ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > የSSH 8.4 ልቀትን ይክፈቱ

የSSH 8.4 ልቀትን ይክፈቱ

ከአራት ወራት እድገት በኋላ ቀርቧል የSSH 8.4 እና SFTP ፕሮቶኮሎችን ለመጠቀም ክፍት ደንበኛ እና የአገልጋይ ትግበራ OpenSSH 2.0 መልቀቅ።

ዋና ለውጦች፡-

  • የደህንነት ለውጦች፡-
    • በssh-agent ውስጥ ለኤስኤስኤች ማረጋገጫ ያልተፈጠሩ የ FIDO ቁልፎችን ሲጠቀሙ (የቁልፍ መታወቂያው በ "ssh:") ሕብረቁምፊ አይጀምርም, አሁን በኤስኤስኤች ፕሮቶኮል ውስጥ ጥቅም ላይ የዋሉ ዘዴዎችን በመጠቀም መልእክቱ እንደሚፈረም ያረጋግጣል. ለውጡ የssh-ወኪል ወደ የርቀት አስተናጋጆች እንዲዞር አይፈቅድም FIDO ቁልፎች እነዚህን ቁልፎች ለመጠቀም ለድር ማረጋገጫ ጥያቄዎች ፊርማ ማመንጨት አይችሉም (የተገላቢጦሽ ሁኔታ ፣ አሳሽ የኤስኤስኤች ጥያቄን መፈረም ሲችል ፣ መጀመሪያ ላይ አይካተትም) በቁልፍ መለያው ውስጥ ያለውን የ "ssh:" ቅድመ ቅጥያ በመጠቀም ምክንያት).
    • የssh-keygen ነዋሪ ቁልፍ ማመንጨት በ FIDO 2.1 ዝርዝር መግለጫ ላይ ለተገለጸው የ credProtect add-on ድጋፍን ያጠቃልላል፣ ይህም የነዋሪውን ቁልፍ ከቶከን ለማውጣት የሚያስችለውን ማንኛውንም ተግባር ከማከናወኑ በፊት ፒን በመጠየቅ ለቁልፍ ተጨማሪ ጥበቃ ይሰጣል።
  • የተኳኋኝነት ለውጦች ሊሆኑ የሚችሉ ለውጦች፡-
    • FIDO/U2Fን ለመደገፍ የlibfido2 ቤተ-መጽሐፍትን ቢያንስ ስሪት 1.5.0 መጠቀም ይመከራል። የቆዩ እትሞችን የመጠቀም ችሎታ በከፊል ተተግብሯል, ነገር ግን በዚህ ሁኔታ እንደ የነዋሪ ቁልፎች, የፒን ጥያቄ እና በርካታ ቶከኖችን ማገናኘት ያሉ ተግባራት አይገኙም.
    • በssh-keygen ውስጥ፣ የዲጂታል ፊርማዎችን ለማረጋገጥ አስፈላጊ የሆነው አረጋጋጭ መረጃ ወደ የማረጋገጫ መረጃው ቅርጸት ተጨምሯል፣ እንደ አማራጭ የ FIDO ቁልፍ ሲያመነጭ ተቀምጧል።
    • የ FIDO ቶከኖች ለመድረስ OpenSSH ከንብርብሩ ጋር ሲገናኝ ጥቅም ላይ የዋለው ኤፒአይ ተቀይሯል።
    • ተንቀሳቃሽ የOpenSSH ሥሪት ሲገነቡ የማዋቀር ስክሪፕቱን እና ተጓዳኝ የግንባታ ፋይሎችን ለማመንጨት አውቶማቲክ አሁን ያስፈልጋል (ከተታተመ የኮድ ታር ፋይል ከተገነባ፣ ማዋቀርን እንደገና ማመንጨት አያስፈልግም)።
  • በssh እና ssh-keygen ውስጥ የፒን ማረጋገጫ ለሚፈልጉ የ FIDO ቁልፎች ድጋፍ ታክሏል። ቁልፎችን በፒን ለማመንጨት “ማረጋገጥ ያስፈልጋል” የሚለው አማራጭ ወደ ssh-keygen ታክሏል። እንደዚህ ያሉ ቁልፎች ጥቅም ላይ ከዋሉ, የፊርማ ፈጠራ ሥራን ከማከናወኑ በፊት ተጠቃሚው ፒን ኮድ በማስገባት ድርጊቶቻቸውን እንዲያረጋግጥ ይጠየቃል.
  • በ sshd ውስጥ "ማረጋገጫ-የሚፈለገው" አማራጭ በተፈቀደው_ቁልፎች መቼት ውስጥ ተተግብሯል, ይህም ከቶከን ጋር በሚሰሩበት ጊዜ የተጠቃሚውን መኖር ለማረጋገጥ ችሎታዎችን መጠቀም ያስፈልገዋል. የFIDO መስፈርት ለእንደዚህ አይነት ማረጋገጫ ብዙ አማራጮችን ይሰጣል፣ነገር ግን በአሁኑ ጊዜ OpenSSH በፒን ላይ የተመሰረተ ማረጋገጫን ብቻ ይደግፋል።
  • sshd እና ssh-keygen FIDO ቁልፎችን በድር አሳሾች ውስጥ ለመጠቀም የሚያስችል የ FIDO Webauthn መስፈርትን የሚያሟሉ ዲጂታል ፊርማዎችን ለማረጋገጥ ድጋፍ ጨምረዋል።
  • በSsh ውስጥ በ CertificateFile ቅንብሮች ውስጥ፣
    የመቆጣጠሪያ ዱካ፣ ማንነት ወኪል፣ IdentityFile፣ LocalForward እና
    RemoteForward በ«${ENV}» ቅርጸት ከተገለጹ የአካባቢ ተለዋዋጮች እሴቶችን መተካት ይፈቅዳል።

