ProHoster > Bloc > notícies d'internet > Versió d'OpenSSH 8.0

Versió d'OpenSSH 8.0

Després de cinc mesos de desenvolupament presentat alliberament OpenSSH 8.0, una implementació oberta de client i servidor per treballar mitjançant els protocols SSH 2.0 i SFTP.

Principals canvis:

  • S'ha afegit a ssh i sshd suport experimental per a un mètode d'intercanvi de claus resistent als atacs de força bruta en un ordinador quàntic. Els ordinadors quàntics són radicalment més ràpids a l'hora de resoldre el problema de descompondre un nombre natural en factors primers, que subjau als algorismes de xifratge asimètrics moderns i que no es poden resoldre eficaçment amb els processadors clàssics. El mètode proposat es basa en l'algorisme NTRU Prime (funció ntrup4591761), desenvolupat per a criptosistemes postquàntics i el mètode d'intercanvi de claus de corba el·líptica X25519;
  • A sshd, les directives ListenAddress i PermitOpen ja no admeten la sintaxi heretada "amfitrió/port", que es va implementar el 2001 com a alternativa a "amfitrió:port" per simplificar el treball amb IPv6. En condicions modernes, la sintaxi “[::6]:1” s'ha establert per a IPv22, i sovint es confon “amfitrió/port” amb indicar la subxarxa (CIDR);
  • ssh, ssh-agent i ssh-add ara admeten claus ECDSA en fitxes PKCS#11;
  • A ssh-keygen, la mida predeterminada de la clau RSA s'ha augmentat a 3072 bits, d'acord amb les noves recomanacions del NIST;
  • ssh permet l'ús de la configuració "PKCS11Provider=none" per anul·lar la directiva PKCS11Provider especificada a ssh_config;
  • sshd proporciona una visualització de registre de situacions en què s'acaba la connexió quan s'intenta executar ordres bloquejades per la restricció "ForceCommand=internal-sftp" a sshd_config;
  • En ssh, quan es mostra una sol·licitud per confirmar l'acceptació d'una nova clau d'amfitrió, en lloc de la resposta "sí", ara s'accepta l'empremta digital correcta de la clau (en resposta a la invitació per confirmar la connexió, l'usuari pot copiar la hash de referència rebut per separat a través del porta-retalls, per no comparar-lo manualment);
  • ssh-keygen proporciona un increment automàtic del número de seqüència del certificat quan es creen signatures digitals per a diversos certificats a la línia d'ordres;
  • S'ha afegit una nova opció "-J" a scp i sftp, equivalent a la configuració de ProxyJump;
  • A ssh-agent, ssh-pkcs11-helper i ssh-add, s'ha afegit el processament de l'opció de línia d'ordres "-v" per augmentar el contingut d'informació de la sortida (quan s'especifica, aquesta opció es passa als processos secundaris, per exemple, quan ssh-pkcs11-helper es crida des de ssh-agent);
  • S'ha afegit l'opció "-T" a ssh-add per provar la idoneïtat de les claus a ssh-agent per realitzar operacions de creació i verificació de signatura digital;
  • sftp-server implementa suport per a l'extensió de protocol "lsetstat at openssh.com", que afegeix suport per a l'operació SSH2_FXP_SETSTAT per a SFTP, però sense seguir enllaços simbòlics;
  • S'ha afegit l'opció "-h" a sftp per executar ordres chown/chgrp/chmod amb peticions que no utilitzen enllaços simbòlics;
  • sshd proporciona la configuració de la variable d'entorn $SSH_CONNECTION per a PAM;
  • Per a sshd, s'ha afegit un mode de concordança "Match final" a ssh_config, que és similar a "Match canonical", però no requereix que la normalització del nom d'amfitrió estigui habilitada;
  • S'ha afegit suport per al prefix '@' a sftp per desactivar la traducció de la sortida de les ordres executades en mode per lots;
  • Quan mostreu el contingut d'un certificat mitjançant l'ordre
    "ssh-keygen -Lf /path/certificate" ara mostra l'algorisme utilitzat per la CA per validar el certificat;

  • Suport millorat per a l'entorn Cygwin, per exemple, proporcionant una comparació sense distinció de majúscules i minúscules de noms de grup i d'usuari. El procés sshd al port Cygwin s'ha canviat a cygsshd per evitar interferències amb el port OpenSSH subministrat per Microsoft;
  • S'ha afegit la possibilitat de construir amb la branca experimental OpenSSL 3.x;
  • Eliminat vulnerabilitat (CVE-2019-6111) en la implementació de la utilitat scp, que permet sobreescriure fitxers arbitraris del directori de destinació al costat del client quan s'accedeix a un servidor controlat per un atacant. El problema és que quan s'utilitza scp, el servidor decideix quins fitxers i directoris enviarà al client, i el client només comprova la correcció dels noms d'objectes retornats. La comprovació del client es limita a bloquejar només els viatges més enllà del directori actual ("../"), però no té en compte la transferència de fitxers amb noms diferents dels sol·licitats originalment. En el cas de la còpia recursiva (-r), a més dels noms de fitxers, també podeu manipular els noms dels subdirectoris de manera similar. Per exemple, si l'usuari copia fitxers al directori d'inici, el servidor controlat per l'atacant pot produir fitxers amb els noms .bash_aliases o .ssh/authorized_keys en comptes dels fitxers sol·licitats, i la utilitat scp els desarà al fitxer de l'usuari. directori d'inici.

    En la nova versió, la utilitat scp s'ha actualitzat per comprovar la correspondència entre els noms de fitxer sol·licitats i els enviats pel servidor, que es realitza a la part del client. Això pot causar problemes amb el processament de la màscara, ja que els caràcters d'expansió de màscara es poden processar de manera diferent als costats del servidor i del client. En cas que aquestes diferències facin que el client deixi d'acceptar fitxers a scp, s'ha afegit l'opció "-T" per desactivar la comprovació del costat del client. Per corregir completament el problema, cal una reelaboració conceptual del protocol scp, que ja està obsolet, per la qual cosa es recomana utilitzar protocols més moderns com sftp i rsync.

Font: opennet.ru

Afegeix comentari