OpenSSH 8.4 রিলিজ

চার মাস উন্নয়নের পর উপস্থাপিত OpenSSH 8.4 এর প্রকাশ, SSH 2.0 এবং SFTP প্রোটোকল ব্যবহার করে কাজ করার জন্য একটি খোলা ক্লায়েন্ট এবং সার্ভার বাস্তবায়ন।

অব্যবস্থাপনা:

• নিরাপত্তা পরিবর্তন:
  • ssh-এজেন্টে, SSH প্রমাণীকরণের জন্য তৈরি করা হয়নি এমন FIDO কীগুলি ব্যবহার করার সময় (কী আইডি "ssh:" স্ট্রিং দিয়ে শুরু হয় না), এটি এখন পরীক্ষা করে যে SSH প্রোটোকলে ব্যবহৃত পদ্ধতিগুলি ব্যবহার করে বার্তাটি স্বাক্ষর করা হবে। পরিবর্তনটি ssh-এজেন্টকে দূরবর্তী হোস্টগুলিতে পুনঃনির্দেশিত করার অনুমতি দেবে না যেগুলির কাছে FIDO কীগুলি ওয়েব প্রমাণীকরণের অনুরোধগুলির জন্য স্বাক্ষর তৈরি করতে এই কীগুলি ব্যবহার করার ক্ষমতা ব্লক করতে (বিপরীত ক্ষেত্রে, যখন একটি ব্রাউজার একটি SSH অনুরোধে স্বাক্ষর করতে পারে, প্রাথমিকভাবে বাদ দেওয়া হয়) কী শনাক্তকারীতে "ssh:" উপসর্গ ব্যবহারের কারণে)।
  • ssh-keygen-এর রেসিডেন্ট কী জেনারেশনের মধ্যে FIDO 2.1 স্পেসিফিকেশনে বর্ণিত credProtect অ্যাড-অনের জন্য সমর্থন রয়েছে, যা টোকেন থেকে রেসিডেন্ট কী বের করতে পারে এমন কোনও অপারেশন করার আগে একটি পিনের প্রয়োজনে কীগুলির জন্য অতিরিক্ত সুরক্ষা প্রদান করে।
• সামঞ্জস্যের সম্ভাব্য পরিবর্তনগুলি ভাঙছে:
  • FIDO/U2F সমর্থন করার জন্য, libfido2 লাইব্রেরি কমপক্ষে সংস্করণ 1.5.0 ব্যবহার করার পরামর্শ দেওয়া হয়। পুরানো সংস্করণগুলি ব্যবহার করার ক্ষমতা আংশিকভাবে প্রয়োগ করা হয়েছে, তবে এই ক্ষেত্রে, রেসিডেন্ট কী, পিন অনুরোধ এবং একাধিক টোকেন সংযোগ করার মতো ফাংশনগুলি উপলব্ধ হবে না৷
  • ssh-keygen-এ, ডিজিটাল স্বাক্ষর নিশ্চিত করার জন্য প্রয়োজনীয় প্রমাণীকরণকারী ডেটা নিশ্চিতকরণ তথ্যের ফর্ম্যাটে যোগ করা হয়েছে, একটি FIDO কী তৈরি করার সময় ঐচ্ছিকভাবে সংরক্ষণ করা হয়।
  • FIDO টোকেন অ্যাক্সেস করার জন্য OpenSSH স্তরের সাথে ইন্টারঅ্যাক্ট করার সময় ব্যবহৃত API পরিবর্তন করা হয়েছে।
  • OpenSSH-এর একটি পোর্টেবল সংস্করণ তৈরি করার সময়, automake-এর এখন কনফিগার স্ক্রিপ্ট এবং তার সাথে থাকা বিল্ড ফাইলগুলি তৈরি করা প্রয়োজন (যদি একটি প্রকাশিত কোড tar ফাইল থেকে তৈরি করা হয়, কনফিগার পুনর্জন্মের প্রয়োজন হয় না)।
• FIDO কীগুলির জন্য সমর্থন যোগ করা হয়েছে যার জন্য ssh এবং ssh-keygen-এ PIN যাচাইকরণ প্রয়োজন৷ পিন দিয়ে কী তৈরি করতে, "যাচাই-প্রয়োজনীয়" বিকল্পটি ssh-keygen-এ যোগ করা হয়েছে। যদি এই ধরনের কীগুলি ব্যবহার করা হয়, স্বাক্ষর তৈরির ক্রিয়াকলাপ সম্পাদন করার আগে, ব্যবহারকারীকে একটি পিন কোড প্রবেশ করে তাদের ক্রিয়াগুলি নিশ্চিত করার জন্য অনুরোধ করা হয়।
• sshd-এ, "যাচাই-প্রয়োজনীয়" বিকল্পটি অনুমোদিত_কি সেটিং-এ প্রয়োগ করা হয়, যার জন্য টোকেনের সাহায্যে ক্রিয়াকলাপের সময় ব্যবহারকারীর উপস্থিতি যাচাই করার জন্য ক্ষমতার ব্যবহার প্রয়োজন। FIDO মান এই ধরনের যাচাইকরণের জন্য বিভিন্ন বিকল্প প্রদান করে, কিন্তু বর্তমানে OpenSSH শুধুমাত্র PIN-ভিত্তিক যাচাইকরণ সমর্থন করে।
• sshd এবং ssh-keygen ডিজিটাল স্বাক্ষর যাচাই করার জন্য সমর্থন যোগ করেছে যা FIDO Webauthn স্ট্যান্ডার্ড মেনে চলে, যা ওয়েব ব্রাউজারে FIDO কীগুলি ব্যবহার করার অনুমতি দেয়।
• সার্টিফিকেট ফাইল সেটিংসে ssh-এ,
  ControlPath, IdentityAgent, IdentityFile, LocalForward এবং
  RemoteForward "${ENV}" বিন্যাসে নির্দিষ্ট করা পরিবেশের ভেরিয়েবল থেকে মান প্রতিস্থাপনের অনুমতি দেয়।