  • ssh እና ssh-ኤጀንት ለ$SSH_ASKPASS_REQUIRE አካባቢ ተለዋዋጭ ድጋፍ አክለዋል፣ይህም የssh-askpass ጥሪን ለማንቃት ወይም ለማሰናከል ሊያገለግል ይችላል።
  • በssh ውስጥ በssh_config በAdKysToAgent መመሪያ ውስጥ የአንድ ቁልፍ የሚቆይበትን ጊዜ የመገደብ ችሎታ ታክሏል። የተወሰነው ገደብ ካለፈ በኋላ ቁልፎቹ ከ ssh-agent ይሰረዛሉ.
  • በ sp እና sftp የ"-A" ባንዲራ በመጠቀም አሁን ssh-agentን በመጠቀም ወደ scp እና sftp ማዘዋወርን በግልፅ መፍቀድ ይችላሉ (ማዞር በነባሪነት ተሰናክሏል)።
  • በssh ቅንብሮች ውስጥ ለ'% k' ምትክ ድጋፍ ታክሏል፣ እሱም የአስተናጋጁን ቁልፍ ስም ይገልጻል። ይህ ባህሪ ቁልፎችን ወደ ተለያዩ ፋይሎች ለማሰራጨት ሊያገለግል ይችላል (ለምሳሌ፣ “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”)።
  • ከ stdin የሚሰረዙ ቁልፎችን ለማንበብ የ"ssh-add -d" ክዋኔን ይፍቀዱ።
  • በ sshd ውስጥ የግንኙነቱ የመግረዝ ሂደት መጀመሪያ እና መጨረሻ በማክስStartups ግቤት ቁጥጥር ስር ባለው ምዝግብ ማስታወሻ ውስጥ ተንፀባርቋል።

የOpenSSH ገንቢዎች በ SHA-1 hashes በመጠቀም መጪውን የአልጎሪዝም መፍታት አስታውሰዋል ማስተዋወቅ የግጭት ጥቃቶች ውጤታማነት በተሰጠው ቅድመ ቅጥያ (ግጭት የመምረጥ ዋጋ በግምት 45 ሺህ ዶላር ይገመታል). ከሚለቀቁት ውስጥ በአንዱ፣ በነባሪነት ለኤስኤስኤች ፕሮቶኮል በዋናው RFC ውስጥ የተጠቀሰውን እና በተግባር በስፋት የሚቆይ (አጠቃቀሙን ለመፈተሽ) የህዝብ ቁልፍ ዲጂታል ፊርማ አልጎሪዝም “ssh-rsa” የመጠቀም ችሎታን በነባሪ ለማሰናከል አቅደዋል። በስርዓቶችዎ ውስጥ የ ssh-rsa ን በ ssh በኩል ከ“-oHostKeyAlgorithms=-ssh-rsa”) ጋር ለመገናኘት መሞከር ይችላሉ።

በOpenSSH ውስጥ ወደ አዲስ ስልተ ቀመሮች የሚደረገውን ሽግግር ለማቃለል፣ የሚቀጥለው ልቀት የ UpdateHostKeys ቅንብርን በነባሪነት ያነቃዋል። ለስደት የሚመከሩ ስልተ ቀመሮች RFC2 RSA SHA-256 (ከOpenSSH 512 ጀምሮ የተደገፈ እና በነባሪነት ጥቅም ላይ የዋለ)፣ ssh-ed8332 (ከOpenSSH 2 ጀምሮ የሚደገፍ) እና ecdsa-sha7.2-nistp25519/6.5/2 ላይ የተመሠረተ rsa-sha256-384/521 ያካትታሉ። በ RFC5656 ECDSA (ከOpenSSH 5.7 ጀምሮ የተደገፈ)።

ምንጭ: opennet.ru

አስተያየት ያክሉ