ከአምስት ወራት እድገት በኋላ መልቀቅ በኤስኤስኤች 2.0 እና በኤስኤፍቲፒ ፕሮቶኮሎች ለመስራት ክፍት ደንበኛ እና አገልጋይ ትግበራ።
ዋና ለውጦች፡-
- በኳንተም ኮምፒዩተር ላይ የሚደርሱ የጭካኔ ጥቃቶችን የሚቋቋም ለቁልፍ ልውውጥ ዘዴ የሙከራ ድጋፍ ወደ ssh እና sshd ተጨምሯል። ኳንተም ኮምፒውተሮች የተፈጥሮን ቁጥር ወደ ዋና ምክንያቶች የመበስበስ ችግርን በመፍታት ፈጣን ናቸው ፣ይህም ዘመናዊ asymmetric ምስጠራ ስልተ ቀመሮችን መሠረት ያደረገ እና በክላሲካል ፕሮሰሰር ላይ ውጤታማ በሆነ መንገድ ሊፈታ አይችልም። የታቀደው ዘዴ በአልጎሪዝም ላይ የተመሰረተ ነው (ተግባር ntrup4591761), ለድህረ-ኳንተም cryptosystems, እና ሞላላ ከርቭ ቁልፍ ልውውጥ ዘዴ X25519;
- በsshd ውስጥ፣ የ ListenAddress እና PermitOpen መመሪያዎች ከIPv2001 ጋር መስራትን ለማቃለል በ6 ከ"አስተናጋጅ:ፖርት" እንደ አማራጭ የተተገበረውን የ"አስተናጋጅ/ወደብ" አገባብ አይደግፉም። በዘመናዊ ሁኔታዎች ውስጥ, "[:: 6]: 1" አገባብ ለ IPv22 ተመስርቷል, እና "አስተናጋጅ / ወደብ" ብዙውን ጊዜ ንኡስ መረብን (ሲዲአር) ከማመልከት ጋር ይደባለቃል;
- ssh፣ ssh-agent እና ssh- add አሁን ቁልፎችን ይደግፋሉ በ PKCS # 11 ማስመሰያዎች;
- በ ssh-keygen ውስጥ፣ በአዲሱ የ NIST ምክሮች መሰረት፣ ነባሪ የRSA ቁልፍ መጠን ወደ 3072 ቢት ጨምሯል።
- ssh በssh_config ላይ የተገለጸውን የPKCS11Provider መመሪያ ለመሻር የ"PKCS11Provider= የለም" ቅንብርን መጠቀም ያስችላል።
- sshd በ sshd_config ውስጥ በ "ForceCommand=internal-sftp" እገዳ የተከለከሉ ትዕዛዞችን ለመፈጸም ሲሞክር ግንኙነቱ ሲቋረጥ የሁኔታዎችን የምዝግብ ማስታወሻ ያቀርባል;
- በ ssh ውስጥ አዲስ የአስተናጋጅ ቁልፍ መቀበሉን ለማረጋገጥ ጥያቄን ሲያሳዩ "አዎ" ከሚለው ምላሽ ይልቅ ትክክለኛው የጣት አሻራ አሁን ተቀባይነት አግኝቷል (ግንኙነቱን ለማረጋገጥ ለቀረበው ግብዣ ምላሽ ተጠቃሚው ይህንን መገልበጥ ይችላል) በእጅ ላለማነፃፀር በተናጠል የተቀበለው የማጣቀሻ ሃሽ በቅንጥብ ሰሌዳው በኩል ፤
- ssh-keygen በትዕዛዝ መስመሩ ላይ ለብዙ የምስክር ወረቀቶች ዲጂታል ፊርማዎችን ሲፈጥሩ የምስክር ወረቀት ቅደም ተከተል ቁጥር በራስ-ሰር መጨመርን ያቀርባል;
- አዲስ አማራጭ "-J" ወደ scp እና sftp ተጨምሯል፣ ከProxyJump መቼት ጋር እኩል ነው።
- በ ssh-agent, ssh-pkcs11-helper እና ssh-add, የ "-v" ትዕዛዝ መስመር አማራጭን ማቀናበር የውጤቱን መረጃ ይዘት ለመጨመር ተጨምሯል (በተገለጸው ጊዜ, ይህ አማራጭ ለህጻናት ሂደቶች ይተላለፋል, ለ). ለምሳሌ, ssh-pkcs11-ረዳት ከ ssh-ኤጀንት ሲጠራ;
- የዲጂታል ፊርማ መፍጠር እና የማረጋገጫ ስራዎችን ለማከናወን በ ssh-ወኪል ውስጥ ያሉትን ቁልፎች ተስማሚነት ለመፈተሽ የ "-T" አማራጭ ወደ ssh-add ተጨምሯል;
- sftp-server ለ "lsetstat at openssh.com" ፕሮቶኮል ቅጥያ ድጋፍን ተግባራዊ ያደርጋል፣ ይህም ለኤስኤስኤች2_FXP_SETSTAT ተግባር ለ SFTP ድጋፍን ይጨምራል፣ነገር ግን ተምሳሌታዊ አገናኞችን ሳይከተል፤
- የ chown/chgrp/chmod ትዕዛዞችን ተምሳሌታዊ አገናኞችን ከማይጠቀሙ ጥያቄዎች ጋር ለማሄድ የ "-h" አማራጭ ወደ sftp ታክሏል;
- sshd የ$SSH_CONNECTION አካባቢ ተለዋዋጭ ለPAM ቅንብር ያቀርባል።
- ለsshd የ"Match final" ተዛማጅ ሁነታ ወደ ssh_config ተጨምሯል፣ይህም ከ"Match canonical" ጋር ተመሳሳይ ነው፣ነገር ግን የአስተናጋጅ ስም መደበኛነት እንዲነቃ አይፈልግም።
- በቡድን ሁነታ የተፈጸሙ የትእዛዞችን ውፅዓት ትርጉም ለማሰናከል ለ'@' ቅድመ ቅጥያ ወደ sftp ድጋፍ ታክሏል፤
- ትዕዛዙን በመጠቀም የምስክር ወረቀት ይዘቶችን ሲያሳዩ
"ssh-keygen -Lf /path/certificate" አሁን የምስክር ወረቀቱን ለማረጋገጥ CA የሚጠቀመውን ስልተ ቀመር ያሳያል። - ለሳይግዊን አካባቢ የተሻሻለ ድጋፍ፣ ለምሳሌ የቡድን እና የተጠቃሚ ስሞችን ጉዳይ የማይነካ ንፅፅር ማቅረብ። በማይክሮሶፍት የቀረበው የOpenSSH ወደብ ላይ ጣልቃ ገብነትን ለማስወገድ በሳይግዊን ወደብ ውስጥ ያለው የ sshd ሂደት ወደ cygsshd ተቀይሯል።
- ከሙከራ OpenSSL 3.x ቅርንጫፍ ጋር የመገንባት ችሎታ ታክሏል;
- ተወግዷል (CVE-2019-6111) በአጥቂ ቁጥጥር ስር ያለውን አገልጋይ ሲደርሱ በዒላማው ማውጫ ውስጥ ያሉ የዘፈቀደ ፋይሎች በደንበኛው በኩል እንዲገለበጡ የሚያስችል በ scp መገልገያ ትግበራ ላይ። ችግሩ scp በሚጠቀሙበት ጊዜ አገልጋዩ የትኞቹን ፋይሎች እና ማውጫዎች ለደንበኛው እንደሚልክ ይወስናል እና ደንበኛው የተመለሱትን የነገር ስሞች ትክክለኛነት ብቻ ያረጋግጣል። የደንበኛ-ጎን ማጣራት አሁን ካለው ማውጫ (“../”) በላይ ጉዞን ለመከልከል ብቻ የተገደበ ነው፣ነገር ግን መጀመሪያ ከተጠየቁት ስሞች የተለየ የሆኑ ፋይሎችን ማስተላለፍን ከግምት ውስጥ አያስገባም። በተደጋጋሚ ቅጂ (-r) ላይ ከፋይል ስሞች በተጨማሪ የንዑስ ማውጫዎችን ስሞች በተመሳሳይ መንገድ ማቀናበር ይችላሉ. ለምሳሌ፣ ተጠቃሚው ፋይሎችን ወደ መነሻ ማውጫው ከገለበጠ፣ በአጥቂው ቁጥጥር ስር ያለው አገልጋይ ከተጠየቁት ፋይሎች ይልቅ .bash_aliases ወይም .ssh/authorized_keys የሚል ስም ያላቸው ፋይሎችን ማምረት ይችላል እና በተጠቃሚው ውስጥ ባለው scp utility ይድናሉ። የቤት ማውጫ.
በአዲሱ ልቀት፣ የ scp መገልገያው በተጠየቀው የፋይል ስም እና በአገልጋዩ በተላኩት መካከል ያለውን ግንኙነት ለመፈተሽ ተዘምኗል፣ ይህም በደንበኛው በኩል ይከናወናል። ጭንብል የማስፋፊያ ገጸ-ባህሪያት በአገልጋዩ እና በደንበኛ በኩል በተለየ መንገድ ሊሰሩ ስለሚችሉ ይህ በማስክ ሂደት ላይ ችግር ሊፈጥር ይችላል። እንደዚህ አይነት ልዩነቶች ደንበኛው በ scp ውስጥ ያሉ ፋይሎችን መቀበል እንዲያቆም ካደረገው የ "-T" አማራጭ የደንበኛ-ጎን ማረጋገጥን ለማሰናከል ተጨምሯል. ችግሩን ሙሉ በሙሉ ለማስተካከል የ scp ፕሮቶኮል ጽንሰ-ሐሳብ እንደገና መሥራት ያስፈልጋል ፣ እሱ ራሱ ጊዜው ያለፈበት ነው ፣ ስለሆነም በምትኩ እንደ sftp እና rsync ያሉ ተጨማሪ ዘመናዊ ፕሮቶኮሎችን ለመጠቀም ይመከራል።
ምንጭ: opennet.ru