ProHoster > Blog > internet nuus > OpenSSH 8.0 vrystelling

OpenSSH 8.0 vrystelling

Na vyf maande van ontwikkeling aangebied vrylating OpenSSH 8.0, 'n oop implementering van die kliënt en bediener om oor die SSH 2.0- en SFTP-protokolle te werk.

Belangrikste veranderinge:

  • Eksperimentele ondersteuning vir 'n sleuteluitruilmetode wat bestand is teen brute-force-aanvalle op 'n kwantumrekenaar is by ssh en sshd gevoeg. Kwantumrekenaars is radikaal vinniger om die probleem op te los om 'n natuurlike getal in priemfaktore te ontbind, wat onder moderne asimmetriese enkripsiealgoritmes lê en nie effektief op klassieke verwerkers opgelos kan word nie. Die voorgestelde metode is gebaseer op die algoritme NTRU Prime (funksie ntrup4591761), ontwikkel vir post-kwantum kriptostelsels, en die elliptiese kurwe sleutel uitruil metode X25519;
  • In sshd ondersteun die ListenAddress- en PermitOpen-riglyne nie meer die verouderde "gasheer/poort"-sintaksis nie, wat in 2001 geïmplementeer is as 'n alternatief vir "gasheer:poort" om die werk met IPv6 te vereenvoudig. In moderne toestande is die sintaksis “[::6]:1” vir IPv22 vasgestel, en “gasheer/poort” word dikwels verwar met die aandui van die subnet (CIDR);
  • ssh, ssh-agent en ssh-add ondersteun nou sleutels ECDS in PKCS#11 tokens;
  • In ssh-keygen is die verstek RSA-sleutelgrootte verhoog tot 3072 bisse, in ooreenstemming met nuwe NIST-aanbevelings;
  • ssh laat die gebruik van die "PKCS11Provider=none" instelling toe om die PKCS11Provider-instruksie wat in ssh_config gespesifiseer is, te ignoreer;
  • sshd bied 'n log vertoning van situasies wanneer die verbinding beëindig word wanneer probeer om opdragte uit te voer wat geblokkeer is deur die "ForceCommand=internal-sftp" beperking in sshd_config;
  • In ssh, wanneer 'n versoek vertoon word om die aanvaarding van 'n nuwe gasheersleutel te bevestig, in plaas van die "ja"-antwoord, word die korrekte vingerafdruk van die sleutel nou aanvaar (in reaksie op die uitnodiging om die verbinding te bevestig, kan die gebruiker die afsonderlik ontvang verwysingshash via die knipbord, om dit nie met die hand te vergelyk nie);
  • ssh-keygen bied outomatiese inkrementering van die sertifikaatvolgnommer wanneer digitale handtekeninge vir veelvuldige sertifikate op die opdragreël geskep word;
  • 'n Nuwe opsie "-J" is by scp en sftp gevoeg, gelykstaande aan die ProxyJump-instelling;
  • In ssh-agent, ssh-pkcs11-helper en ssh-add, is verwerking van die "-v" opdragreëlopsie bygevoeg om die inligtinginhoud van die afvoer te verhoog (wanneer gespesifiseer, word hierdie opsie aan kinderprosesse deurgegee, vir byvoorbeeld wanneer ssh-pkcs11-helper vanaf ssh-agent geroep word);
  • Die "-T"-opsie is by ssh-add gevoeg om die geskiktheid van sleutels in ssh-agent te toets om digitale handtekeningskepping en verifikasiebewerkings uit te voer;
  • sftp-bediener implementeer ondersteuning vir die "lsetstat at openssh.com" protokol uitbreiding, wat ondersteuning byvoeg vir die SSH2_FXP_SETSTAT operasie vir SFTP, maar sonder om simboliese skakels te volg;
  • Bygevoeg "-h" opsie by sftp om chown/chgrp/chmod opdragte uit te voer met versoeke wat nie simboliese skakels gebruik nie;
  • sshd verskaf instelling van die $SSH_CONNECTION omgewingsveranderlike vir PAM;
  • Vir sshd is 'n "Match final"-passingsmodus by ssh_config gevoeg, wat soortgelyk is aan "Match canonical", maar vereis nie dat gasheernaamnormalisering geaktiveer moet word nie;
  • Bygevoeg ondersteuning vir die '@' voorvoegsel na sftp om vertaling van die uitvoer van opdragte wat in bondelmodus uitgevoer word, te deaktiveer;
  • Wanneer jy die inhoud van 'n sertifikaat vertoon met die opdrag
    "ssh-keygen -Lf /path/certificate" vertoon nou die algoritme wat deur die CA gebruik word om die sertifikaat te bekragtig;

  • Verbeterde ondersteuning vir die Cygwin-omgewing, byvoorbeeld die verskaffing van hoofletter-onsensitiewe vergelyking van groep- en gebruikername. Die sshd-proses in die Cygwin-poort is verander na cygsshd om inmenging met die Microsoft-verskafde OpenSSH-poort te vermy;
  • Bygevoeg die vermoë om te bou met die eksperimentele OpenSSL 3.x tak;
  • Uitgeskakel kwesbaarheid (CVE-2019-6111) in die implementering van die scp-hulpprogram, wat toelaat dat arbitrêre lêers in die teikengids aan die kliëntkant oorskryf word wanneer toegang verkry word tot 'n bediener wat deur 'n aanvaller beheer word. Die probleem is dat wanneer scp gebruik word, die bediener besluit watter lêers en gidse om na die kliënt te stuur, en die kliënt kontroleer slegs die korrektheid van die teruggestuurde objekname. Kliënt-kant kontrolering is beperk tot die blokkering van reis buite die huidige gids ("../"), maar neem nie die oordrag van lêers met name anders as dié wat oorspronklik versoek is, in ag nie. In die geval van rekursiewe kopiëring (-r), kan jy benewens lêername ook die name van subgidse op 'n soortgelyke manier manipuleer. Byvoorbeeld, as die gebruiker lêers na die tuisgids kopieer, kan die bediener wat deur die aanvaller beheer word lêers produseer met die name .bash_aliases of .ssh/authorized_keys in plaas van die versoekte lêers, en hulle sal deur die scp-nutsding in die gebruiker se tuisgids.

    In die nuwe weergawe is die scp-hulpprogram opgedateer om die ooreenstemming tussen die lêername wat versoek is en dié wat deur die bediener gestuur word, na te gaan, wat aan die kliëntkant uitgevoer word. Dit kan probleme met maskerverwerking veroorsaak, aangesien maskeruitbreidingkarakters anders aan die bediener- en kliëntkant verwerk kan word. In die geval dat sulke verskille veroorsaak dat die kliënt ophou om lêers in scp te aanvaar, is die "-T" opsie bygevoeg om kliënt-kant kontrolering te deaktiveer. Om die probleem volledig reg te stel, word 'n konseptuele herbewerking van die scp-protokol vereis, wat self reeds verouderd is, daarom word dit aanbeveel om eerder meer moderne protokolle soos sftp en rsync te gebruik.

Bron: opennet.ru

Voeg 'n opmerking