ProHoster > Blog > internet xəbərləri > OpenSSH 8.4 buraxılışı

OpenSSH 8.4 buraxılışı

Dörd aylıq inkişafdan sonra təqdim etdi SSH 8.4 və SFTP protokollarından istifadə etməklə işləmək üçün açıq müştəri və server tətbiqi olan OpenSSH 2.0-ün buraxılışı.

Əsas dəyişikliklər:

  • Təhlükəsizlik dəyişiklikləri:
    • ssh-agentdə, SSH autentifikasiyası üçün yaradılmamış FIDO açarlarından istifadə edərkən (açar identifikatoru "ssh:" sətri ilə başlamır), indi SSH protokolunda istifadə olunan metodlardan istifadə edərək mesajın imzalanacağını yoxlayır. Dəyişiklik ssh-agentin veb autentifikasiya sorğuları üçün imza yaratmaq üçün bu düymələrdən istifadə etmək imkanını bloklamaq üçün FIDO açarları olan uzaq hostlara yönləndirilməsinə icazə verməyəcək (brauzerin SSH sorğusunu imzalaya bildiyi zaman tərs hal ilkin olaraq istisna edilir) açar identifikatorunda “ssh:” prefiksinin istifadəsinə görə).
    • ssh-keygen-in rezident açar generasiyası FIDO 2.1 spesifikasiyasında təsvir edilən credProtect əlavəsi üçün dəstəyi ehtiva edir ki, bu da rezident açarın tokendən çıxarılması ilə nəticələnə biləcək hər hansı əməliyyatı yerinə yetirməzdən əvvəl PİN kodu tələb etməklə açarlar üçün əlavə qorunma təmin edir.
  • Potensial pozan uyğunluq dəyişiklikləri:
    • FIDO/U2F-i dəstəkləmək üçün libfido2 kitabxanasından ən azı 1.5.0 versiyasından istifadə etmək tövsiyə olunur. Köhnə nəşrlərdən istifadə etmək imkanı qismən həyata keçirilib, lakin bu halda rezident açarlar, PİN sorğusu və çoxsaylı işarələri birləşdirən funksiyalar mövcud olmayacaq.
    • ssh-keygen-də, təsdiq edən rəqəmsal imzaların yoxlanması üçün lazım olan autentifikator məlumatları FIDO açarı yaradan zaman isteğe bağlı olaraq saxlanılan təsdiq məlumatının formatına əlavə edilmişdir.
    • OpenSSH FIDO tokenlərinə daxil olmaq üçün təbəqə ilə qarşılıqlı əlaqədə olduqda istifadə edilən API dəyişdirildi.
    • OpenSSH-nin portativ versiyasını qurarkən, konfiqurasiya skriptini və onu müşayiət edən qurma fayllarını yaratmaq üçün indi automake tələb olunur (əgər dərc edilmiş kod tar faylından qurursanız, konfiqurasiyanın bərpası tələb olunmur).
  • ssh və ssh-keygen-də PIN təsdiqini tələb edən FIDO açarları üçün əlavə dəstək. PİN kodu ilə açarlar yaratmaq üçün ssh-keygen-ə “doğrulama tələb olunur” seçimi əlavə edilib. Belə açarlardan istifadə edilərsə, imza yaratma əməliyyatını yerinə yetirməzdən əvvəl istifadəçidən PİN kodu daxil etməklə öz hərəkətlərini təsdiqləməsi təklif olunur.
  • Sshd-də “doğrulama-tələb olunur” seçimi səlahiyyətli_açarlar parametrində həyata keçirilir ki, bu da nişanla əməliyyatlar zamanı istifadəçinin mövcudluğunu yoxlamaq üçün imkanlardan istifadəni tələb edir. FIDO standartı bu cür yoxlama üçün bir neçə variant təqdim edir, lakin hazırda OpenSSH yalnız PIN-əsaslı yoxlamanı dəstəkləyir.
  • sshd və ssh-keygen FIDO açarlarının veb-brauzerlərdə istifadə edilməsinə imkan verən FIDO Webauthn standartına uyğun rəqəmsal imzaların yoxlanılması üçün əlavə dəstək verib.
  • CertificateFile parametrlərində ssh-də,
    ControlPath, IdentityAgent, IdentityFile, LocalForward və
    RemoteForward "${ENV}" formatında göstərilən mühit dəyişənlərindən dəyərlərin dəyişdirilməsinə imkan verir.

  • ssh və ssh-agent $SSH_ASKPASS_REQUIRE mühit dəyişəni üçün dəstək əlavə etdi, bu da ssh-askpass zəngini aktivləşdirmək və ya söndürmək üçün istifadə edilə bilər.
  • AddKeysToAgent direktivində ssh_config-də ssh-də açarın etibarlılıq müddətini məhdudlaşdırmaq imkanı əlavə edilmişdir. Göstərilən limit başa çatdıqdan sonra açarlar avtomatik olaraq ssh-agentdən silinir.
  • scp və sftp-də "-A" bayrağından istifadə edərək, indi ssh-agentindən istifadə edərək scp və sftp-ə yönləndirməyə açıq şəkildə icazə verə bilərsiniz (yönləndirmə defolt olaraq qeyri-aktivdir).
  • Əsas açarın adını müəyyən edən ssh parametrlərində '%k' əvəzlənməsi üçün əlavə dəstək. Bu xüsusiyyət açarları ayrı-ayrı fayllara paylamaq üçün istifadə edilə bilər (məsələn, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • Silinəcək düymələri stdin-dən oxumaq üçün "ssh-add -d -" əməliyyatının istifadəsinə icazə verin.
  • Sshd-də əlaqənin kəsilməsi prosesinin başlanğıcı və sonu MaxStartups parametrindən istifadə edərək tənzimlənən jurnalda əks olunur.

OpenSSH tərtibatçıları həmçinin SHA-1 hashlərindən istifadə edən alqoritmlərin qarşıdan gələn istismardan çıxarılmasını xatırladılar. təşviq verilmiş prefikslə toqquşma hücumlarının effektivliyi (toqquşmanın seçilməsinin dəyəri təxminən 45 min dollar olaraq qiymətləndirilir). Qarşıdan gələn buraxılışlardan birində onlar SSH protokolu üçün orijinal RFC-də qeyd olunan və praktikada geniş yayılmış (istifadəni sınamaq üçün) açıq açar rəqəmsal imza alqoritmi “ssh-rsa”dan istifadə etmək imkanını defolt etməyi planlaşdırırlar. sistemlərinizdə ssh-rsa-dan istifadə edərək, “-oHostKeyAlqoritmləri=-ssh-rsa” seçimi ilə ssh vasitəsilə qoşulmağa cəhd edə bilərsiniz).

OpenSSH-də yeni alqoritmlərə keçidi hamarlaşdırmaq üçün növbəti buraxılış defolt olaraq UpdateHostKeys parametrini aktivləşdirəcək və bu, müştəriləri avtomatik olaraq daha etibarlı alqoritmlərə köçürəcək. Miqrasiya üçün tövsiyə olunan alqoritmlərə RFC2 RSA SHA-256 əsasında rsa-sha512-8332/2 (OpenSSH 7.2-dən bəri dəstəklənir və defolt olaraq istifadə olunur), ssh-ed25519 (OpenSSH 6.5-dən bəri dəstəklənir) və ecdsa-sha2-nistp256/384 əsaslı daxildir. RFC521 ECDSA-da (OpenSSH 5656-dən bəri dəstəklənir).

Mənbə: opennet.ru

Добавить комментарий