 est une bonne chose, cependant cela
- cela risque de ralentir les transactions et les machines et cela peut
+ peut ralentir les machines peu puissantes et pourrait emp�cher ceux qui
- pr�venir de la connexion d'anciens client (le client ssh fournit dans
+ utilisent des vieilles versions de la partie cliente de se connecter
- la �potato� est affect�).
+ (le client ssh de la distribution Debian ��Potato�� en fait partie).
- .
+ .
- De plus, les cl�s utilis�s par la version 1 du protocol sont
+ De plus, les cl�s utilis�es par la version 1 du protocole sont
- diff�rentes et vous ne serez donc plus capable de les utiliser si vous
+ diff�rentes et vous ne pourrez pas les utiliser si vous
- n'autoriser seulement que les connexions utilisant la version 2 du
+ n'autorisez que les connexions utilisant la version 2 du protocole.
- protocole.
+ .
- .
+ Si vous changez d'avis ult�rieurement et d�cidez de modifier ce
- Si vous changez d'avis ult�rieurement par rapport � ce point de
+ r�glage, les instructions fournies dans le fichier README.Debian vous
- configuration, les instructions sur ce que vous devez modifier dans le
+ indiquent comment modifier le fichier sshd_config.
- fichier sshd_config sont fournies dans le README.Debian.
 Template: ssh/ssh2_keys_merged
 Type: note
@@ -148,11 +147,11 @@ Description: ssh2 keys merged in configuration files
 ssh2 keys. This means the authorized_keys2 and known_hosts2 files
 are no longer needed. They will still be read in order to maintain
 backwards compatibility
-Description-fr: Agr�gation des cl�s ssh2 dans le fichier de configuration
+Description-fr: Cl�s pour ssh2 fusionn�es dans les fichiers de configuration
- �tant donn� que la version 3 d'OpenSSH n'utilise plus de fichiers
+ OpenSSH, depuis sa version 3, n'utilise plus de fichiers distincts pour
- s�par� pour les cl�s ssh1 et ssh2. Cela signifie que les fichier
+ les cl�s ssh1 et ssh2. Cela signifie que les fichiers authorized_keys2
- authorized_key2 et known_hosts2 ne sont plus n�cessaires. Ils sont
+ et known_hosts2 ne sont plus utiles. Ils seront n�anmoins lus afin de
- quand m�me lus afin de concerver une compatibilit� ascendante.
+ pr�server la compatibilit� descendante.
 Template: ssh/use_old_init_script
 Type: boolean
@@ -164,13 +163,14 @@ Description: Do you want to continue (and risk killing active ssh sessions) ?
 .
 You can fix this by adding "--pidfile /var/run/sshd.pid" to the
 start-stop-daemon line in the stop section of the file.
-Description-fr: Voulez vous continuer (et risquer de rompre les sessions ssh actives) ?
+Description-fr: Voulez-vous continuer (et risquer de rompre les sessions ssh actives)�?
 Il est probable que la version de /etc/init.d/ssh install�e en ce moment
- tue toutes les instances de sshd lanc�es en ce moment. Si vous faite une
+ tue toutes les instances de sshd en cours. En cas de mise � jour par ssh,
- mise � jour via ssh, ca serait une Mauvaise Chose(tm).
+ �a serait une mauvaise id�e.
 .
- Vous pouvez corriger /etc/init.d/ssh en ajoutant '--pidfile /var/run/sshd.pid'
+ Vous pouvez corriger cela en ajoutant dans /etc/init.d/ssh ��--pidfile
- a la ligne 'start-stop-daemon' dans la section 'stop' du fichier.
+ /var/run/sshd.pid�� � la ligne ��start-stop-daemon�� dans la section
+ ��stop�� du fichier.
 Template: ssh/forward_warning
 Type: note
@@ -182,11 +182,11 @@ Description: NOTE: Forwarding of X11 and Authorization disabled by default.
 in one of the configuration files, or with the -X command line option.
 .
 More details can be found in /usr/share/doc/ssh/README.Debian
-Description-fr: NOTE: Suivi de session X11 et d'agent d'autorisation d�sactiv�s par d�faut.
+Description-fr: NOTE�: suivi de session X11 et d'agent d'autorisation d�sactiv�s par d�faut.
 Pour des raisons de s�curit�, la version Debian de ssh positionne les
- options ForwardX11 et ForwardAgent a ``Off'' par d�faut.
