የSSH 8.8 እና SFTP ፕሮቶኮሎችን ለመጠቀም የደንበኛ እና አገልጋይ ክፍት ትግበራ የOpenSSH 2.0 ልቀት ታትሟል። ልቀቱ በአርኤስኤ ቁልፎች ላይ በመመስረት ዲጂታል ፊርማዎችን በSHA-1 hash ("ssh-rsa") የመጠቀም ችሎታን በነባሪ በማሰናከል ታዋቂ ነው።
ለ "ssh-rsa" ፊርማዎች ድጋፍ መቋረጡ ከተሰጠው ቅድመ-ቅጥያ ጋር የግጭት ጥቃቶች ውጤታማነት መጨመር ነው (ግጭት የመምረጥ ዋጋ በግምት 50 ሺህ ዶላር ይገመታል). በእርስዎ ስርዓቶች ላይ የssh-rsa አጠቃቀምን ለመፈተሽ በ ssh በኩል በ«-oHostKeyAlgorithms=-ssh-rsa» አማራጭ ለመገናኘት መሞከር ይችላሉ። ከOpenSSH 256 ጀምሮ የሚደገፉት በSHA-512 እና SHA-2 hashes (rsa-sha256-512/7.2) የRSA ፊርማዎች ድጋፍ አልተለወጠም።
በአብዛኛዎቹ አጋጣሚዎች የ "ssh-rsa" ድጋፍን ማቋረጥ ከተጠቃሚዎች ምንም አይነት በእጅ የሚሰራ እርምጃ አይጠይቅም ምክንያቱም OpenSSH ቀደም ሲል የ UpdateHostKeys ቅንብር በነባሪነት የነቃ ሲሆን ይህም ደንበኞችን በራስ-ሰር ወደ አስተማማኝ ስልተ ቀመሮች ያፈልሳል። ለስደት፣ የፕሮቶኮሉ ማራዘሚያ "[ኢሜል የተጠበቀ]"፣ አገልጋዩ፣ ከተረጋገጠ በኋላ፣ ስለ ሁሉም የሚገኙ የአስተናጋጅ ቁልፎች ለደንበኛው እንዲያሳውቅ መፍቀድ። በደንበኛው በኩል በጣም ያረጀ የOpenSSH ስሪት ካላቸው አስተናጋጆች ጋር ከተገናኘ፣ ወደ ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ላይ በመጨመር የ"ssh-rsa" ፊርማዎችን የመጠቀም ችሎታን በመምረጥ መመለስ ይችላሉ። ssh-rsa
አዲሱ ስሪት በsshd የተፈጠረውን የደህንነት ችግር ከOpenSSH 6.2 ጀምሮ በ Authorized KeysCommand እና AuthorizedPrincipalsCommand መመሪያዎች ውስጥ የተገለጹ ትዕዛዞችን ሲፈጽም የተጠቃሚውን ቡድን በትክክል አለመጀመርን ይፈታል። እነዚህ መመሪያዎች ትዕዛዞችን በተለየ ተጠቃሚ እንዲሰሩ መፍቀድ ነበረባቸው፣ ነገር ግን በእርግጥ sshd ን ሲያሄዱ ጥቅም ላይ የዋሉትን የቡድኖች ዝርዝር ወርሰዋል። ምናልባት፣ ይህ ባህሪ፣ የተወሰኑ የስርዓት ቅንጅቶች ባሉበት ጊዜ፣ የተጀመረው ተቆጣጣሪ በስርዓቱ ላይ ተጨማሪ መብቶችን እንዲያገኝ አስችሎታል።
አዲሱ የልቀት ማስታወሻ በተጨማሪ scp ከኤስሲፒ/አርሲፒ ፕሮቶኮል ይልቅ ነባሪ ወደ SFTP እንደሚሆን ማስጠንቀቂያንም ያካትታል። SFTP የበለጠ ሊገመቱ የሚችሉ የስም አያያዝ ዘዴዎችን ይጠቀማል እና በሌላኛው አስተናጋጅ በኩል ባለው የፋይል ስሞች ውስጥ የግሎብ ቅጦችን የሼል ሂደትን አይጠቀምም ይህም የደህንነት ችግሮችን ይፈጥራል። በተለይም SCP እና RCP ሲጠቀሙ አገልጋዩ የትኞቹን ፋይሎች እና ማውጫዎች ለደንበኛው እንደሚልክ ይወስናል, እና ደንበኛው የተመለሱትን እቃዎች ስሞች ትክክለኛነት ብቻ ያረጋግጣል, ይህም በደንበኛው በኩል ትክክለኛ ቼኮች በሌሉበት ጊዜ, አገልጋይ ከተጠየቁት የሚለያዩ ሌሎች የፋይል ስሞችን ለማስተላለፍ። የ SFTP ፕሮቶኮል እነዚህ ችግሮች የሉትም, ነገር ግን እንደ "~ /" ያሉ ልዩ መንገዶችን ማስፋፋትን አይደግፍም. ይህንን ልዩነት ለመፍታት፣ የቀደመው የOpenSSH ልቀት አዲስ የ SFTP ፕሮቶኮል ቅጥያ ወደ ~/ እና ~ተጠቃሚ/ መንገዶች በSFTP አገልጋይ ትግበራ አስተዋውቋል።
ምንጭ: opennet.ru