Π Π΅Π»ΠΈΠ· OpenSSH 8.5

ПослС пяти мСсяцСв Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ прСдставлСн Ρ€Π΅Π»ΠΈΠ· OpenSSH 8.5, ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΎΠΉ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° ΠΈ сСрвСра для Ρ€Π°Π±ΠΎΡ‚Ρ‹ ΠΏΠΎ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°ΠΌ SSH 2.0 ΠΈ SFTP.

Π Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ OpenSSH Π½Π°ΠΏΠΎΠΌΠ½ΠΈΠ»ΠΈ ΠΎ грядущСм ΠΏΠ΅Ρ€Π΅Π²ΠΎΠ΄Π΅ Π² разряд ΡƒΡΡ‚Π°Ρ€Π΅Π²ΡˆΠΈΡ… Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠ², ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΡ… Ρ…Π΅ΡˆΠΈ SHA-1, Π² связи с ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ΠΌ эффСктивности ΠΊΠΎΠ»Π»ΠΈΠ·ΠΈΠΎΠ½Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ с Π·Π°Π΄Π°Π½Π½Ρ‹ΠΌ прСфиксом (ΡΡ‚ΠΎΠΈΠΌΠΎΡΡ‚ΡŒ ΠΏΠΎΠ΄Π±ΠΎΡ€Π° ΠΊΠΎΠ»Π»ΠΈΠ·ΠΈΠΈ оцСниваСтся ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π½ΠΎ Π² 50 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ²). Π’ ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· Π±Π»ΠΈΠΆΠ°ΠΉΡˆΠΈΡ… выпусков ΠΏΠ»Π°Π½ΠΈΡ€ΡƒΡŽΡ‚ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠ° Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… подписСй ΠΏΠΎ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΎΠΌΡƒ ΠΊΠ»ΡŽΡ‡Ρƒ «ssh-rsa», ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ упоминаСтся Π² ΠΎΡ€ΠΈΠ³ΠΈΠ½Π°Π»ΡŒΠ½ΠΎΠΌ RFC для ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° SSH ΠΈ остаётся ΡˆΠΈΡ€ΠΎΠΊΠΎ распространённым Π½Π° ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ΅.

Для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ примСнСния ssh-rsa Π² своих систСмах ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΠΏΡ€ΠΎΠ±ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒΡΡ ΠΏΠΎ ssh с ΠΎΠΏΡ†ΠΈΠ΅ΠΉ «-oHostKeyAlgorithms=-ssh-rsa». ΠŸΡ€ΠΈ этом ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… подписСй «ssh-rsa» Π½Π΅ ΠΎΠ·Π½Π°Ρ‡Π°Π΅Ρ‚ ΠΏΠΎΠ»Π½Ρ‹ΠΉ ΠΎΡ‚ΠΊΠ°Π· ΠΎΡ‚ использования RSA-ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ ΠΏΠΎΠΌΠΈΠΌΠΎ SHA-1 ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SSH допускаСт ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Π΄Ρ€ΡƒΠ³ΠΈΡ… Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠ² вычислСния Ρ…ΡΡˆΠ΅ΠΉ. Π’ частности, ΠΏΠΎΠΌΠΈΠΌΠΎ «ssh-rsa» останСтся Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования связок «rsa-sha2-256» (RSA/SHA256) ΠΈ «rsa-sha2-512» (RSA/SHA512).

Для сглаТивания ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄Π° Π½Π° Π½ΠΎΠ²Ρ‹Π΅ Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΡ‹ Π² OpenSSH 8.5 ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Π° настройка UpdateHostKeys, которая позволяСт автоматичСски пСрСвСсти ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² Π½Π° Π±ΠΎΠ»Π΅Π΅ Π½Π°Π΄Ρ‘ΠΆΠ½Ρ‹Π΅ Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΡ‹. ΠŸΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ ΡƒΠΊΠ°Π·Π°Π½Π½ΠΎΠΉ настройки Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠ΅ Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° «[email protected]», ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅Π΅ сСрвСру послС прохоТдСния Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° ΠΎ всСх доступных ΠΊΠ»ΡŽΡ‡Π°Ρ… хоста. ΠšΠ»ΠΈΠ΅Π½Ρ‚ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΡ‚Ρ€Π°Π·ΠΈΡ‚ΡŒ эти ΠΊΠ»ΡŽΡ‡ΠΈ Π² своём Ρ„Π°ΠΉΠ»Π΅ ~/.ssh/known_hosts, Ρ‡Ρ‚ΠΎ позволяСт ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ хоста ΠΈ ΡƒΠΏΡ€ΠΎΡ‰Π°Π΅Ρ‚ смСну ΠΊΠ»ΡŽΡ‡Π΅ΠΉ Π½Π° сСрвСрС.