• ssh এবং ssh-agent $SSH_ASKPASS_REQUIRE এনভায়রনমেন্ট ভেরিয়েবলের জন্য সমর্থন যোগ করেছে, যা ssh-askpass কল সক্রিয় বা নিষ্ক্রিয় করতে ব্যবহার করা যেতে পারে।
• AddKeysToAgent নির্দেশে ssh_config-এ ssh-এ, একটি কী-এর বৈধতা সময়সীমা সীমিত করার ক্ষমতা যোগ করা হয়েছে। নির্দিষ্ট সীমা মেয়াদ শেষ হওয়ার পরে, কীগুলি স্বয়ংক্রিয়ভাবে ssh-agent থেকে মুছে ফেলা হয়।
• scp এবং sftp-এ, "-A" পতাকা ব্যবহার করে, আপনি এখন স্পষ্টভাবে ssh-agent ব্যবহার করে scp এবং sftp-এ পুনর্নির্দেশের অনুমতি দিতে পারেন (পুনর্নির্দেশ ডিফল্টরূপে অক্ষম থাকে)।
• ssh সেটিংসে '%k' প্রতিস্থাপনের জন্য সমর্থন যোগ করা হয়েছে, যা হোস্ট কী নাম নির্দিষ্ট করে। এই বৈশিষ্ট্যটি পৃথক ফাইলগুলিতে কী বিতরণ করতে ব্যবহার করা যেতে পারে (উদাহরণস্বরূপ, "UserKnownHostsFile ~/.ssh/known_hosts.d/%k")।
• "ssh-add -d -" অপারেশন ব্যবহার করার অনুমতি দিন যেগুলি মুছে ফেলা হবে stdin থেকে কীগুলি পড়তে।
• sshd-এ, সংযোগ ছাঁটাই প্রক্রিয়ার শুরু এবং শেষ লগে প্রতিফলিত হয়, যা MaxStartups প্যারামিটার ব্যবহার করে নিয়ন্ত্রিত হয়।

ওপেনএসএসএইচ ডেভেলপাররা SHA-1 হ্যাশ ব্যবহার করে অ্যালগরিদমের আসন্ন ডিকমিশনিংয়ের কথাও স্মরণ করেছে বৃদ্ধি একটি প্রদত্ত উপসর্গের সাথে সংঘর্ষের আক্রমণের কার্যকারিতা (একটি সংঘর্ষ নির্বাচনের খরচ আনুমানিক 45 হাজার ডলার)। আসন্ন রিলিজের একটিতে, তারা ডিফল্টভাবে পাবলিক কী ডিজিটাল সিগনেচার অ্যালগরিদম "ssh-rsa" ব্যবহার করার ক্ষমতা অক্ষম করার পরিকল্পনা করেছে, যা SSH প্রোটোকলের জন্য মূল RFC-তে উল্লেখ করা হয়েছে এবং অনুশীলনে ব্যাপকভাবে রয়ে গেছে (ব্যবহার পরীক্ষা করার জন্য আপনার সিস্টেমে ssh-rsa-এর জন্য, আপনি "-oHostKeyAlgorithms=-ssh-rsa" বিকল্পটি দিয়ে ssh-এর মাধ্যমে সংযোগ করার চেষ্টা করতে পারেন)।

OpenSSH-এ নতুন অ্যালগরিদমে রূপান্তর মসৃণ করতে, পরবর্তী রিলিজটি ডিফল্টরূপে UpdateHostKeys সেটিং সক্ষম করবে, যা স্বয়ংক্রিয়ভাবে ক্লায়েন্টদের আরও নির্ভরযোগ্য অ্যালগরিদমে স্থানান্তরিত করবে। মাইগ্রেশনের জন্য প্রস্তাবিত অ্যালগরিদমগুলির মধ্যে রয়েছে RFC2 RSA SHA-256-এর উপর ভিত্তি করে rsa-sha512-8332/2 (OpenSSH 7.2 থেকে সমর্থিত এবং ডিফল্টরূপে ব্যবহৃত), ssh-ed25519 (OpenSSH 6.5 থেকে সমর্থিত) এবং ecdsa-sha2-nistp256/384 ভিত্তিক RFC521 ECDSA-তে (OpenSSH 5656 থেকে সমর্থিত)।

উত্স: opennet.ru