ከአራት ወራት እድገት በኋላ በኤስኤስኤች 8.7 እና በኤስኤፍቲፒ ፕሮቶኮሎች ላይ የሚሰራ የደንበኛ እና አገልጋይ ክፍት ትግበራ OpenSSH 2.0 ተለቀቀ።
ዋና ለውጦች፡-
- ከባህላዊው የኤስ.ሲ.ፒ/አርሲፒ ፕሮቶኮል ይልቅ የ SFTP ፕሮቶኮልን በመጠቀም የሙከራ ውሂብ ማስተላለፍ ሁነታ ወደ sp ታክሏል። SFTP የበለጠ ሊገመቱ የሚችሉ የስም አያያዝ ዘዴዎችን ይጠቀማል እና በሌላኛው አስተናጋጅ በኩል የ glob ቅጦችን የሼል ማቀነባበሪያ አይጠቀምም ይህም የደህንነት ችግሮችን ይፈጥራል። SFTP በ scp ውስጥ ለማንቃት የ "-s" ባንዲራ ቀርቧል, ነገር ግን ለወደፊቱ በነባሪነት ወደዚህ ፕሮቶኮል ለመቀየር ታቅዷል.
- sftp-server ለ SFTP ፕሮቶኮል የ ~/ እና ~ ተጠቃሚ/ መንገዶችን ለማስፋት ማራዘሚያዎችን ተግባራዊ ያደርጋል፣ ይህም ለ scp አስፈላጊ ነው።
- የ scp መገልገያ ፋይሎችን በሁለት የርቀት አስተናጋጆች መካከል ሲገለብጥ ባህሪውን ቀይሯል (ለምሳሌ "scp host-a:/path host-b:"), ይህም አሁን በመካከለኛ የአካባቢ አስተናጋጅ በኩል በነባሪነት ይከናወናል, እንደ "" ሲገልጹ. -3" ባንዲራ ይህ አቀራረብ አላስፈላጊ ምስክርነቶችን ወደ መጀመሪያው አስተናጋጅ እና በሼል ውስጥ ያሉትን የፋይል ስሞች ሶስት ጊዜ ትርጓሜ (በምንጭ ፣ መድረሻ እና አካባቢያዊ ስርዓት በኩል) ከማለፍ እንድትቆጠቡ ያስችልዎታል ፣ እና SFTP ን ሲጠቀሙ የርቀት መቆጣጠሪያ ሲደርሱ ሁሉንም የማረጋገጫ ዘዴዎች እንዲጠቀሙ ይፈቅድልዎታል። አስተናጋጆች, እና መስተጋብራዊ ያልሆኑ ዘዴዎች ብቻ አይደሉም. የድሮውን ባህሪ ለመመለስ የ"-R" አማራጭ ተጨምሯል።
- ከ"-f" ባንዲራ ጋር የሚዛመድ የForkAfterAuthentication ቅንብር ወደ ssh ታክሏል።
- የStdinNull ቅንብር ወደ ssh ታክሏል፣ ከ"-n" ባንዲራ ጋር ይዛመዳል።
- የSessionType ቅንብር ወደ ssh ተጨምሯል፣ በዚህም ከ"-N" (ምንም ክፍለ ጊዜ የለም) እና "-s" (ንዑስ ስርዓት) ባንዲራዎች ጋር የሚዛመዱ ሁነታዎችን ማዘጋጀት ይችላሉ።
- ssh-keygen በቁልፍ ፋይሎች ውስጥ የቁልፍ ትክክለኛ ጊዜን እንዲገልጹ ያስችልዎታል።
- ሙሉውን የህዝብ ቁልፍ እንደ sshsig ፊርማ ለማተም የ"-Oprint-pubkey" ባንዲራ ወደ ssh-keygen ታክሏል።
- በssh እና sshd ውስጥ ሁለቱም ደንበኛ እና አገልጋይ ጥቅሶችን፣ ቦታዎችን እና የማምለጫ ገጸ-ባህሪያትን ለመቆጣጠር ሼል መሰል ህጎችን የሚጠቀም ይበልጥ ገዳቢ የውቅር ፋይል ተንታኝ ተንቀሳቅሰዋል። አዲሱ ተንታኝ እንዲሁ ቀደም ሲል የተደረጉ ግምቶችን ችላ አይልም፤ ለምሳሌ በምርጫ ውስጥ ክርክሮችን መተው (ለምሳሌ የDenyUsers መመሪያው ባዶ ሊቀር አይችልም)፣ ያልተዘጉ ጥቅሶች እና በርካታ = ቁምፊዎችን መግለጽ።
- ቁልፎችን በሚያረጋግጡበት ጊዜ የኤስኤስኤችኤፍፒ ዲ ኤን ኤስ መዝገቦችን ሲጠቀሙ ssh አሁን የተወሰነ የዲጂታል ፊርማ የያዙትን ብቻ ሳይሆን ሁሉንም ተዛማጅ መዝገቦችን ይፈትሻል።
- በssh-keygen ውስጥ፣ የ FIDO ቁልፍን ከ -Ochallenge አማራጭ ጋር ሲያመነጭ፣ አብሮ የተሰራው ንብርብር አሁን ከlibfido2 ይልቅ ለሃሽ ጥቅም ላይ ይውላል፣ ይህም ከ32 ባይት የሚበልጥ ወይም ያነሱ የፈታኝ ቅደም ተከተሎችን ለመጠቀም ያስችላል።