+ options ForwardX11 et ForwardAgent � ��Off�� par d�faut.
 .
- Vous pouvez activer ces options pour les serveurs en lesquels vous avez
+ Vous pouvez activer ces options pour les serveurs en qui vous avez
 confiance, soit dans un des fichiers de configuration, soit avec l'option
 -X de la ligne de commande.
 .
@@ -197,10 +197,10 @@ Type: note
 Description: Warning: rsh-server is installed --- probably not a good idea
 having rsh-server installed undermines the security that you were probably
 wanting to obtain by installing ssh.  I'd advise you to remove that package.
-Description-fr: Attention: le paquet rsh-server est install� --- ce n'est probablement pas une bonne id�e
+Description-fr: Attention�: rsh-server est install� -- ce n'est probablement pas une bonne id�e
- Avoir un serveur rsh install� affaibli la s�curit� que vous vouliez
+ Avoir un serveur rsh install� affaiblit la s�curit� que vous vouliez
- probablement obtenir en installant ssh. Je vous conseillerais de
+ probablement obtenir en installant ssh. Je vous conseille de
- d�installer ce paquet.
+ supprimer ce paquet.
 Template: ssh/insecure_telnetd
 Type: note
@@ -209,12 +209,12 @@ Description: Warning: telnetd is installed --- probably not a good idea
 need to offer telnet access) or install telnetd-ssl so that there is at
 least some chance that telnet sessions will not be sending unencrypted
 login/password and session information over the network.
-Description-fr: Attention: le paquet telnetd est install� --- ce n'est probablement pas une bonne id�e
+Description-fr: Attention�: telnetd est install� -- ce n'est probablement pas une bonne id�e
- Je vous conseillerais de, soit enlever le paquet telnetd (si ce service
+ Je vous conseille soit d'enlever le paquet telnetd (si ce service
- n'est pas n�cessaire), soit de le remplacer par le paquet telnetd-ssl
+ n'est pas n�cessaire), soit de le remplacer par le paquet telnetd-ssl pour
- pour qu'il y ait au moins une chance que les sessions telnet soient
+ qu'il y ait au moins une chance que les sessions telnet soient chiffr�es
- encrypt�es et que les mot de passes et logins ne passent pas en clair sur
+ et que les mots de passe et noms d'utilisateurs ne passent pas en clair
- le r�seau.
+ sur le r�seau.
 Template: ssh/encrypted_host_key_but_no_keygen
 Type: note
@@ -224,10 +224,12 @@ Description: Warning: you must create a new host key
 ssh-keygen utility from the old (non-free) SSH installation.
 .
 You will need to generate a new host key.
-Description-fr: Attention: vous devez cr�er une nouvelle cl� d'h�te
+Description-fr: Attention�: vous devez cr�er une nouvelle cl� d'h�te
- Il existe un vieux /etc/ssh/ssh_host_key qui est encrypt� avec IDEA.
+ Il existe un vieux /etc/ssh/ssh_host_key qui est chiffr� avec IDEA.
 OpenSSH ne peut utiliser ce fichier de cl�, et je ne peux trouver
 l'utilitaire ssh-keygen de l'installation pr�c�dente (non libre) de SSH.
+ .
+ Vous aurez besoin de g�n�rer une nouvelle cl� d'h�te.
 Template: ssh/SUID_client
 Type: boolean
@@ -241,16 +243,17 @@ Description: Do you want /usr/lib/ssh-keysign to be installed SUID root?
 .
 If in doubt, I suggest you install it with SUID.  If it causes
 problems you can change your mind later by running:   dpkg-reconfigure ssh 
-Description-fr: Souhaitez-vous que /usr/lib/ssh-keysign soit install� avec le bit SETUID root d'activ� ?
+Description-fr: Voulez-vous que /usr/lib/ssh-keysign soit install� avec le bit SETUID activ��?
- Vous avez la possibilit� d'installer ssh-keysign avec le bit SETIUD
+ Vous avez la possibilit� d'installer ssh-keysign avec le bit SETUID
- d'activ�.
+ activ�.
 .
- Si vous mettez ssh�keysign avec le bit SETUID, vous permettrez
+ Si vous mettez ssh-keysign avec le bit SETUID, vous permettrez
- l'authentification bas� sur les h�tes de la version 2 du protocole ssh.
+ l'authentification bas�e sur les h�tes, disponible dans la version 2 du
+ protocole SSH.
 .
 Dans le doute, je vous sugg�re de l'installer avec le bit SETUID
- d'activ�. Si cela vous cause des probl�mes vous pourrez revenir sur
+ activ�. Si cela vous cause des probl�mes, vous pourrez revenir sur
- votre d�sicion: dpkg-reconfigure ssh
+ votre d�cision avec ��dpkg-reconfigure ssh��.
 Template: ssh/run_sshd
 Type: boolean
@@ -264,13 +267,12 @@ Description: Do you want to run the sshd server ?
 If you are only interested in using the ssh client for outbound
 connections on this machine, and don't want to log into it at all
 using ssh, then you can disable sshd here.
-Description-fr: Voulez vous utiliser le serveur sshd ?
+Description-fr: Voulez-vous utiliser le serveur sshd�?
- Ce paquet contient a la fois le client ssh et le serveur sshd.
+ Ce paquet contient � la fois le client ssh et le serveur sshd.
 .
- Normalement le serveur sshd sera lanc� pour permettre les logins distants
+ Normalement le serveur sshd est lanc� pour permettre les connexions
- via ssh.
+ distantes via ssh.
 .
- Si vous d�sirez seulement utiliser le client ssh pour vous connecter a
+ Si vous d�sirez seulement utiliser le client ssh pour des connexions vers
- distance sur d'autres machines a partir de celle-ci, et que vous ne
+ l'ext�rieur, ou si vous ne voulez pas vous connecter sur cette machine 
- voulez pas vous logguer sur cette machine a distance via ssh, alors vous
+ via ssh, vous pouvez d�sactiver sshd maintenant.
- pouvez d�sactiver sshd maintenant.
diff --git a/debian/templates.pl b/debian/templates.pl
new file mode 100644
index 000000000..d4b8fda6d
--- /dev/null
+++ b/debian/templates.pl
@@ -0,0 +1,264 @@
+Template: ssh/privsep_tell
+Type: note
+Description: Privilege separation
+ This version of OpenSSH contains the new privilege separation
+ option. This significantly reduces the quantity of code that runs as
+ root, and therefore reduces the impact of security holes in sshd.
+ .
+ Unfortunately, privilege separation interacts badly with PAM. Any
+ PAM session modules that need to run as root (pam_mkhomedir, for
+ example) will fail, and PAM keyboard-interactive authentication 
+ won't work.
+ .
+ Privilege separation is turned on by default, so if you decide you
+ want it turned off, you need to add "UsePrivilegeSeparation no" to
+ /etc/ssh/sshd_config.
+ .
+ NB! If you are running a 2.0 series Linux kernel, then privilege
+ separation will not work at all, and your sshd will fail to start
+ unless you explicitly turn privilege separation off.
+Description-pl: Separacja uprawnie�
+ Ta wersja OpenSSH zawiera now� opcj� separacji uprawnie�. Znacz�co
+ zmniejsza ona ilo�� kodu, kt�ry jest uruchamiany jako root i co
+ za tym idzie redukuje efekty luk bezpiecze�stwa w sshd.
+ .
+ Niestety separacja uprawnie� �le reaguje z PAMem. Jakikolwiek modu�
+ sesji PAM, kt�ry musi by� uruchamiany jako root (pam_mkhomedir, na
+ przyk�ad) zawiedzie. Nie b�dzie dzia�a� r�wnie� interaktywna 
+ autentykacja z klawiatury (keyboard-interactive authentication).
+ .
+ Separacja uprawnie� jest domy�lnie w��czona, wi�c je�li zdecydujesz
+ si� j� wy��czy�, musisz doda� "UsePrivilegeSeparation no" do pliku
+ /etc/ssh/sshd_config.
+ .
+ UWAGA! Je�eli u�ywasz j�dra Linux'a z serii 2.0, to separacja uprawnie�
+ w og�le nie b�dzie dzia�a� i sshd nie wystartuje dop�ki w�asnor�cznie
+ nie wy��czysz separacji uprawnie� w /etc/ssh/sshd_config.
+Template: ssh/privsep_ask
+Type: boolean
+Default: true
+Description: Enable Privilege separation
+ This version of OpenSSH contains the new privilege separation
+ option. This significantly reduces the quantity of code that runs as
+ root, and therefore reduces the impact of security holes in sshd.
