OpenSSH 8.7 রিলিজ

চার মাস বিকাশের পর, OpenSSH 8.7 প্রকাশ করা হয়েছে, SSH 2.0 এবং SFTP প্রোটোকলের উপর কাজ করার জন্য একটি ক্লায়েন্ট এবং সার্ভারের একটি উন্মুক্ত বাস্তবায়ন, উপস্থাপন করা হয়েছে।

অব্যবস্থাপনা:

• প্রথাগত SCP/RCP প্রোটোকলের পরিবর্তে SFTP প্রোটোকল ব্যবহার করে scp-এ একটি পরীক্ষামূলক ডেটা ট্রান্সফার মোড যোগ করা হয়েছে। SFTP আরও অনুমানযোগ্য নাম পরিচালনার পদ্ধতি ব্যবহার করে এবং অন্য হোস্টের দিকে গ্লোব প্যাটার্নের শেল প্রক্রিয়াকরণ ব্যবহার করে না, যা নিরাপত্তা সমস্যা তৈরি করে। scp-এ SFTP সক্ষম করার জন্য, "-s" পতাকা প্রস্তাব করা হয়েছে, কিন্তু ভবিষ্যতে এটি ডিফল্টরূপে এই প্রোটোকলটিতে স্যুইচ করার পরিকল্পনা করা হয়েছে।
• sftp-server ~/ এবং ~user/ পাথ প্রসারিত করতে SFTP প্রোটোকলের এক্সটেনশন প্রয়োগ করে, যা scp-এর জন্য প্রয়োজনীয়।
• দুটি দূরবর্তী হোস্টের মধ্যে ফাইল অনুলিপি করার সময় scp ইউটিলিটি আচরণ পরিবর্তন করেছে (উদাহরণস্বরূপ, "scp host-a:/path host-b:"), যা এখন একটি মধ্যবর্তী স্থানীয় হোস্টের মাধ্যমে ডিফল্টভাবে করা হয়, যেমন "নির্দিষ্ট করার সময়" -3" পতাকা। এই পদ্ধতিটি আপনাকে প্রথম হোস্টে অপ্রয়োজনীয় শংসাপত্রগুলি পাস করা এড়াতে এবং শেলের ফাইলের নামগুলির ট্রিপল ব্যাখ্যা (উৎস, গন্তব্য এবং স্থানীয় সিস্টেমের দিকে) এড়াতে দেয় এবং SFTP ব্যবহার করার সময়, এটি আপনাকে রিমোট অ্যাক্সেস করার সময় সমস্ত প্রমাণীকরণ পদ্ধতি ব্যবহার করতে দেয়। হোস্ট, এবং শুধুমাত্র অ-ইন্টারেক্টিভ পদ্ধতি নয়। পুরানো আচরণ পুনরুদ্ধার করতে "-R" বিকল্পটি যোগ করা হয়েছে।
• "-f" পতাকার সাথে ssh-এ ForkAfterAuthentication সেটিং যোগ করা হয়েছে।
• ssh-এ StdinNull সেটিং যোগ করা হয়েছে, "-n" পতাকার সাথে সম্পর্কিত।
• ssh-এ একটি SessionType সেটিং যোগ করা হয়েছে, যার মাধ্যমে আপনি "-N" (কোন সেশন নেই) এবং "-s" (সাবসিস্টেম) ফ্ল্যাগের সাথে সামঞ্জস্যপূর্ণ মোড সেট করতে পারেন।
• ssh-keygen আপনাকে কী ফাইলগুলিতে একটি কী বৈধতার ব্যবধান নির্দিষ্ট করতে দেয়।
• sshsig স্বাক্ষরের অংশ হিসাবে সম্পূর্ণ পাবলিক কী মুদ্রণ করতে ssh-keygen-এ "-Oprint-pubkey" পতাকা যোগ করা হয়েছে।
• ssh এবং sshd-এ, ক্লায়েন্ট এবং সার্ভার উভয়কেই আরও সীমাবদ্ধ কনফিগারেশন ফাইল পার্সার ব্যবহার করার জন্য সরানো হয়েছে যা কোট, স্পেস এবং এস্কেপ অক্ষরগুলি পরিচালনা করার জন্য শেল-এর মতো নিয়ম ব্যবহার করে। নতুন পার্সার পূর্বে করা অনুমানগুলিকেও উপেক্ষা করে না, যেমন বিকল্পগুলিতে আর্গুমেন্ট বাদ দেওয়া (উদাহরণস্বরূপ, DenyUsers নির্দেশিকা আর খালি রাখা যাবে না), খোলা উদ্ধৃতি, এবং একাধিক = অক্ষর নির্দিষ্ট করা।
• কীগুলি যাচাই করার সময় SSHFP DNS রেকর্ডগুলি ব্যবহার করার সময়, ssh এখন সমস্ত মিলে যাওয়া রেকর্ডগুলি পরীক্ষা করে, শুধুমাত্র একটি নির্দিষ্ট ধরণের ডিজিটাল স্বাক্ষরযুক্ত নয়৷
• ssh-keygen-এ, -Ochallenge বিকল্পের সাথে একটি FIDO কী তৈরি করার সময়, বিল্ট-ইন লেয়ারটি এখন libfido2-এর পরিবর্তে হ্যাশিংয়ের জন্য ব্যবহার করা হয়, যা 32 বাইটের চেয়ে বড় বা ছোট চ্যালেঞ্জ সিকোয়েন্স ব্যবহারের অনুমতি দেয়।
• sshd-এ, authorized_keys ফাইলগুলিতে পরিবেশ="..." নির্দেশাবলী প্রক্রিয়া করার সময়, প্রথম মিলটি এখন গৃহীত হয় এবং 1024 এনভায়রনমেন্ট ভেরিয়েবল নামের একটি সীমা রয়েছে।

OpenSSH ডেভেলপাররাও SHA-1 হ্যাশ ব্যবহার করে অ্যালগরিদমগুলির পচন সম্পর্কে সতর্ক করেছিল কারণ একটি প্রদত্ত উপসর্গের সাথে সংঘর্ষের আক্রমণের বর্ধিত দক্ষতার কারণে (একটি সংঘর্ষ নির্বাচনের খরচ আনুমানিক $50 হাজার)। পরবর্তী রিলিজে, আমরা পাবলিক কী ডিজিটাল সিগনেচার অ্যালগরিদম "ssh-rsa" ব্যবহার করার ক্ষমতা ডিফল্টভাবে নিষ্ক্রিয় করার পরিকল্পনা করছি, যা SSH প্রোটোকলের জন্য মূল RFC-তে উল্লেখ করা হয়েছিল এবং অনুশীলনে ব্যাপকভাবে ব্যবহৃত হয়।

আপনার সিস্টেমে ssh-rsa-এর ব্যবহার পরীক্ষা করার জন্য, আপনি "-oHostKeyAlgorithms=-ssh-rsa" বিকল্পের মাধ্যমে ssh-এর মাধ্যমে সংযোগ করার চেষ্টা করতে পারেন। একই সময়ে, ডিফল্টরূপে "ssh-rsa" ডিজিটাল স্বাক্ষর নিষ্ক্রিয় করার অর্থ RSA কীগুলির ব্যবহার সম্পূর্ণ পরিত্যাগ করা নয়, যেহেতু SHA-1 ছাড়াও, SSH প্রোটোকল অন্যান্য হ্যাশ গণনা অ্যালগরিদম ব্যবহারের অনুমতি দেয়৷ বিশেষ করে, "ssh-rsa" ছাড়াও, "rsa-sha2-256" (RSA/SHA256) এবং "rsa-sha2-512" (RSA/SHA512) বান্ডেলগুলি ব্যবহার করা সম্ভব হবে৷

নতুন অ্যালগরিদমে রূপান্তর মসৃণ করার জন্য, OpenSSH এর পূর্বে UpdateHostKeys সেটিংস ডিফল্টরূপে সক্রিয় ছিল, যা ক্লায়েন্টদের স্বয়ংক্রিয়ভাবে আরও নির্ভরযোগ্য অ্যালগরিদমে স্যুইচ করতে দেয়। এই সেটিং ব্যবহার করে, একটি বিশেষ প্রোটোকল এক্সটেনশন সক্রিয় করা হয়েছে "[ইমেল সুরক্ষিত]", সার্ভারকে, প্রমাণীকরণের পরে, সমস্ত উপলব্ধ হোস্ট কী সম্পর্কে ক্লায়েন্টকে অবহিত করার অনুমতি দেয়৷ ক্লায়েন্ট তার ~/.ssh/known_hosts ফাইলে এই কীগুলি প্রতিফলিত করতে পারে, যা হোস্ট কীগুলিকে আপডেট করার অনুমতি দেয় এবং সার্ভারে কীগুলি পরিবর্তন করা সহজ করে তোলে।

UpdateHostKeys-এর ব্যবহার কিছু সতর্কতা দ্বারা সীমাবদ্ধ যা ভবিষ্যতে মুছে ফেলা হতে পারে: কীটি অবশ্যই UserKnownHostsFile-এ উল্লেখ করতে হবে এবং GlobalKnownHostsFile-এ ব্যবহার করা হবে না; চাবি শুধুমাত্র একটি নামের অধীনে উপস্থিত হতে হবে; একটি হোস্ট কী শংসাপত্র ব্যবহার করা উচিত নয়; পরিচিত_হোস্টে হোস্ট নামের মাস্ক ব্যবহার করা উচিত নয়; VerifyHostKeyDNS সেটিং অক্ষম করা আবশ্যক; UserKnownHostsFile প্যারামিটার সক্রিয় হতে হবে।

মাইগ্রেশনের জন্য প্রস্তাবিত অ্যালগরিদমগুলির মধ্যে রয়েছে RFC2 RSA SHA-256-এর উপর ভিত্তি করে rsa-sha512-8332/2 (OpenSSH 7.2 থেকে সমর্থিত এবং ডিফল্টরূপে ব্যবহৃত), ssh-ed25519 (OpenSSH 6.5 থেকে সমর্থিত) এবং ecdsa-sha2-nistp256/384 ভিত্তিক RFC521 ECDSA-তে (OpenSSH 5656 থেকে সমর্থিত)।

উত্স: opennet.ru