ProHoster > Blog > internet xəbərləri > OpenSSH 8.0 buraxılışı

OpenSSH 8.0 buraxılışı

Beş aylıq inkişafdan sonra təqdim etdi buraxın OpenSSH 8.0, SSH 2.0 və SFTP protokolları ilə işləmək üçün açıq müştəri və server tətbiqi.

Əsas dəyişikliklər:

  • Kvant kompüterində kobud güc hücumlarına davamlı olan açar mübadiləsi metodu üçün eksperimental dəstək ssh və sshd-ə əlavə edildi. Kvant kompüterləri müasir asimmetrik şifrələmə alqoritmlərinin əsasını təşkil edən və klassik prosessorlarda effektiv şəkildə həll edilə bilməyən təbii ədədin əsas amillərə parçalanması problemini kökündən daha sürətli həll edir. Təklif olunan metod alqoritmə əsaslanır NTRU Prime postkvant kriptosistemləri üçün hazırlanmış (ntrup4591761 funksiyası) və elliptik əyri açar mübadiləsi metodu X25519;
  • Sshd-də ListenAddress və PermitOpen direktivləri artıq 2001-ci ildə IPv6 ilə işi asanlaşdırmaq üçün "host:port"a alternativ olaraq tətbiq edilmiş köhnə "host/port" sintaksisini dəstəkləmir. Müasir şəraitdə IPv6 üçün “[::1]:22” sintaksisi yaradılmışdır və “host/port” çox vaxt alt şəbəkəni (CIDR) göstərməklə qarışdırılır;
  • ssh, ssh-agent və ssh-add indi düymələri dəstəkləyir ECDSA PKCS#11 tokenlərində;
  • ssh-keygen-də yeni NIST tövsiyələrinə uyğun olaraq standart RSA açarının ölçüsü 3072 bitə qədər artırıldı;
  • ssh ssh_config-də göstərilən PKCS11Provider direktivini ləğv etmək üçün "PKCS11Provider=none" parametrindən istifadə etməyə imkan verir;
  • sshd, sshd_config-də “ForceCommand=internal-sftp” məhdudiyyəti ilə bloklanmış əmrləri yerinə yetirməyə cəhd edərkən əlaqənin kəsildiyi vəziyyətlərin qeydini təqdim edir;
  • ssh-də, yeni host açarının qəbulunu təsdiqləmək üçün sorğu göstərildikdə, "bəli" cavabı əvəzinə, açarın düzgün barmaq izi qəbul edilir (bağlantıyı təsdiqləmək üçün dəvətə cavab olaraq, istifadəçi əl ilə müqayisə etməmək üçün ayrıca pano vasitəsilə istinad hashı qəbul edildi);
  • ssh-keygen əmr satırında çoxsaylı sertifikatlar üçün rəqəmsal imzalar yaratarkən sertifikat sıra nömrəsinin avtomatik artırılmasını təmin edir;
  • ProxyJump parametrinə ekvivalent olan scp və sftp-ə yeni "-J" variantı əlavə edildi;
  • Ssh-agent, ssh-pkcs11-helper və ssh-add-də çıxışın məlumat məzmununu artırmaq üçün “-v” komanda xətti seçiminin işlənməsi əlavə edilmişdir (müəyyən edildikdə, bu seçim uşaq proseslərə ötürülür. məsələn, ssh-pkcs11-köməkçi ssh-agentdən çağırıldıqda);
  • Rəqəmsal imza yaratma və yoxlama əməliyyatlarını yerinə yetirmək üçün ssh-agentdə açarların uyğunluğunu yoxlamaq üçün ssh-add-ə “-T” seçimi əlavə edildi;
  • sftp-server SFTP üçün SSH2_FXP_SETSTAT əməliyyatı üçün dəstək əlavə edən “lsetstat at openssh.com” protokol uzantısı üçün dəstəyi həyata keçirir, lakin simvolik keçidlərə əməl etmədən;
  • Simvolik keçidlərdən istifadə etməyən sorğularla chown/chgrp/chmod əmrlərini yerinə yetirmək üçün sftp-ə "-h" seçimi əlavə edildi;
  • sshd PAM üçün $SSH_CONNECTION mühit dəyişəninin təyin edilməsini təmin edir;
  • sshd üçün, ssh_config-ə "Match final" uyğunluq rejimi əlavə edilmişdir, bu, "Match canonical"a bənzəyir, lakin hostname normalizasiyasının aktivləşdirilməsini tələb etmir;
  • Toplu rejimdə icra edilən əmrlərin çıxışının tərcüməsini söndürmək üçün sftp-ə '@' prefiksi üçün əlavə dəstək;
  • Komandadan istifadə edərək sertifikatın məzmununu göstərdiyiniz zaman
    "ssh-keygen -Lf /path/certificate" indi sertifikatı yoxlamaq üçün CA tərəfindən istifadə edilən alqoritmi göstərir;

  • Cygwin mühiti üçün təkmilləşdirilmiş dəstək, məsələn, qrup və istifadəçi adlarının hərflərə həssas olmayan müqayisəsini təmin etmək. Microsoft tərəfindən təmin edilən OpenSSH portuna müdaxilə etməmək üçün Cygwin portunda sshd prosesi cygsshd-ə dəyişdirildi;
  • Eksperimental OpenSSL 3.x filialı ilə qurmaq imkanı əlavə edildi;
  • aradan qaldırıldı zəiflik (CVE-2019-6111) hücumçu tərəfindən idarə olunan serverə daxil olarkən hədəf kataloqdakı ixtiyari faylların müştəri tərəfində üzərinə yazılmasına imkan verən scp yardım proqramının həyata keçirilməsində. Problem ondadır ki, scp-dən istifadə edərkən server hansı fayl və qovluqların müştəriyə göndərilməsinə qərar verir və müştəri yalnız qaytarılmış obyekt adlarının düzgünlüyünü yoxlayır. Müştəri tərəfində yoxlama yalnız cari qovluqdan kənara səyahətin bloklanması ilə məhdudlaşır (“../”), lakin əvvəlcə tələb olunanlardan fərqli adlarla faylların ötürülməsini nəzərə almır. Rekursiv surət çıxarma (-r) vəziyyətində, fayl adlarına əlavə olaraq, eyni şəkildə alt kataloqların adlarını da manipulyasiya edə bilərsiniz. Məsələn, istifadəçi faylları ev qovluğuna köçürürsə, təcavüzkar tərəfindən idarə olunan server tələb olunan faylların əvəzinə .bash_aliases və ya .ssh/authorized_keys adları olan fayllar yarada bilər və onlar scp yardım proqramı tərəfindən istifadəçinin qovluğunda saxlanacaq. ev kataloqu.

    Yeni buraxılışda scp yardım proqramı tələb olunan fayl adları ilə server tərəfindən göndərilənlər arasında yazışmaları yoxlamaq üçün yeniləndi və bu, müştəri tərəfində yerinə yetirildi. Bu maskanın işlənməsi ilə bağlı problemlər yarada bilər, çünki maskanın genişləndirilməsi simvolları server və müştəri tərəflərində fərqli şəkildə işlənə bilər. Bu cür fərqlər müştərinin scp-də faylları qəbul etməyi dayandırmasına səbəb olarsa, müştəri tərəfində yoxlamanı söndürmək üçün “-T” seçimi əlavə edilmişdir. Problemi tam düzəltmək üçün scp protokolunun konseptual yenidən işlənməsi tələb olunur ki, bu da özü artıq köhnəlib, ona görə də əvəzinə sftp və rsync kimi daha müasir protokollardan istifadə etmək tövsiyə olunur.

Mənbə: opennet.ru

Добавить комментарий