Dörd aylıq inkişafdan sonra SSH 8.7 və SFTP protokolları üzərində işləmək üçün müştəri və serverin açıq tətbiqi olan OpenSSH 2.0-nin buraxılışı təqdim olundu.
Əsas dəyişikliklər:
- Ənənəvi SCP/RCP protokolu əvəzinə SFTP protokolundan istifadə edərək scp-yə eksperimental məlumat ötürmə rejimi əlavə edilmişdir. SFTP daha çox proqnozlaşdırıla bilən adla işləmə metodlarından istifadə edir və digər hostun tərəfində qlob nümunələrinin qabıq işlənməsindən istifadə etmir, bu da təhlükəsizlik problemləri yaradır. SFTP-ni scp-də aktivləşdirmək üçün “-s” bayrağı təklif edilmişdir, lakin gələcəkdə bu protokola defolt olaraq keçmək planlaşdırılır.
- sftp-server scp üçün lazım olan ~/ və ~user/ yollarını genişləndirmək üçün SFTP protokoluna genişlənmələr tətbiq edir.
- scp yardım proqramı iki uzaq host arasında faylların surətini çıxararkən davranışı dəyişdi (məsələn, "scp host-a:/path host-b:"), bu indi standart olaraq aralıq yerli host vasitəsilə edilir, " -3” bayrağı. Bu yanaşma, ilk hosta lazımsız etimadnamələrin ötürülməsindən və qabıqdakı fayl adlarının üçqat şərhindən qaçmağa imkan verir (mənbə, təyinat və yerli sistem tərəfində) və SFTP istifadə edərkən, uzaqdan girişə daxil olduqda bütün autentifikasiya üsullarından istifadə etməyə imkan verir. hostlar və yalnız qeyri-interaktiv üsullar deyil. Köhnə davranışı bərpa etmək üçün "-R" seçimi əlavə edildi.
- "-f" bayrağına uyğun ssh-ə ForkAfterAuthentication parametri əlavə edildi.
- "-n" bayrağına uyğun olaraq ssh-ə StdinNull parametri əlavə edildi.
- SessionType parametri ssh-ə əlavə edildi, onun vasitəsilə siz “-N” (sessiya yoxdur) və “-s” (alt sistem) bayraqlarına uyğun rejimləri təyin edə bilərsiniz.
- ssh-keygen sizə əsas fayllarda əsas etibarlılıq intervalını təyin etməyə imkan verir.
- Tam açıq açarı sshsig imzasının bir hissəsi kimi çap etmək üçün ssh-keygen-ə "-Oprint-pubkey" bayrağı əlavə edildi.
- Ssh və sshd-də həm müştəri, həm də server sitatlar, boşluqlar və qaçış simvolları ilə işləmək üçün qabıq kimi qaydalardan istifadə edən daha məhdudlaşdırıcı konfiqurasiya faylı təhlilçisindən istifadə etmək üçün köçürülüb. Yeni təhlilçi həmçinin variantlarda arqumentlərin buraxılması (məsələn, DenyUsers direktivi artıq boş qala bilməz), bağlanmamış dırnaqlar və çoxlu = simvolların təyin edilməsi kimi əvvəllər edilmiş fərziyyələrə məhəl qoymur.
- Açarları yoxlayarkən SSHFP DNS qeydlərindən istifadə edərkən, ssh indi yalnız xüsusi rəqəmsal imza növü olanları deyil, bütün uyğun gələn qeydləri yoxlayır.
- ssh-keygen-də, -Ochallenge seçimi ilə FIDO açarı yaradan zaman, libfido2 deyil, 32 baytdan böyük və ya kiçik çağırış ardıcıllığından istifadə etməyə imkan verən daxili qat indi hashing üçün istifadə olunur.
- Sshd-də, authorized_keys fayllarında mühit = "..." direktivlərini işləyərkən, ilk uyğunluq indi qəbul edilir və 1024 mühit dəyişəni adları limiti var.
OpenSSH tərtibatçıları, həmçinin verilmiş prefikslə toqquşma hücumlarının effektivliyinin artması səbəbindən SHA-1 heshlərindən istifadə edərək alqoritmlərin parçalanması barədə xəbərdarlıq etdilər (toqquşmanın seçilməsinin dəyəri təxminən 50 min dollar qiymətləndirilir). Növbəti buraxılışda biz SSH protokolu üçün orijinal RFC-də qeyd olunan və praktikada geniş şəkildə istifadə olunan “ssh-rsa” rəqəmsal imza alqoritminin açıq açarından istifadə etmək imkanını defolt etməyi planlaşdırırıq.
Sistemlərinizdə ssh-rsa istifadəsini yoxlamaq üçün “-oHostKeyAlqoritmləri=-ssh-rsa” seçimi ilə ssh vasitəsilə qoşulmağa cəhd edə bilərsiniz. Eyni zamanda, standart olaraq "ssh-rsa" rəqəmsal imzalarının söndürülməsi RSA açarlarının istifadəsindən tamamilə imtina demək deyil, çünki SHA-1-ə əlavə olaraq, SSH protokolu digər hash hesablama alqoritmlərindən istifadə etməyə imkan verir. Xüsusilə, “ssh-rsa” ilə yanaşı, “rsa-sha2-256” (RSA/SHA256) və “rsa-sha2-512” (RSA/SHA512) paketlərindən istifadə etmək mümkün olacaq.
Yeni alqoritmlərə keçidi hamarlaşdırmaq üçün OpenSSH əvvəllər defolt olaraq UpdateHostKeys parametrini işə salmışdı ki, bu da müştərilərə avtomatik olaraq daha etibarlı alqoritmlərə keçməyə imkan verir. Bu parametrdən istifadə edərək, xüsusi protokol uzantısı aktivləşdirilir "[e-poçt qorunur]", serverə autentifikasiyadan sonra müştərini bütün mövcud host açarları haqqında məlumatlandırmaq imkanı verir. Müştəri bu açarları ~/.ssh/known_hosts faylında əks etdirə bilər ki, bu da host açarlarının yenilənməsinə imkan verir və serverdə açarların dəyişdirilməsini asanlaşdırır.
UpdateHostKeys-in istifadəsi gələcəkdə silinə biləcək bir neçə xəbərdarlıqla məhdudlaşdırılır: açara UserKnownHostsFile-də istinad edilməli və GlobalKnownHostsFile-da istifadə edilməməlidir; açar yalnız bir ad altında olmalıdır; host açarı sertifikatından istifadə edilməməlidir; məlum_hostlarda host adına görə maskalardan istifadə edilməməlidir; VerifyHostKeyDNS parametri deaktiv edilməlidir; UserKnownHostsFile parametri aktiv olmalıdır.
Miqrasiya üçün tövsiyə olunan alqoritmlərə RFC2 RSA SHA-256 əsasında rsa-sha512-8332/2 (OpenSSH 7.2-dən bəri dəstəklənir və defolt olaraq istifadə olunur), ssh-ed25519 (OpenSSH 6.5-dən bəri dəstəklənir) və ecdsa-sha2-nistp256/384 əsaslı daxildir. RFC521 ECDSA-da (OpenSSH 5656-dən bəri dəstəklənir).
Mənbə: opennet.ru