Altı aylıq inkişafdan sonra SSH 8.9 və SFTP protokolları üzərində işləmək üçün açıq müştəri və server tətbiqi olan OpenSSH 2.0-un buraxılışı təqdim olundu. Sshd-nin yeni versiyası potensial olaraq təsdiqlənməmiş girişə icazə verə biləcək zəifliyi aradan qaldırır. Problem identifikasiya kodundakı tam ədədlərin daşması ilə əlaqədardır, lakin ondan yalnız koddakı digər məntiqi xətalarla birlikdə istifadə edilə bilər.
Cari formada, imtiyazların ayrılması rejimi işə salındıqda zəiflikdən istifadə edilə bilməz, çünki onun təzahürü imtiyazların ayrılması izləmə kodunda həyata keçirilən ayrı-ayrı yoxlamalarla bloklanır. İmtiyazların ayrılması rejimi 2002-ci ildən OpenSSH 3.2.2-dən bəri defolt olaraq aktiv edilib və 7.5-ci ildə nəşr olunan OpenSSH 2017-in buraxılışından bəri məcburi olub. Bundan əlavə, OpenSSH-nin 6.5 (2014) buraxılışı ilə başlayan portativ versiyalarında boşluq tam ədədlərin daşmasından mühafizə bayraqlarının daxil edilməsi ilə kompilyasiya ilə bloklanır.
Digər dəyişikliklər:
- OpenSSH-in sshd-də portativ versiyası MD5 alqoritmindən istifadə edərək parolların hashing üçün yerli dəstəyi aradan qaldırdı (libxcrypt kimi xarici kitabxanalarla əlaqəni geri qaytarmağa imkan verir).
- ssh, sshd, ssh-add və ssh-agent ssh-agentə əlavə edilmiş açarların yönləndirilməsini və istifadəsini məhdudlaşdırmaq üçün alt sistemi həyata keçirir. Alt sistem ssh-agentdə açarların necə və harada istifadə oluna biləcəyini müəyyən edən qaydalar təyin etməyə imkan verir. Məsələn, yalnız scylla.example.org hostuna qoşulan istənilən istifadəçinin autentifikasiyası üçün istifadə edilə bilən açar əlavə etmək üçün istifadəçi cetus.example.org hostuna və medea istifadəçisi charybdis.example.org hostuna perseus. aralıq host scylla.example.org vasitəsilə yönləndirmə ilə aşağıdakı əmrdən istifadə edə bilərsiniz: $ ssh-add -h "[e-poçt qorunur]" \ -h "scylla.example.org" \ -h "scylla.example.org>[e-poçt qorunur]\ ~/.ssh/id_ed25519
- Ssh və sshd-də açar mübadiləsi üsullarının seçilmə sırasını təyin edən KexAlqoritmlər siyahısına standart olaraq hibrid alqoritm əlavə edilmişdir.[e-poçt qorunur]"(ECDH/x25519 + NTRU Prime), kvant kompüterlərində seçimə davamlıdır. OpenSSH 8.9-da bu danışıqlar metodu ECDH və DH metodları arasında əlavə edildi, lakin növbəti buraxılışda defolt olaraq aktivləşdirilməsi planlaşdırılır.
- ssh-keygen, ssh və ssh-agent biometrik autentifikasiya üçün açarlar da daxil olmaqla cihazın yoxlanılması üçün istifadə edilən FIDO token açarlarının işlənməsini təkmilləşdirib.
- İcazə verilən adlar siyahısı faylında istifadəçi adlarını yoxlamaq üçün ssh-keygen-ə "ssh-keygen -Y match-principals" əmri əlavə edildi.
- ssh-add və ssh-agent PIN kodu ilə qorunan FIDO açarlarını ssh-agentə əlavə etmək imkanı verir (PIN sorğusu autentifikasiya zamanı göstərilir).
- ssh-keygen imza generasiyası zamanı hashing alqoritminin (sha512 və ya sha256) seçilməsinə imkan verir.
- Ssh və sshd-də performansı yaxşılaşdırmaq üçün şəbəkə məlumatları yığında aralıq buferləməni keçərək birbaşa daxil olan paketlərin buferinə oxunur. Alınan məlumatların birbaşa kanal buferinə yerləşdirilməsi oxşar şəkildə həyata keçirilir.
- ssh-də, PubkeyAuthentication direktivi istifadə etmək üçün protokol uzantısını seçmək imkanı təmin etmək üçün dəstəklənən parametrlərin siyahısını genişləndirdi (bəli|yox|bağlanmayan|host-bound).
Gələcək buraxılışda biz köhnə SCP/RCP protokolu əvəzinə SFTP istifadə etmək üçün scp yardım proqramının defoltunu dəyişməyi planlaşdırırıq. SFTP daha çox proqnozlaşdırıla bilən adla işləmə metodlarından istifadə edir və digər hostun tərəfindəki fayl adlarında qlob nümunələrinin qabıq işlənməsindən istifadə etmir, bu da təhlükəsizlik problemləri yaradır. Xüsusilə, SCP və RCP-dən istifadə edərkən, server müştəriyə hansı fayl və qovluqların göndəriləcəyinə qərar verir və müştəri yalnız qaytarılmış obyekt adlarının düzgünlüyünü yoxlayır, bu da müştəri tərəfində lazımi yoxlamalar olmadıqda, server tələb olunanlardan fərqli olan digər fayl adlarını ötürmək üçün. SFTP protokolunda bu problemlər yoxdur, lakin “~/” kimi xüsusi yolların genişləndirilməsini dəstəkləmir. Bu fərqi aradan qaldırmaq üçün OpenSSH-in əvvəlki buraxılışı SFTP server tətbiqində ~/ və ~user/ yollarına yeni SFTP protokol uzantısını təqdim etdi.
Mənbə: opennet.ru