- በsshd ውስጥ፣ አካባቢን በሚሰራበት ጊዜ = "..." በተፈቀደላቸው_keys ፋይሎች ውስጥ መመሪያዎችን ፣የመጀመሪያው ግጥሚያ አሁን ተቀባይነት ያገኘ ሲሆን የ1024 የአካባቢ ተለዋዋጭ ስሞች ገደብ አለ።
የOpenSSH አዘጋጆች በተጨማሪም የግጭት ጥቃቶች ውጤታማነት ከተወሰነ ቅድመ ቅጥያ ጋር በመጨመሩ (ግጭት የመምረጥ ወጪ በግምት 1 ሺህ ዶላር ይገመታል) SHA-50 hashesን በመጠቀም ስለ ስልተ ቀመሮች መበስበስ አስጠንቅቀዋል። በሚቀጥለው ልቀት፣ ለኤስኤስኤች ፕሮቶኮል በዋናው RFC ውስጥ የተጠቀሰውን እና በተግባር በስፋት ጥቅም ላይ የዋለውን የህዝብ ቁልፍ ዲጂታል ፊርማ ስልተ ቀመር "ssh-rsa" የመጠቀም ችሎታን በነባሪ ለማሰናከል አቅደናል።
በስርዓቶችዎ ላይ የssh-rsa አጠቃቀምን ለመፈተሽ በ ssh በኩል በ«-oHostKeyAlgorithms=-ssh-rsa» አማራጭ ለመገናኘት መሞከር ይችላሉ። በተመሳሳይ ጊዜ የ "ssh-rsa" ዲጂታል ፊርማዎችን በነባሪ ማሰናከል የ RSA ቁልፎችን ሙሉ በሙሉ መተው ማለት አይደለም, ምክንያቱም ከSHA-1 በተጨማሪ የኤስኤስኤች ፕሮቶኮል ሌሎች የሃሽ ስሌት ስልተ ቀመሮችን መጠቀም ያስችላል. በተለይም ከ "ssh-rsa" በተጨማሪ የ "rsa-sha2-256" (RSA/SHA256) እና "rsa-sha2-512" (RSA/SHA512) ጥቅሎችን መጠቀም የሚቻል ይሆናል።
ወደ አዲስ ስልተ ቀመሮች የሚደረገውን ሽግግር ለማለስለስ፣ OpenSSH ከዚህ ቀደም የ UpdateHostKeys ቅንብር በነባሪነት የነቃ ሲሆን ይህም ደንበኞች በራስ-ሰር ወደ አስተማማኝ ስልተ ቀመሮች እንዲቀይሩ ያስችላቸዋል። ይህን ቅንብር በመጠቀም ልዩ የፕሮቶኮል ቅጥያ ነቅቷል "[ኢሜል የተጠበቀ]"፣ አገልጋዩ፣ ከተረጋገጠ በኋላ፣ ስለ ሁሉም የሚገኙ የአስተናጋጅ ቁልፎች ለደንበኛው እንዲያሳውቅ መፍቀድ። ደንበኛው እነዚህን ቁልፎች በ ~/.ssh/known_hosts ፋይል ውስጥ ማንፀባረቅ ይችላል፣ይህም የአስተናጋጁ ቁልፎች እንዲዘምኑ እና በአገልጋዩ ላይ ቁልፎችን ለመቀየር ቀላል ያደርገዋል።
የ UpdateHostKeys አጠቃቀም ወደፊት ሊወገዱ በሚችሉ በርካታ ማስጠንቀቂያዎች የተገደበ ነው፡ ቁልፉ በ UserKnownHostsFile ውስጥ መጠቀስ አለበት እና በ GlobalKnownHostsFile ውስጥ ጥቅም ላይ አይውልም; ቁልፉ በአንድ ስም ብቻ መገኘት አለበት; የአስተናጋጅ ቁልፍ የምስክር ወረቀት ጥቅም ላይ መዋል የለበትም; በሚታወቁ_አስተናጋጆች ውስጥ በአስተናጋጅ ስም ጭምብል ጥቅም ላይ መዋል የለበትም; የ VerifyHostKeyDNS ቅንብር መሰናከል አለበት; የ UserKnownHostsFile መለኪያ ንቁ መሆን አለበት።
ለስደት የሚመከሩ ስልተ ቀመሮች RFC2 RSA SHA-256 (ከOpenSSH 512 ጀምሮ የተደገፈ እና በነባሪነት ጥቅም ላይ የዋለ)፣ ssh-ed8332 (ከOpenSSH 2 ጀምሮ የሚደገፍ) እና ecdsa-sha7.2-nistp25519/6.5/2 ላይ የተመሠረተ rsa-sha256-384/521 ያካትታሉ። በ RFC5656 ECDSA (ከOpenSSH 5.7 ጀምሮ የተደገፈ)።
ምንጭ: opennet.ru