ProHoster > Bloc > notícies d'internet > Versió d'OpenSSH 8.4

Versió d'OpenSSH 8.4

Després de quatre mesos de desenvolupament presentat llançament d'OpenSSH 8.4, una implementació de client i servidor obert per treballar amb els protocols SSH 2.0 i SFTP.

Principals canvis:

  • Canvis de seguretat:
    • A ssh-agent, quan s'utilitzen claus FIDO que no s'han creat per a l'autenticació SSH (l'identificador de clau no comença amb la cadena "ssh:"), ara comprova que el missatge es signarà mitjançant els mètodes utilitzats en el protocol SSH. El canvi no permetrà que ssh-agent sigui redirigit a amfitrions remots que tinguin claus FIDO per bloquejar la possibilitat d'utilitzar aquestes claus per generar signatures per a sol·licituds d'autenticació web (el cas invers, quan un navegador pot signar una sol·licitud SSH, s'exclou inicialment). a causa de l'ús del prefix "ssh:" a l'identificador de clau).
    • La generació de claus residents de ssh-keygen inclou suport per al complement credProtect descrit a l'especificació FIDO 2.1, que proporciona protecció addicional per a les claus requerint un PIN abans de realitzar qualsevol operació que pugui resultar en extreure la clau resident del testimoni.
  • Canvis de compatibilitat que poden trencar:
    • Per donar suport a FIDO/U2F, es recomana utilitzar la biblioteca libfido2 com a mínim la versió 1.5.0. La possibilitat d'utilitzar edicions anteriors s'ha implementat parcialment, però en aquest cas, funcions com ara les claus de resident, la sol·licitud de PIN i la connexió de diversos testimonis no estaran disponibles.
    • A ssh-keygen, les dades de l'autenticador necessàries per verificar les signatures digitals de confirmació s'han afegit al format de la informació de confirmació, opcionalment desada quan es genera una clau FIDO.
    • S'ha canviat l'API que s'utilitza quan OpenSSH interactua amb la capa per accedir als testimonis FIDO.
    • Quan es construeix una versió portàtil d'OpenSSH, ara es requereix automake per generar l'script de configuració i els fitxers de compilació que l'acompanyen (si es construeix a partir d'un fitxer tar de codi publicat, no cal regenerar la configuració).
  • S'ha afegit suport per a les claus FIDO que requereixen la verificació del PIN en ssh i ssh-keygen. Per generar claus amb PIN, s'ha afegit l'opció "verify-required" a ssh-keygen. Si s'utilitzen aquestes claus, abans de realitzar l'operació de creació de signatura, es demana a l'usuari que confirmi les seves accions introduint un codi PIN.
  • A sshd, l'opció "verify-required" s'implementa a la configuració authorized_keys, que requereix l'ús de capacitats per verificar la presència de l'usuari durant les operacions amb el testimoni. L'estàndard FIDO ofereix diverses opcions per a aquesta verificació, però actualment OpenSSH només admet la verificació basada en PIN.
  • sshd i ssh-keygen han afegit suport per verificar signatures digitals que compleixen l'estàndard FIDO Webauthn, que permet utilitzar les claus FIDO als navegadors web.
  • A ssh a la configuració de CertificateFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward и
    RemoteForward разрешена подстановка значений из переменных окружения, указанных в формате «${ENV}».

  • В ssh и ssh-agent добавлена поддержка переменной окружения $SSH_ASKPASS_REQUIRE, которую можно использовать для включения или отключения вызова ssh-askpass.
  • В ssh в ssh_config в директиве AddKeysToAgent добавлена возможность ограничения времени действия ключа. После истечения заданного лимита ключи автоматически удаляются из ssh-agent.
  • В scp и sftp при помощи флага «-A» теперь можно явно разрешить перенаправление в scp и sftp с использованием ssh-agent (по умолчанию перенаправление запрещено).
  • В настройках ssh добавлена поддержка подстановки ‘%k’, определяющей имя ключа хоста. Указанную возможность можно использовать для разнесения ключей по отдельным файлам (например, «UserKnownHostsFile ~/.ssh/known_hosts.d/%k»).
  • Разрешено использование операции «ssh-add -d -» для чтения из stdin ключей, которые подлежат удалению.
  • В sshd обеспечено отражение в логе начала и завершения процесса урезания соединений, регулируемого при помощи параметра MaxStartups.

Разработчики OpenSSH также напомнили о грядущем переводе в разряд устаревших алгоритмов, использующих хеши SHA-1, в связи с promoció l'efectivitat dels atacs de col·lisió amb un prefix determinat (el cost de seleccionar una col·lisió s'estima en aproximadament 45 mil dòlars). En un dels propers llançaments, tenen previst desactivar per defecte la possibilitat d'utilitzar l'algorisme de signatura digital de clau pública "ssh-rsa", que s'esmenta a l'RFC original per al protocol SSH i segueix estès a la pràctica (per provar l'ús). de ssh-rsa als vostres sistemes, podeu provar de connectar-vos mitjançant ssh amb l'opció "-oHostKeyAlgorithms=-ssh-rsa").

Для сглаживания перехода на новые алгоритмы в OpenSSH в следующем выпуске по умолчанию будет включена настройка UpdateHostKeys, которая позволит автоматически перевести клиентов на более надёжные алгоритмы. Среди рекомендуемых для миграции алгоритмов упомянуты rsa-sha2-256/512 на базе RFC8332 RSA SHA-2 (поддерживается с OpenSSH 7.2 и используется по умолчанию), ssh-ed25519 (поддерживается с OpenSSH 6.5) и ecdsa-sha2-nistp256/384/521 на базе RFC5656 ECDSA (поддерживается с OpenSSH 5.7).

Font: opennet.ru

Afegeix comentari