ProHoster > Блог > internet vijesti > Izdanje OpenSSH 8.4

Izdanje OpenSSH 8.4

Nakon četiri mjeseca razvoja predstavljen izdanje OpenSSH 8.4, implementacije otvorenog klijenta i servera za rad koristeći SSH 2.0 i SFTP protokole.

Glavne promjene:

  • Sigurnosne promjene:
    • U ssh-agentu, kada se koriste FIDO ključevi koji nisu kreirani za SSH autentifikaciju (ID ključa ne počinje nizom "ssh:"), sada provjerava da li će poruka biti potpisana korištenjem metoda korištenih u SSH protokolu. Promjena neće dozvoliti preusmjeravanje ssh-agenta na udaljene hostove koji imaju FIDO ključeve kako bi blokirali mogućnost korištenja ovih ključeva za generiranje potpisa za zahtjeve za web autentifikaciju (obrnuti slučaj, kada pretraživač može potpisati SSH zahtjev, u početku je isključen zbog upotrebe prefiksa “ssh:” u identifikatoru ključa).
    • Generisanje rezidentnog ključa ssh-keygena uključuje podršku za dodatak credProtect opisan u FIDO 2.1 specifikaciji, koji pruža dodatnu zaštitu za ključeve zahtijevanjem PIN-a prije izvođenja bilo koje operacije koja bi mogla rezultirati izdvajanjem rezidentnog ključa iz tokena.
  • Potencijalno kvarne promjene kompatibilnosti:
    • Za podršku FIDO/U2F, preporučuje se korištenje biblioteke libfido2 najmanje verzije 1.5.0. Mogućnost korištenja starijih izdanja je djelimično implementirana, ali u ovom slučaju funkcije kao što su rezidentni ključevi, PIN zahtjev i povezivanje više tokena neće biti dostupne.
    • U ssh-keygenu, podaci o autentifikaciji neophodni za verifikaciju potvrđujućih digitalnih potpisa dodani su formatu informacija za potvrdu, opciono sačuvani prilikom generisanja FIDO ključa.
    • API koji se koristi kada OpenSSH komunicira sa slojem za pristup FIDO tokenima je promijenjen.
    • Prilikom izrade prijenosne verzije OpenSSH-a, automake je sada potreban za generiranje skripte za konfiguriranje i pratećih datoteka izgradnje (ako se gradi od objavljenog koda tar datoteke, regeneracija konfiguracije nije potrebna).
  • Dodata podrška za FIDO ključeve koji zahtijevaju PIN verifikaciju u ssh i ssh-keygen. Za generiranje ključeva s PIN-om, opcija "provjeri-potrebno" je dodana u ssh-keygen. Ako se koriste takvi ključevi, prije izvođenja operacije kreiranja potpisa, od korisnika se traži da potvrdi svoje radnje unosom PIN koda.
  • U sshd-u, opcija “verify-required” implementirana je u postavci authorized_keys, koja zahtijeva korištenje mogućnosti za provjeru prisustva korisnika tokom operacija sa tokenom. FIDO standard pruža nekoliko opcija za takvu verifikaciju, ali trenutno OpenSSH podržava samo verifikaciju zasnovanu na PIN-u.
  • sshd i ssh-keygen su dodali podršku za provjeru digitalnih potpisa koji su u skladu sa FIDO Webauthn standardom, koji omogućava korištenje FIDO ključeva u web pretraživačima.
  • U ssh u postavkama CertificateFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward i
    RemoteForward dozvoljava zamjenu vrijednosti iz varijabli okruženja navedenih u formatu "${ENV}".

  • ssh i ssh-agent su dodali podršku za varijablu okruženja $SSH_ASKPASS_REQUIRE, koja se može koristiti za omogućavanje ili onemogućavanje poziva ssh-askpass.
  • U ssh u ssh_config u direktivi AddKeysToAgent, dodana je mogućnost ograničavanja perioda valjanosti ključa. Nakon što navedeno ograničenje istekne, ključevi se automatski brišu iz ssh-agenta.
  • U scp i sftp, koristeći "-A" zastavicu, sada možete eksplicitno dozvoliti preusmjeravanje na scp i sftp koristeći ssh-agent (preusmjeravanje je onemogućeno po defaultu).
  • Dodata podrška za '%k' zamjenu u ssh postavkama, koja specificira ime ključa hosta. Ova funkcija se može koristiti za distribuciju ključeva u zasebne datoteke (na primjer, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • Dozvolite upotrebu operacije "ssh-add -d -" za čitanje ključeva sa stdin-a koji se trebaju izbrisati.
  • U sshd-u, početak i kraj procesa odvajanja veze se odražavaju u dnevniku, reguliranom pomoću parametra MaxStartups.

OpenSSH programeri su se također prisjetili predstojećeg ukidanja algoritama koji koriste SHA-1 hasheve zbog promocija efikasnost napada sudara sa datim prefiksom (trošak odabira kolizije procjenjuje se na približno 45 hiljada dolara). U jednom od narednih izdanja planiraju da po zadanim postavkama onemoguće mogućnost korištenja algoritma za digitalni potpis javnog ključa “ssh-rsa”, koji se spominje u originalnom RFC-u za SSH protokol i ostaje široko rasprostranjen u praksi (za testiranje upotrebe ssh-rsa u vašim sistemima, možete pokušati da se povežete preko ssh sa opcijom “-oHostKeyAlgorithms=-ssh-rsa”).

Kako bi se ugladio prelazak na nove algoritme u OpenSSH-u, sljedeće izdanje će omogućiti postavku UpdateHostKeys prema zadanim postavkama, koja će automatski migrirati klijente na pouzdanije algoritme. Preporučeni algoritmi za migraciju uključuju rsa-sha2-256/512 baziran na RFC8332 RSA SHA-2 (podržan od OpenSSH 7.2 i koristi se po defaultu), ssh-ed25519 (podržan od OpenSSH 6.5) i ecdsa-sha2-nistp256/384 zasnovan na RFC521 ECDSA (podržano od OpenSSH 5656).

izvor: opennet.ru

Dodajte komentar