ИспользованиС UpdateHostKeys ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΎ нСсколькими ΠΎΠ³ΠΎΠ²ΠΎΡ€ΠΊΠ°ΠΌΠΈ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π² Π±ΡƒΠ΄ΡƒΡ‰Π΅ΠΌ ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΠΎΡ‚ΠΌΠ΅Π½Π΅Π½Ρ‹: ΠΊΠ»ΡŽΡ‡ Π΄ΠΎΠ»ΠΆΠ΅Π½ ΡƒΠΏΠΎΠΌΠΈΠ½Π°Ρ‚ΡŒΡΡ Π² UserKnownHostsFile ΠΈ Π½Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π² GlobalKnownHostsFile; ΠΊΠ»ΡŽΡ‡ Π΄ΠΎΠ»ΠΆΠ΅Π½ ΠΏΡ€ΠΈΡΡƒΡ‚ΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΏΠΎΠ΄ ΠΎΠ΄Π½ΠΈΠΌ ΠΈΠΌΠ΅Π½Π΅ΠΌ; Π½Π΅ Π΄ΠΎΠ»ΠΆΠ΅Π½ ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡ‚ΡŒΡΡ сСртификат хостового ΠΊΠ»ΡŽΡ‡Π°; Π² known_hosts Π½Π΅ Π΄ΠΎΠ»ΠΆΠ½ΠΎ ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡ‚ΡŒΡΡ масок ΠΏΠΎ ΠΈΠΌΠ΅Π½ΠΈ хоста; Π΄ΠΎΠ»ΠΆΠ½Π° Π±Ρ‹Ρ‚ΡŒ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½Π° настройка VerifyHostKeyDNS; Π΄ΠΎΠ»ΠΆΠ΅Π½ Π±Ρ‹Ρ‚ΡŒ Π°ΠΊΡ‚ΠΈΠ²Π΅Π½ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ UserKnownHostsFile.

Π‘Ρ€Π΅Π΄ΠΈ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡƒΠ΅ΠΌΡ‹Ρ… для ΠΌΠΈΠ³Ρ€Π°Ρ†ΠΈΠΈ Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠ² упомянуты rsa-sha2-256/512 Π½Π° Π±Π°Π·Π΅ RFC8332 RSA SHA-2 (поддСрТиваСтся с OpenSSH 7.2 ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ), ssh-ed25519 (поддСрТиваСтся с OpenSSH 6.5) ΠΈ ecdsa-sha2-nistp256/384/521 Π½Π° Π±Π°Π·Π΅ RFC5656 ECDSA (поддСрТиваСтся с OpenSSH 5.7).

Π”Ρ€ΡƒΠ³ΠΈΠ΅ измСнСния:

