OpenSSH 8.0 রিলিজ

উন্নয়নের পাঁচ মাস পর উপস্থাপিত মুক্তি OpenSSH 8.0, SSH 2.0 এবং SFTP প্রোটোকলের মাধ্যমে কাজ করার জন্য একটি খোলা ক্লায়েন্ট এবং সার্ভার বাস্তবায়ন।

অব্যবস্থাপনা:

• কোয়ান্টাম কম্পিউটারে ব্রুট-ফোর্স আক্রমণ প্রতিরোধী একটি মূল বিনিময় পদ্ধতির জন্য পরীক্ষামূলক সমর্থন ssh এবং sshd-এ যোগ করা হয়েছে। কোয়ান্টাম কম্পিউটারগুলি একটি প্রাকৃতিক সংখ্যাকে প্রাইম ফ্যাক্টরগুলিতে পচানোর সমস্যা সমাধানে আমূল দ্রুততর, যা আধুনিক অ্যাসিমেট্রিক এনক্রিপশন অ্যালগরিদমগুলির অন্তর্গত এবং ক্লাসিক্যাল প্রসেসরগুলিতে কার্যকরভাবে সমাধান করা যায় না। প্রস্তাবিত পদ্ধতি অ্যালগরিদম উপর ভিত্তি করে এনটিআরইউ প্রাইম (ফাংশন ntrup4591761), পোস্ট-কোয়ান্টাম ক্রিপ্টোসিস্টেম, এবং উপবৃত্তাকার বক্ররেখা কী বিনিময় পদ্ধতি X25519-এর জন্য তৈরি;
• sshd-এ, ListenAddress এবং PermitOpen নির্দেশাবলী আর লিগ্যাসি "হোস্ট/পোর্ট" সিনট্যাক্সকে সমর্থন করে না, যা 2001 সালে "হোস্ট:পোর্ট" এর বিকল্প হিসেবে আইপিভি6-এর সাথে কাজ করা সহজ করার জন্য প্রয়োগ করা হয়েছিল। আধুনিক পরিস্থিতিতে, সিনট্যাক্স "[::6]:1" IPv22 এর জন্য প্রতিষ্ঠিত হয়েছে, এবং "হোস্ট/পোর্ট" প্রায়ই সাবনেট (CIDR) নির্দেশ করার সাথে বিভ্রান্ত হয়;
• ssh, ssh-agent এবং ssh-ad now সমর্থন কী ইসিডিএসএ PKCS#11 টোকেনে;
• ssh-keygen-এ, নতুন NIST সুপারিশ অনুসারে ডিফল্ট RSA কী আকার 3072 বিটে বাড়ানো হয়েছে;
• ssh ssh_config-এ উল্লেখিত PKCS11প্রোভাইডার নির্দেশিকাকে ওভাররাইড করতে "PKCS11Provider=none" সেটিং ব্যবহারের অনুমতি দেয়;
• sshd_config-এ “ForceCommand=internal-sftp” সীমাবদ্ধতা দ্বারা অবরুদ্ধ কমান্ডগুলি চালানোর চেষ্টা করার সময় সংযোগটি বন্ধ হয়ে গেলে sshd পরিস্থিতিগুলির একটি লগ প্রদর্শন প্রদান করে;
• ssh-এ, "হ্যাঁ" প্রতিক্রিয়ার পরিবর্তে একটি নতুন হোস্ট কী গ্রহণের বিষয়টি নিশ্চিত করার জন্য একটি অনুরোধ প্রদর্শন করার সময়, কীটির সঠিক আঙ্গুলের ছাপ এখন গৃহীত হয় (সংযোগ নিশ্চিত করার আমন্ত্রণের প্রতিক্রিয়ায়, ব্যবহারকারী কপি করতে পারেন ক্লিপবোর্ডের মাধ্যমে আলাদাভাবে রেফারেন্স হ্যাশ পেয়েছে, যাতে ম্যানুয়ালি তুলনা না করা যায়);
• কমান্ড লাইনে একাধিক শংসাপত্রের জন্য ডিজিটাল স্বাক্ষর তৈরি করার সময় ssh-keygen শংসাপত্রের ক্রম সংখ্যার স্বয়ংক্রিয় বৃদ্ধি প্রদান করে;
• একটি নতুন বিকল্প "-J" যোগ করা হয়েছে scp এবং sftp, ProxyJump সেটিং এর সমতুল্য;
• ssh-agent, ssh-pkcs11-helper এবং ssh-add-এ, "-v" কমান্ড লাইন বিকল্পের প্রক্রিয়াকরণ আউটপুটের তথ্য সামগ্রী বাড়ানোর জন্য যোগ করা হয়েছে (যখন নির্দিষ্ট করা হয়, এই বিকল্পটি চাইল্ড প্রসেসে প্রেরণ করা হয়, উদাহরণ, যখন ssh-pkcs11-helper কে ssh-agent থেকে কল করা হয় );
• ডিজিটাল স্বাক্ষর তৈরি এবং যাচাইকরণ ক্রিয়াকলাপ সম্পাদনের জন্য ssh-এজেন্টে কীগুলির উপযুক্ততা পরীক্ষা করার জন্য ssh-add-এ “-T” বিকল্পটি যোগ করা হয়েছে;
• sftp-সার্ভার "lsetstat at openssh.com" প্রোটোকল এক্সটেনশনের জন্য সমর্থন প্রয়োগ করে, যা SFTP-এর জন্য SSH2_FXP_SETSTAT অপারেশনের জন্য সমর্থন যোগ করে, কিন্তু প্রতীকী লিঙ্কগুলি অনুসরণ না করে;
• সিম্বলিক লিঙ্ক ব্যবহার না করে এমন অনুরোধ সহ chown/chgrp/chmod কমান্ড চালানোর জন্য sftp-এ "-h" বিকল্প যোগ করা হয়েছে;
• sshd PAM-এর জন্য $SSH_CONNECTION এনভায়রনমেন্ট ভেরিয়েবলের সেটিং প্রদান করে;
• sshd-এর জন্য, ssh_config-এ একটি "ম্যাচ ফাইনাল" ম্যাচিং মোড যোগ করা হয়েছে, যা "ম্যাচ ক্যানোনিকাল" এর মতো, কিন্তু হোস্টনাম স্বাভাবিককরণ সক্রিয় করার প্রয়োজন নেই;
• ব্যাচ মোডে নির্বাহিত কমান্ডের আউটপুট অনুবাদ নিষ্ক্রিয় করতে sftp-তে '@' উপসর্গের জন্য সমর্থন যোগ করা হয়েছে;
• যখন আপনি কমান্ড ব্যবহার করে একটি শংসাপত্রের বিষয়বস্তু প্রদর্শন করেন
  "ssh-keygen -Lf /path/certificate" এখন সার্টিফিকেট যাচাই করার জন্য CA দ্বারা ব্যবহৃত অ্যালগরিদম প্রদর্শন করে;

