ከአምስት ወራት እድገት በኋላ በኤስኤስኤች 8.5 እና SFTP ፕሮቶኮሎች ላይ ለመስራት የደንበኛ እና አገልጋይ ክፍት ትግበራ OpenSSH 2.0 ተለቀቀ።
የOpenSSH ገንቢዎች SHA-1 hashesን በመጠቀም የግጭት ጥቃቶች ቅልጥፍና በመጨመሩ (ግጭት የመምረጥ ወጪ በግምት 50 ሺህ ዶላር ይገመታል።) ከሚለቀቁት ውስጥ በአንዱ፣ በነባሪነት የ"ssh-rsa" የህዝብ ቁልፍ ዲጂታል ፊርማ አልጎሪዝምን የመጠቀም ችሎታን ለማሰናከል አቅደዋል፣ይህም በዋናው RFC ለኤስኤስኤች ፕሮቶኮል የተጠቀሰው እና በተግባርም በስፋት የሚቆይ።
በስርዓቶችዎ ላይ የssh-rsa አጠቃቀምን ለመፈተሽ በ ssh በኩል በ«-oHostKeyAlgorithms=-ssh-rsa» አማራጭ ለመገናኘት መሞከር ይችላሉ። በተመሳሳይ ጊዜ የ "ssh-rsa" ዲጂታል ፊርማዎችን በነባሪ ማሰናከል የ RSA ቁልፎችን ሙሉ በሙሉ መተው ማለት አይደለም, ምክንያቱም ከSHA-1 በተጨማሪ የኤስኤስኤች ፕሮቶኮል ሌሎች የሃሽ ስሌት ስልተ ቀመሮችን መጠቀም ያስችላል. በተለይም ከ "ssh-rsa" በተጨማሪ የ "rsa-sha2-256" (RSA/SHA256) እና "rsa-sha2-512" (RSA/SHA512) ጥቅሎችን መጠቀም የሚቻል ይሆናል።
ወደ አዲስ ስልተ ቀመሮች የሚደረገውን ሽግግር ለማቃለል፣ OpenSSH 8.5 በነባሪነት የነቃ የ UpdateHostKeys ቅንብር አለው፣ ይህም ደንበኞች በራስ-ሰር ወደ አስተማማኝ ስልተ ቀመሮች እንዲቀይሩ ያስችላቸዋል። ይህን ቅንብር በመጠቀም ልዩ የፕሮቶኮል ቅጥያ ነቅቷል "[ኢሜል የተጠበቀ]"፣ አገልጋዩ፣ ከተረጋገጠ በኋላ፣ ስለ ሁሉም የሚገኙ የአስተናጋጅ ቁልፎች ለደንበኛው እንዲያሳውቅ መፍቀድ። ደንበኛው እነዚህን ቁልፎች በ ~/.ssh/known_hosts ፋይል ውስጥ ማንፀባረቅ ይችላል፣ይህም የአስተናጋጁ ቁልፎች እንዲዘምኑ እና በአገልጋዩ ላይ ቁልፎችን ለመቀየር ቀላል ያደርገዋል።
የ UpdateHostKeys አጠቃቀም ወደፊት ሊወገዱ በሚችሉ በርካታ ማስጠንቀቂያዎች የተገደበ ነው፡ ቁልፉ በ UserKnownHostsFile ውስጥ መጠቀስ አለበት እና በ GlobalKnownHostsFile ውስጥ ጥቅም ላይ አይውልም; ቁልፉ በአንድ ስም ብቻ መገኘት አለበት; የአስተናጋጅ ቁልፍ የምስክር ወረቀት ጥቅም ላይ መዋል የለበትም; በሚታወቁ_አስተናጋጆች ውስጥ በአስተናጋጅ ስም ጭምብል ጥቅም ላይ መዋል የለበትም; የ VerifyHostKeyDNS ቅንብር መሰናከል አለበት; የ UserKnownHostsFile መለኪያ ንቁ መሆን አለበት።
ለስደት የሚመከሩ ስልተ ቀመሮች RFC2 RSA SHA-256 (ከOpenSSH 512 ጀምሮ የተደገፈ እና በነባሪነት ጥቅም ላይ የዋለ)፣ ssh-ed8332 (ከOpenSSH 2 ጀምሮ የሚደገፍ) እና ecdsa-sha7.2-nistp25519/6.5/2 ላይ የተመሠረተ rsa-sha256-384/521 ያካትታሉ። በ RFC5656 ECDSA (ከOpenSSH 5.7 ጀምሮ የተደገፈ)።
ሌሎች ለውጦች፡-
- የደህንነት ለውጦች፡-
- ቀድሞውንም የተለቀቀውን የማህደረ ትውስታ ቦታ (ከድርብ ነጻ) በማውጣት የሚፈጠር ተጋላጭነት በssh-ኤጀንት ውስጥ ተስተካክሏል። ጉዳዩ OpenSSH 8.2 ከተለቀቀ በኋላ ያለ ሲሆን አጥቂ በአካባቢው ሲስተም ላይ የssh-egent ሶኬትን ማግኘት ከቻለ ሊበዘበዝ ይችላል። ብዝበዛን የበለጠ አስቸጋሪ የሚያደርገው ሩት እና ኦሪጅናል ተጠቃሚው ወደ ሶኬት መድረስ ብቻ መሆኑ ነው። በጣም ሊከሰት የሚችል የጥቃት ሁኔታ ተወካዩ በአጥቂው ቁጥጥር ስር ወዳለው መለያ ወይም አጥቂው ስርወ መዳረሻ ወዳለበት አስተናጋጅ መዞሩ ነው።
- sshd በ PAM (Pluggable Athentication Module) የስርዓት ሞጁሎች ውስጥ ያሉ ተጋላጭነቶችን ለማገድ የሚያስችል የተጠቃሚ ስም ያላቸውን በጣም ትልቅ መለኪያዎች ወደ PAM ንኡስ ስርዓት እንዳያሳልፉ ጥበቃ አድርጓል። ለምሳሌ፣ ለውጡ በሶላሪስ (CVE-2020-14871) በቅርቡ የተገኘ ስርወ ተጋላጭነትን ለመጠቀም sshd እንደ ቬክተር እንዳይጠቀም ይከለክላል።
- የተኳኋኝነት ለውጦች ሊሆኑ የሚችሉ ለውጦች፡-
- በssh እና sshd ውስጥ በኳንተም ኮምፒዩተር ላይ ለመገመት የሚቋቋም የሙከራ ቁልፍ ልውውጥ ዘዴ እንደገና ተዘጋጅቷል። ኳንተም ኮምፒውተሮች የተፈጥሮን ቁጥር ወደ ዋና ምክንያቶች የመበስበስ ችግርን በመፍታት ፈጣን ናቸው ፣ይህም ዘመናዊ asymmetric ምስጠራ ስልተ ቀመሮችን መሠረት ያደረገ እና በክላሲካል ፕሮሰሰር ላይ ውጤታማ በሆነ መንገድ ሊፈታ አይችልም። ጥቅም ላይ የዋለው ዘዴ ለድህረ-ኳንተም ክሪፕቶሲስተሞች በተዘጋጀው NTRU Prime Algorithm እና በ X25519 ኤሊፕቲክ ኩርባ ቁልፍ ልውውጥ ዘዴ ላይ የተመሰረተ ነው። ከሱ ይልቅ [ኢሜል የተጠበቀ] ዘዴው አሁን ተለይቷል [ኢሜል የተጠበቀ] (የ sntrup4591761 ስልተ ቀመር በ sntrup761 ተተክቷል)።
- በssh እና sshd የሚደገፉ ዲጂታል ፊርማ ስልተ ቀመሮች የሚታወጁበት ቅደም ተከተል ተቀይሯል። ED25519 አሁን ከ ECDSA ይልቅ በመጀመሪያ ቀርቧል።
- በ ssh እና sshd ውስጥ የTOS/DSCP የአገልግሎት መለኪያዎችን ለበይነተገናኝ ክፍለ ጊዜዎች ማቀናበር አሁን የ TCP ግንኙነት ከመፈጠሩ በፊት ተከናውኗል።
- የሲፐር ድጋፍ በssh እና sshd ተቋርጧል [ኢሜል የተጠበቀ]ከ aes256-cbc ጋር ተመሳሳይ የሆነ እና RFC-4253 ከመፈቀዱ በፊት ጥቅም ላይ ውሏል።
- በነባሪነት የCheckHostIP መለኪያው ተሰናክሏል፣ ጥቅሙ እዚህ ግባ የሚባል አይደለም፣ ነገር ግን አጠቃቀሙ ከሎድ ሚዛኖች በስተጀርባ ያሉትን አስተናጋጆች ቁልፍ ማሽከርከርን በእጅጉ ያወሳስበዋል።
- በደንበኛው አድራሻ ላይ በመመስረት የማስጀመሪያ ተቆጣጣሪዎችን መጠን ለመገደብ PerSourceMaxStartups እና PerSourceNetBlockSize ቅንጅቶች ወደ sshd ተጨምረዋል። እነዚህ መለኪያዎች ከአጠቃላይ MaxStartups መቼት ጋር ሲነፃፀሩ በሂደት ጅምር ላይ ያለውን ገደብ በደንብ እንዲቆጣጠሩ ያስችሉዎታል።
- አዲስ የ LogVerbose መቼት ወደ ssh እና sshd ተጨምሯል፣ ይህም በአብነት፣ ተግባራት እና ፋይሎች የማጣራት ችሎታ በማስታወሻ መዝገብ ውስጥ የተጣለውን የማረም ደረጃን በኃይል ከፍ ለማድረግ ያስችላል።
- በ ssh ውስጥ አዲስ የአስተናጋጅ ቁልፍ ሲቀበሉ ሁሉም የአስተናጋጅ ስሞች እና የአይፒ አድራሻዎች ከቁልፍ ጋር የተያያዙ ናቸው.
- ssh የአስተናጋጅ ቁልፎችን በሚለይበት ጊዜ የታወቁ_አስተናጋጆች ፋይልን ለመጠቀም የ UserKnownHostsFile=ምንም አማራጭ አይፈቅድም።
- የ KnownHostsCommand ቅንብር ወደ ssh_config ለ ssh ተጨምሯል፣ ይህም ከተጠቀሰው ትዕዛዝ ውፅዓት የታወቁ_አስተናጋጆችን ውሂብ እንድታገኝ ያስችልሃል።
- የርቀት ፎርዋርድ አማራጭን ከSOCKS ጋር ሲጠቀሙ መድረሻውን እንዲገድቡ ለssh_config ለ ssh የ PermitRemoteOpen አማራጭ ታክሏል።
- በ ssh ለ FIDO ቁልፎች፣ የዲጂታል ፊርማ ኦፕሬሽን ብልሽት በተፈጠረ የተሳሳተ ፒን እና ተጠቃሚው ፒን ካልጠየቁ (ለምሳሌ ትክክለኛው የባዮሜትሪክ መረጃ ሊገኝ በማይችልበት ጊዜ) ተደጋጋሚ የፒን ጥያቄ ይቀርባል። መሣሪያው ወደ በእጅ ፒን ግቤት ተመለሰ)።
- sshd ለተጨማሪ የሥርዓት ጥሪዎች በሴክኮምፕ-ቢፒኤፍ ላይ የተመሠረተ የሂደት ማግለል ዘዴ በሊኑክስ ላይ ድጋፍን ይጨምራል።
- የአስተዋጽኦ/ssh-ኮፒ-መታወቂያ መገልገያ ተዘምኗል።
ምንጭ: opennet.ru