  • ИзмСнСния, связанныС с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ:
    • Π’ ssh-agent устранСна ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, вызванная ΠΏΠΎΠ²Ρ‚ΠΎΡ€Π½Ρ‹ΠΌ освобоТдСниСм ΡƒΠΆΠ΅ освобоТдённой области памяти (double-free). ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся с выпуска OpenSSH 8.2 ΠΈ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ эксплуатирована ΠΏΡ€ΠΈ Π½Π°Π»ΠΈΡ‡ΠΈΠΈ Ρƒ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅Π³ΠΎ доступа ΠΊ сокСту ssh-agent Π½Π° локальной систСмС. Π­ΠΊΡΠΏΠ»ΡƒΠ°Ρ‚Π°Ρ†ΠΈΡŽ услоТняСт Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ доступ ΠΊ сокСту ΠΈΠΌΠ΅ΡŽΡ‚ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ root ΠΈ исходный ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ. НаиболСС вСроятным сцСнариСм Π°Ρ‚Π°ΠΊΠΈ являСтся ΠΏΠ΅Ρ€Π΅Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ Π°Π³Π΅Π½Ρ‚Π° Π½Π° ΡƒΡ‡Ρ‘Ρ‚Π½ΡƒΡŽ запись, которая ΠΏΠΎΠ΄ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒΠ½Π° Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΡƒ, Π»ΠΈΠ±ΠΎ Π½Π° хост, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ Ρƒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ° Π΅ΡΡ‚ΡŒ root-доступ.
    • Π’ sshd Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° Π·Π°Ρ‰ΠΈΡ‚Π° ΠΎΡ‚ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ ΠΎΡ‡Π΅Π½ΡŒ Π±ΠΎΠ»ΡŒΡˆΠΈΡ… ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² с ΠΈΠΌΠ΅Π½Π΅ΠΌ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Π² подсистСму PAM, Ρ‡Ρ‚ΠΎ позволяСт Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ уязвимости Π² систСмных модулях PAM (Pluggable Authentication Module). НапримСр, ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ позволяСт ΠΏΡ€Π΅Π΄ΠΎΡ‚Π²Ρ€Π°Ρ‚ΠΈΡ‚ΡŒ использованиС sshd Π² качСствС Π²Π΅ΠΊΡ‚ΠΎΡ€Π° для эксплуатации Π½Π΅Π΄Π°Π²Π½ΠΎ выявлСнной root-уязвимости Π² Solaris (CVE-2020-14871).
  • ИзмСнСния, ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ Π½Π°Ρ€ΡƒΡˆΠ°ΡŽΡ‰ΠΈΠ΅ ΡΠΎΠ²ΠΌΠ΅ΡΡ‚ΠΈΠΌΠΎΡΡ‚ΡŒ:
    • Π’ ssh ΠΈ sshd ΠΏΠ΅Ρ€Π΅Ρ€Π°Π±ΠΎΡ‚Π°Π½ ΡΠΊΡΠΏΠ΅Ρ€ΠΈΠΌΠ΅Π½Ρ‚Π°Π»ΡŒΠ½Ρ‹ΠΉ ΠΌΠ΅Ρ‚ΠΎΠ΄ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ, стойкий ΠΊ ΠΏΠΎΠ΄Π±ΠΎΡ€Ρƒ Π½Π° ΠΊΠ²Π°Π½Ρ‚ΠΎΠ²ΠΎΠΌ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π΅. ΠšΠ²Π°Π½Ρ‚ΠΎΠ²Ρ‹Π΅ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Ρ‹ ΠΊΠ°Ρ€Π΄ΠΈΠ½Π°Π»ΡŒΠ½ΠΎ быстрСС Ρ€Π΅ΡˆΠ°ΡŽΡ‚ Π·Π°Π΄Π°Ρ‡Ρƒ разлоТСния Π½Π°Ρ‚ΡƒΡ€Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ числа Π½Π° простыС ΠΌΠ½ΠΎΠΆΠΈΡ‚Π΅Π»ΠΈ, которая Π»Π΅ΠΆΠΈΡ‚ Π² основС соврСмСнных асиммСтричных Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠ² ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ΠΈ эффСктивно Π½Π΅ Ρ€Π΅ΡˆΠ°Π΅ΠΌΠ° Π½Π° классичСских процСссорах. Π˜ΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ ΠΌΠ΅Ρ‚ΠΎΠ΄ основан Π½Π° Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠ΅ NTRU Prime, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Π½ΠΎΠΌ для постквантумных криптосистСм, ΠΈ ΠΌΠ΅Ρ‚ΠΎΠ΄Π΅ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ Π½Π° Π±Π°Π·Π΅ эллиптичСских ΠΊΡ€ΠΈΠ²Ρ‹Ρ… X25519. ВмСсто [email protected] ΠΌΠ΅Ρ‚ΠΎΠ΄ Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ идСнтифицируСтся ΠΊΠ°ΠΊ [email protected] (Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌ sntrup4591761 Π·Π°ΠΌΠ΅Π½Ρ‘Π½ Π½Π° sntrup761).
    • Π’ ssh ΠΈ sshd ΠΈΠ·ΠΌΠ΅Π½Ρ‘Π½ порядок анонсирования ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅ΠΌΡ‹Ρ… Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠ² Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… подписСй. ΠŸΠ΅Ρ€Π²Ρ‹ΠΌ Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ прСдлагаСтся ED25519 вмСсто ECDSA.
    • Π’ ssh ΠΈ sshd установка ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² качСства обслуТивания TOS/DSCP для ΠΈΠ½Ρ‚Π΅Ρ€Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹Ρ… сСансов Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ производится Π΄ΠΎ установки TCP-соСдинСния.