• Cygwin পরিবেশের জন্য উন্নত সমর্থন, উদাহরণস্বরূপ গ্রুপ এবং ব্যবহারকারীর নামগুলির ক্ষেত্রে-সংবেদনশীল তুলনা প্রদান করা। মাইক্রোসফ্ট সরবরাহকৃত OpenSSH পোর্টে হস্তক্ষেপ এড়াতে Cygwin পোর্টের sshd প্রক্রিয়াটি cygsshd-এ পরিবর্তন করা হয়েছে;
• পরীক্ষামূলক OpenSSL 3.x শাখার সাথে নির্মাণ করার ক্ষমতা যোগ করা হয়েছে;
• নির্মূল দুর্বলতা (CVE-2019-6111) scp ইউটিলিটি বাস্তবায়নে, যা আক্রমণকারী দ্বারা নিয়ন্ত্রিত একটি সার্ভার অ্যাক্সেস করার সময় লক্ষ্য ডিরেক্টরির মধ্যে নির্বিচারে ফাইলগুলিকে ক্লায়েন্ট সাইডে ওভাররাইট করার অনুমতি দেয়। সমস্যা হল scp ব্যবহার করার সময়, সার্ভার ক্লায়েন্টকে কোন ফাইল এবং ডিরেক্টরি পাঠাতে হবে তা নির্ধারণ করে এবং ক্লায়েন্ট শুধুমাত্র ফিরে আসা বস্তুর নামের সঠিকতা পরীক্ষা করে। ক্লায়েন্ট-সাইড চেকিং শুধুমাত্র বর্তমান ডিরেক্টরি (“../”) এর বাইরে ভ্রমণকে ব্লক করার জন্য সীমাবদ্ধ, তবে মূল অনুরোধকৃত নামগুলির থেকে ভিন্ন নাম সহ ফাইল স্থানান্তরকে বিবেচনায় নেয় না। পুনরাবৃত্ত অনুলিপির ক্ষেত্রে (-r), ফাইলের নাম ছাড়াও, আপনি একইভাবে সাব-ডিরেক্টরিগুলির নামগুলিও ম্যানিপুলেট করতে পারেন। উদাহরণস্বরূপ, যদি ব্যবহারকারী হোম ডিরেক্টরিতে ফাইলগুলি অনুলিপি করে, তাহলে আক্রমণকারী দ্বারা নিয়ন্ত্রিত সার্ভার অনুরোধ করা ফাইলগুলির পরিবর্তে .bash_aliases বা .ssh/authorized_keys নামের ফাইলগুলি তৈরি করতে পারে এবং সেগুলি ব্যবহারকারীর scp ইউটিলিটি দ্বারা সংরক্ষণ করা হবে। হোম ডিরেক্টরি।

  নতুন রিলিজে, অনুরোধ করা ফাইলের নাম এবং সার্ভার দ্বারা প্রেরিত ফাইলের মধ্যে চিঠিপত্র পরীক্ষা করার জন্য scp ইউটিলিটি আপডেট করা হয়েছে, যা ক্লায়েন্টের পক্ষ থেকে করা হয়। এটি মাস্ক প্রক্রিয়াকরণের সাথে সমস্যা সৃষ্টি করতে পারে, যেহেতু মাস্ক সম্প্রসারণ অক্ষরগুলি সার্ভার এবং ক্লায়েন্ট সাইডে ভিন্নভাবে প্রক্রিয়া করা হতে পারে। যদি এই ধরনের পার্থক্যের কারণে ক্লায়েন্ট scp-এ ফাইল গ্রহণ করা বন্ধ করে দেয়, তাহলে ক্লায়েন্ট-সাইড চেকিং নিষ্ক্রিয় করতে "-T" বিকল্পটি যোগ করা হয়েছে। সমস্যাটি সম্পূর্ণরূপে সংশোধন করার জন্য, scp প্রোটোকলের একটি ধারণাগত পুনর্নির্ধারণ প্রয়োজন, যা ইতিমধ্যেই পুরানো, তাই এর পরিবর্তে আরও আধুনিক প্রোটোকল যেমন sftp এবং rsync ব্যবহার করার পরামর্শ দেওয়া হচ্ছে।

উত্স: opennet.ru