+ .
+ Unfortunately, privilege separation interacts badly with PAM. Any
+ PAM session modules that need to run as root (pam_mkhomedir, for
+ example) will fail, and PAM keyboard-interactive authentication 
+ won't work.
+ .
+ Since you've opted to have me generate an sshd_config file for you,
+ you can choose whether or not to have Privilege Separation turned on
+ or not. Unless you are running 2.0 (in which case you *must* say no
+ here or your sshd won't start at all) or know you need to use PAM
+ features that won't work with this option, you should say yes here.
+Description-pl: W��czenie separacji uprawnie�
+ Ta wersja OpenSSH zawiera now� opcj� separacji uprawnie�. Znacz�co
+ zmniejsza ona ilo�� kodu, kt�ry jest uruchamiany jako root i co
+ za tym idzie redukuje efekty luk bezpiecze�stwa w sshd.
+ .
+ Niestety separacja uprawnie� �le reaguje z PAMem. Jakikolwiek modu�
+ sesji PAM, kt�ry musi by� uruchamiany jako root (pam_mkhomedir, na
+ przyk�ad) zawiedzie. Nie b�dzie dzia�a� r�wnie� interaktywna 
+ autentykacja z klawiatury (keyboard-interactive authentication).
+ .
+ Zdecydowa�e� si� na to abym wygenerowa� dla ciebie plik sshd_config,
+ i mo�esz wybra� czy chcesz w��czy� Separacj� Uprawnie�, czy te� nie.
+ Je�li nie u�ywasz j�dra z serii 2.0 (w kt�rym to przypadku *musisz*
+ odpowiedzie� tutaj 'nie' albo sshd w og�le nie ruszy) i je�li nie 
+ musisz korzysta� z mo�liwo�ci PAMa, kt�re nie b�d� dzia�a�y z t� opcj�,
+ powiniene� odpowiedzie� tutaj 'tak'.
+Template: ssh/new_config
+Type: boolean
+Default: true
+Description: Generate new configuration file
+ This version of OpenSSH has a considerably changed configuration file from 
+ the version shipped in Debian 'Potato', which you appear to be upgrading from.
+ I can now generate you a new configuration file (/etc/ssh/sshd.config), which
+ will work with the new server version, but will not contain any customisations
+ you made with the old version. 
+ .
+ Please note that this new configuration file will set the value of 
+ 'PermitRootLogin' to yes (meaning that anyone knowing the root password can
+ ssh directly in as root). It is the opinion of the maintainer that this is
+ the correct default (see README.Debian for more details), but you can always
+ edit sshd_config and set it to no if you wish.
+ .
+ It is strongly recommended that you let me generate a new configuration file 
+ for you.
+Description-pl: Wygeneruj nowy plik konfiguracyjny
+ W tej wersji OpenSSH zmieni� si� plik konfiguracyjny w stosunku do wersji 
+ dostarczanej z Debianem 'Potato', kt�r� zdajesz si� aktualizowa�. Mog� teraz 
+ wygenerowa� nowy plik konfiguracyjny (/etc/ssh/sshd.config), kt�ry b�dzie
+ dzia�a� z now� wersj� serwera, ale nie b�dzie zawiera� �adnych dokonanych
+ przez ciebie w starej wersji zmian.
+ .
+ Zauwa� prosz�, �e nowy plik konfiguracyjny b�dzie ustawia� warto�� opcji
+ 'PermitRootLogin' na 'tak' (co oznacza, �e ka�dy kto zna has�o root'a mo�e
+ zdalnie zalogowa� si� przez ssh jako root). W opinii opiekuna pakietu to
+ jest poprawna warto�� domy�lna (szczeg�y w README.Debian), ale mo�esz sobie
+ wyedytowa� sshd_config i ustawi� t� opcj� na 'nie' je�li si� z t� opini� nie
+ zgadzasz.
+ .
+ Jest bardzo wskazane aby� pozwoli� mi wygenerowa� nowy plik konfiguracyjny.
+Template: ssh/protocol2_only
+Type: boolean
+Default: true
+Description: Allow SSH protocol 2 only
+ This version of OpenSSH supports version 2 of the ssh protocol, which
+ is much more secure.  Disabling ssh 1 is encouraged, however this
+ will slow things down on low end machines and might prevent older
+ clients from connecting (the ssh client shipped with "potato" is affected).