    • Π’ ssh ΠΈ sshd ΠΏΡ€Π΅ΠΊΡ€Π°Ρ‰Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΡˆΠΈΡ„Ρ€Π° [email protected], ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ‡Π΅Π½ aes256-cbc ΠΈ использовался Π΄ΠΎ утвСрТдСния RFC-4253.
    • По ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Ρ‘Π½ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ CheckHostIP, польза ΠΎΡ‚ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ Π½Π΅Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½Π°, Π½ΠΎ использованиС сущСствСнно услоТняСт Ρ€ΠΎΡ‚Π°Ρ†ΠΈΡŽ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ для хостов Π·Π° балансировщиками Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ.
  • Π’ sshd Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Ρ‹ настройки PerSourceMaxStartups ΠΈ PerSourceNetBlockSize для ограничСния интСнсивности запуска ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² Π² привязкС ΠΊ адрСсу ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π°. Π£ΠΊΠ°Π·Π°Π½Π½Ρ‹Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ Π±ΠΎΠ»Π΅Π΅ Ρ‚ΠΎΠ½ΠΊΠΎ ΡƒΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠ΅ΠΌ Π½Π° запуск процСссов, ΠΏΠΎ ΡΡ€Π°Π²Π½Π΅Π½ΠΈΡŽ с ΠΎΠ±Ρ‰Π΅ΠΉ настройкой MaxStartups.
  • Π’ ssh ΠΈ sshd Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° новая настройка LogVerbose, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ ΠΏΡ€ΠΈΠ½ΡƒΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΏΠΎΠ΄Π½ΡΡ‚ΡŒ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ сбрасываСмой Π² Π»ΠΎΠ³ ΠΎΡ‚Π»Π°Π΄ΠΎΡ‡Π½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, с Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒΡŽ Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΠΈ ΠΏΠΎ шаблонам, функциям ΠΈ Ρ„Π°ΠΉΠ»Π°ΠΌ.
  • Π’ ssh ΠΏΡ€ΠΈ принятии Π½ΠΎΠ²ΠΎΠ³ΠΎ хостового ΠΊΠ»ΡŽΡ‡Π° обСспСчСн ΠΏΠΎΠΊΠ°Π· всСх ΠΈΠΌΡ‘Π½ хостов ΠΈ IP-адрСсов, ассоциированных с ΠΊΠ»ΡŽΡ‡ΠΎΠΌ.
  • Π’ ssh Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½ΠΎ ΡƒΠΊΠ°Π·Π°Π½ΠΈΠ΅ ΠΎΠΏΡ†ΠΈΠΈ UserKnownHostsFile=none для ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ использования Ρ„Π°ΠΉΠ»Π° known_hosts ΠΏΡ€ΠΈ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ хостовых ΠΊΠ»ΡŽΡ‡Π΅ΠΉ.
  • Π’ ssh_config для ssh Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° настройка KnownHostsCommand, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ Π΄Π°Π½Π½Ρ‹Π΅ known_hosts ΠΈΠ· Π²Ρ‹Π²ΠΎΠ΄Π° ΡƒΠΊΠ°Π·Π°Π½Π½ΠΎΠΉ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹.
  • Π’ ssh_config для ssh Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° опция PermitRemoteOpen, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡ΠΈΡ‚ΡŒ Ρ‚ΠΎΡ‡ΠΊΡƒ назначСния ΠΏΡ€ΠΈ использовании ΠΎΠΏΡ†ΠΈΠΈ RemoteForward с SOCKS.
  • Π’ ssh для ΠΊΠ»ΡŽΡ‡Π΅ΠΉ FIDO обСспСчСн ΠΏΠΎΠ²Ρ‚ΠΎΡ€Π½Ρ‹ΠΉ запрос PIN Π² случаС сбоя ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΈ с Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписью ΠΈΠ·-Π·Π° Π½Π΅ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΠ³ΠΎ PIN ΠΈ отсутствия запроса PIN Ρƒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, ΠΊΠΎΠ³Π΄Π° Π½Π΅ ΡƒΠ΄Π°Π»ΠΎΡΡŒ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½Ρ‹Π΅ биомСтричСскиС Π΄Π°Π½Π½Ρ‹Π΅ ΠΈ устройство ΠΎΡ‚ΠΊΠ°Ρ‚ΠΈΠ»ΠΎΡΡŒ Π½Π° Ρ€ΡƒΡ‡Π½ΠΎΠΉ Π²Π²ΠΎΠ΄ PIN-Π°).
  • Π’ sshd Π² основанный Π½Π° seccomp-bpf ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌ изоляции процСсса Π½Π° ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ΅ Linux Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… систСмных Π²Ρ‹Π·ΠΎΠ²ΠΎΠ².
  • ОбновлСна ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Π° contrib/ssh-copy-id.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru