ከሶስት ወራት እድገት በኋላ መልቀቅ በኤስኤስኤች 2.0 እና በኤስኤፍቲፒ ፕሮቶኮሎች ለመስራት ክፍት ደንበኛ እና አገልጋይ ትግበራ።
አዲሱ ልቀት አገልጋዩ ከተጠየቀው (በተቃራኒው) ሌሎች የፋይል ስሞችን እንዲያስተላልፍ ከሚያስችላቸው ከ scp ጥቃቶች ጥበቃን ይጨምራል። , ጥቃቱ በተጠቃሚ የተመረጠውን ማውጫ ወይም ግሎብ ጭንብል ለመለወጥ አያደርገውም). ያስታውሱ በ SCP ውስጥ አገልጋዩ የትኞቹን ፋይሎች እና ማውጫዎች ለደንበኛው እንደሚልክ ይወስናል እና ደንበኛው የተመለሱትን የነገር ስሞች ትክክለኛነት ብቻ ያረጋግጣል። የተገለጸው ችግር ዋናው ነገር የ utimes ስርዓት ጥሪ ካልተሳካ የፋይሉ ይዘት እንደ ፋይል ሜታዳታ ይተረጎማል።
ይህ ባህሪ በአጥቂ ከሚቆጣጠረው አገልጋይ ጋር በሚገናኝበት ጊዜ በተጠቃሚው FS ውስጥ ሌሎች የፋይል ስሞችን እና ሌሎች ይዘቶችን ለማስቀመጥ በ ‹utimes› ጥሪ ጊዜ ወደ ውድቀት በሚያመሩ ውቅሮች ውስጥ scp ሲገለብጡ (ለምሳሌ ፣ utimes በሚከለከልበት ጊዜ) የ SELinux ፖሊሲ ወይም የስርዓት ጥሪ ማጣሪያ) . በተለመዱ ውቅሮች ውስጥ የዩታይምስ ጥሪ ስለማይሳካ የእውነተኛ ጥቃቶች እድላቸው አነስተኛ ነው ተብሎ ይገመታል። በተጨማሪም, ጥቃቱ ሳይታወቅ አይሄድም - ወደ scp ሲደውሉ የውሂብ ማስተላለፍ ስህተት ይታያል.
አጠቃላይ ለውጦች፡-
- በ sftp ውስጥ የ "-1" ክርክርን ማካሄድ ቆሟል, ልክ እንደ ssh እና scp, ቀደም ሲል ተቀባይነት ያለው ነገር ግን ችላ ተብሏል;
- በ sshd ውስጥ, IgnoreRhosts ሲጠቀሙ, አሁን ሶስት ምርጫዎች አሉ: "አዎ" - rhosts / shosts, "አይ" - ክብር rhosts / shosts, እና "shosts-only" - ፍቀድ ".shosts" ግን ".rhosts" አትፍቀድ;
- Ssh አሁን የዩኒክስ ሶኬቶችን ለመምራት በLocalFoward እና RemoteForward ቅንጅቶች ውስጥ የ%TOKEN ምትክን ይደግፋል።
- ይፋዊ ቁልፍ ያለው የተለየ ፋይል ከሌለ ከተመሰጠረ ፋይል የግል ቁልፎችን መጫን ይፍቀዱ;
- ሊቢክሪቶ በሲስተሙ ውስጥ የሚገኝ ከሆነ፣ ssh እና sshd አሁን የቻቻ20 አልጎሪዝምን ከዚህ ቤተ-መጽሐፍት ትግበራ ይጠቀማል፣ አብሮ በተሰራው ተንቀሳቃሽ አተገባበር ፈንታ፣ በአፈጻጸም ወደ ኋላ የሚቀረው።
- "ssh-keygen -lQf /path" የሚለውን ትዕዛዝ በሚፈጽምበት ጊዜ የተሻሩ የምስክር ወረቀቶችን የሁለትዮሽ ዝርዝር ይዘቶችን የመጣል ችሎታን ተተግብሯል;