+ .
+ Also please note that keys used for protocol 1 are different so you will
+ not be able to use them if you only allow protocol 2 connections.
+ .
+ If you later change your mind about this setting, README.Debian has 
+ instructions on what to do to your sshd_config file.
+Description-pl: Zezwalaj wy��cznie na wersj� 2 protoko�u SSH
+ Ta wersja OpenSSH wspiera drug� wersj� protoko�u ssh, kt�ra jest znacznie
+ bardziej bezpieczna. Wy��czenie ssh 1 jest zalecane, cho� spowalnia to
+ dzia�anie na starych maszynach i mo�e uniemo�liwi� po��czenie starszym
+ wersjom klient�w (dotyczy to np. klienta ssh do��czanego do "potato").
+ .
+ Ponadto, zauwa� prosz�, �e klucze u�ywane przez protok� 1 s� inne, wi�c
+ nie b�dziesz m�g� ich u�ywa� je�li zezwolisz na korzystanie wy��cznie z
+ wersji 2 protoko�u.
+ .
+ Je�li p�niej zmienisz zdanie co do tego ustawienia, to instrukcje co 
+ zmieni� w sshd_config znajduj� si� w README.Debian.
+Template: ssh/ssh2_keys_merged
+Type: note
+Description: ssh2 keys merged in configuration files
+ As of version 3 OpenSSH no longer uses separate files for ssh1 and
+ ssh2 keys. This means the authorized_keys2 and known_hosts2 files
+ are no longer needed. They will still be read in order to maintain
+ backwards compatibility
+Description-pl: klucze ssh2 w��czone do plik�w konfiguracyjnych
+ Pocz�wszy od wersji 3 OpenSSH nie u�ywa ju� osobnych plik�w dla kluczy
+ ssh1 i ssh2. Oznacza to, �e pliki authorized_keys2 i known_hosts2 nie
+ s� ju� potrzebne. B�d� one jednak odczytywane aby zachowa� wsteczn�
+ kompatybilno��.
+Template: ssh/use_old_init_script
+Type: boolean
+Default: false
+Description: Do you want to continue (and risk killing active ssh sessions) ?
+ The version of /etc/init.d/ssh that you have installed, is likely to kill
+ all running sshd instances.  If you are doing this upgrade via an ssh
+ session, that would be a Bad Thing(tm).
+ .
+ You can fix this by adding "--pidfile /var/run/sshd.pid" to the
+ start-stop-daemon line in the stop section of the file.
+Description-pl: Czy chcesz kontynuowa� (i ryzykowa� zabicie aktywnych sesji ssh) ?
+ Zainstalowana w�a�nie wersja /etc/init.d/ssh mo�e zabi� wszystkie dzia�aj�ce
+ obecnie kopie sshd. Je�li robisz ten upgrade via ssh, to by�aby Z�a Rzecz(tm).
+ .
+ Mo�esz to naprawi� dodaj�c "--pidfile /var/run/sshd.pid" do linijki
+ start-stop-daemon w sekcji stop tego pliku.
+Template: ssh/forward_warning
+Type: note
+Description: NOTE: Forwarding of X11 and Authorization disabled by default.
+ For security reasons, the Debian version of ssh has ForwardX11 and
+ ForwardAgent set to ``off'' by default.
+ .
+ You can enable it for servers you trust, either
+ in one of the configuration files, or with the -X command line option.
+ .
+ More details can be found in /usr/share/doc/ssh/README.Debian
+Description-pl: UWAGA: Przekazywanie (forwarding) X11 i Autoryzacji jest domy�lnie wy��czone.
+ Ze wzgl�d�w bezpiecze�stwa Debianowa wersja ssh ma ForwardX11 i ForwardAgent
+ ustawione  domy�lnie na 'off'.
+ .
+ Dla zaufanych serwer�w mo�esz w��czy� te opcje w pliku konfiguracyjnym lub
+ przy pomocy opcji -X z linii komend.
+ .
+ Wi�cej szczeg��w znajdziesz w /usr/share/doc/ssh/README.Debian.
+Template: ssh/insecure_rshd
+Type: note
+Description: Warning: rsh-server is installed --- probably not a good idea
+ having rsh-server installed undermines the security that you were probably
+ wanting to obtain by installing ssh.  I'd advise you to remove that package.
+Description-pl: Uwaga: serwer rsh jest zainstalowany --- prawdopodobnie nienajlepszy pomys�
+ Posiadanie zainstalowanego serwera rsh podminowuje zabezpieczenia, kt�re 
+ prawdopodobnie starasz si� uzyska� instaluj�c ssh. Radzi�bym usun�� ten 
+ pakiet.
+Template: ssh/insecure_telnetd
+Type: note
+Description: Warning: telnetd is installed --- probably not a good idea
+ I'd advise you to either remove the telnetd package (if you don't actually
+ need to offer telnet access) or install telnetd-ssl so that there is at
+ least some chance that telnet sessions will not be sending unencrypted
+ login/password and session information over the network.
+Description-pl: Uwaga: telnetd jest zainstalowany --- prawdopodobnie nienajlepszy pomys�
+ Radzi�bym albo usun�� pakiet telnetd (je�li nie potrzebujesz koniecznie
+ udost�pnia� telnet'a) albo zainstalowa� telnetd-ssl aby by�a cho� szansza,
+ �e sesje telnet nie b�d� przesy�a� niezaszyfrowanego loginu/has�a oraz 
+ danych sesji przez sie�.
+Template: ssh/encrypted_host_key_but_no_keygen
+Type: note
+Description: Warning: you must create a new host key
+ There is an old /etc/ssh/ssh_host_key, which is IDEA encrypted.
+ OpenSSH can not handle this host key file, and I can't find the
+ ssh-keygen utility from the old (non-free) SSH installation.
+ .
+ You will need to generate a new host key.
+Description-pl: Uwaga: musisz utworzy� nowy klucz hosta 
+ Istnieje stary /etc/ssh/ssh_host_key, kt�ry jest zaszyfrowany przez
+ IDEA. OpenSSH nie umie korzysta� z tak zaszyfrowanego klucza, a nie
+ mo�e znale�� polecenia ssh-keygen ze starego SSH (non-free).
+ .
+ B�dziesz musia� wygenerowa� nowy klucz hosta.
+Template: ssh/SUID_client
+Type: boolean
+Default: true
+Description: Do you want /usr/lib/ssh-keysign to be installed SUID root?
+ You have the option of installing the ssh-keysign helper with the SUID
+ bit set.
+ .
+ If you make ssh-keysign SUID, you will be able to use SSH's Protocol 2
+ host-based authentication.
+ .
+ If in doubt, I suggest you install it with SUID.  If it causes
+ problems you can change your mind later by running:   dpkg-reconfigure ssh 
+Description-pl: Czy chcesz aby /usr/lib/ssh-keysign by� zainstalowany jako SUID root? 
+ Masz mo�liwo�� zainstalowania pomocniczego programu ssh-keysign z w��czonym
+ bitem SETUID.
+ .
+ Je�li uczynisz ssh-keysign SUIDowym, b�dziesz m�g� u�ywa� opartej na hostach
+ autentykacji drugiej wersji protoko�u SSH.
+ .
+ Je�li masz w�tpliwo�ci, radz� zainstalowa� go z SUIDem. Je�li to sprawia
+ problemy, mo�esz zmieni� swoje zdanie uruchamiaj�c p�niej polecenie:
+ dpkg-reconfigure ssh
+Template: ssh/run_sshd
+Type: boolean
+Default: true
+Description: Do you want to run the sshd server ?
+ This package contains both the ssh client, and the sshd server.
+ .
+ Normally the sshd Secure Shell Server will be run to allow remote
+ logins via ssh.
+ .
+ If you are only interested in using the ssh client for outbound
+ connections on this machine, and don't want to log into it at all
+ using ssh, then you can disable sshd here.
+Description-pl: Czy chcesz uruchamia� serwer sshd ?
+ Ten pakiet zawiera zar�wno klienta ssh, jak i serwer sshd.
+ .
+ Normalnie serwer sshd (Secure Shell Server) b�dzie uruchomiony aby
+ umo�liwi� zdalny dost�p przez ssh.
+ .
+ Je�li jeste� zainteresowny u�ywaniem wy��cznie klienta ssh dla po��cze�
+ wychodz�cych z tej maszyny, i nie chcesz si� na ni� logowa� przy pomocy
+ ssh, to mo�esz teraz wy��czy� serwer sshd.