- ተንቀሳቃሽ ሥሪት ከSA_RESTART አማራጭ ጋር ምልክቶች የመምረጥ ሥራን የሚያቋርጡበትን የሥርዓቶች ፍቺዎች ተግባራዊ ያደርጋል።
- በ HP / UX እና AIX ስርዓቶች ላይ በመገጣጠም ላይ ያሉ ችግሮች ተፈትተዋል;
- በአንዳንድ የሊኑክስ አወቃቀሮች ላይ የሴክኮም ማጠሪያን በመገንባት ላይ ያሉ ቋሚ ችግሮች;
- የተሻሻለ የlibfido2 ቤተ-መጽሐፍት ማወቂያ እና የግንባታ ችግሮችን በ"--ከደህንነት-ቁልፍ-builtin" አማራጭ ጋር ፈታ።
የOpenSSH ገንቢዎች በSHA-1 hashes በመጠቀም ስለሚመጣው የአልጎሪዝም መበስበስ በድጋሚ አስጠንቅቀዋል። የግጭት ጥቃቶች ውጤታማነት በተሰጠው ቅድመ ቅጥያ (ግጭት የመምረጥ ዋጋ በግምት 45 ሺህ ዶላር ይገመታል). ከሚለቀቁት ውስጥ በአንዱ፣ በነባሪነት ለኤስኤስኤች ፕሮቶኮል በዋናው RFC ውስጥ የተጠቀሰውን እና በተግባር በስፋት የሚቆይ (አጠቃቀሙን ለመፈተሽ) የህዝብ ቁልፍ ዲጂታል ፊርማ አልጎሪዝም “ssh-rsa” የመጠቀም ችሎታን በነባሪ ለማሰናከል አቅደዋል። በስርዓቶችዎ ውስጥ የ ssh-rsa ን በ ssh በኩል ከ“-oHostKeyAlgorithms=-ssh-rsa”) ጋር ለመገናኘት መሞከር ይችላሉ።
በOpenSSH ውስጥ ወደ አዲስ ስልተ ቀመሮች የሚደረገውን ሽግግር ለማቃለል፣በወደፊት ልቀት የ UpdateHostKeys መቼት በነባሪነት ይነቃቃል፣ይህም ደንበኞችን በራስ-ሰር ወደ አስተማማኝ ስልተ ቀመሮች ያፈልሳል። ለስደት የሚመከሩ ስልተ ቀመሮች RFC2 RSA SHA-256 (ከOpenSSH 512 ጀምሮ የተደገፈ እና በነባሪነት ጥቅም ላይ የዋለ)፣ ssh-ed8332 (ከOpenSSH 2 ጀምሮ የሚደገፍ) እና ecdsa-sha7.2-nistp25519/6.5/2 ላይ የተመሠረተ rsa-sha256-384/521 ያካትታሉ። በ RFC5656 ECDSA (ከOpenSSH 5.7 ጀምሮ የተደገፈ)።
በመጨረሻው እትም ላይ "ssh-rsa" እና "diffie-hellman-group14-sha1" ከCASignatureAlgorithms ዝርዝር ውስጥ ተወግደዋል አዲስ የምስክር ወረቀቶችን በዲጂታል መንገድ ለመፈረም የተፈቀደላቸው ስልተ ቀመሮችን የሚገልጽ ነው፣ በሰርተፊኬቶች ውስጥ SHA-1ን መጠቀም ተጨማሪ አደጋን ይፈጥራል። በዚህ ምክንያት አጥቂው ላለው የምስክር ወረቀት ግጭት ለመፈለግ ያልተገደበ ጊዜ አለው፣ በአስተናጋጅ ቁልፎች ላይ የሚደርሰው ጥቃት ግን በግንኙነት ጊዜ ማብቂያ (LoginGraceTime) የተገደበ ነው።
ምንጭ: opennet.ru