ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > OpenSSH 8.4 nga pagpagawas

OpenSSH 8.4 nga pagpagawas

Human sa upat ka bulan sa kalamboan gipresentar pagpagawas sa OpenSSH 8.4, usa ka bukas nga kliyente ug pagpatuman sa server alang sa pagtrabaho gamit ang SSH 2.0 ug SFTP nga mga protocol.

Panguna nga mga pagbag-o:

  • Mga pagbag-o sa seguridad:
    • Sa ssh-agent, kung gamiton ang FIDO keys nga wala gibuhat para sa SSH authentication (ang key ID wala magsugod sa string "ssh:"), kini karon nagsusi nga ang mensahe mapirmahan gamit ang mga pamaagi nga gigamit sa SSH protocol. Ang pagbag-o dili magtugot sa ssh-agent nga ma-redirect ngadto sa hilit nga mga host nga adunay FIDO keys aron babagan ang abilidad sa paggamit niini nga mga yawe aron makamugna og mga pirma alang sa web authentication requests (ang reverse case, kung ang usa ka browser makapirma sa usa ka SSH request, sa sinugdan wala iapil tungod sa paggamit sa "ssh:" prefix sa key identifier).
    • Ang resident key generation sa ssh-keygen naglakip sa suporta alang sa credProtect add-on nga gihulagway sa FIDO 2.1 specification, nga naghatag ug dugang nga proteksyon sa mga yawe pinaagi sa pagpangayo ug PIN sa dili pa mohimo sa bisan unsang operasyon nga mahimong moresulta sa pagkuha sa resident key gikan sa token.
  • Posible nga makaguba sa mga pagbag-o sa pagkaangay:
    • Aron suportahan ang FIDO/U2F, girekomendar nga gamiton ang librarya sa libfido2 labing menos bersyon 1.5.0. Ang abilidad sa paggamit sa mas daan nga mga edisyon partially gipatuman, apan sa niini nga kaso, ang mga function sama sa residente yawe, PIN hangyo, ug pagkonektar sa daghang mga token dili magamit.
    • Sa ssh-keygen, ang data sa authenticator nga gikinahanglan alang sa pagmatuod sa pagkumpirma sa mga digital nga pirma gidugang sa pormat sa impormasyon sa pagkumpirma, opsyonal nga gitipigan sa dihang nagmugna og FIDO nga yawe.
    • Ang API nga gigamit sa dihang ang OpenSSH nakig-interact sa layer para sa pag-access sa mga token sa FIDO nausab.
    • Kung magtukod ug madaladala nga bersyon sa OpenSSH, gikinahanglan na ang automake aron makamugna ang script sa pag-configure ug nag-uban nga mga file sa pagtukod (kon ang pagtukod gikan sa usa ka gipatik nga code nga tar file, dili kinahanglan ang pagbag-o sa pag-configure).
  • Gidugang nga suporta alang sa mga yawe sa FIDO nga nanginahanglan pag-verify sa PIN sa ssh ug ssh-keygen. Aron makamugna og mga yawe nga adunay PIN, ang opsyon nga "gikinahanglan nga pag-verify" gidugang sa ssh-keygen. Kung gigamit ang ingon nga mga yawe, sa wala pa ipahigayon ang operasyon sa paghimo sa pirma, ang tiggamit giaghat sa pagkumpirma sa ilang mga aksyon pinaagi sa pagsulod sa usa ka PIN code.
  • Sa sshd, ang kapilian nga "gikinahanglan nga pag-verify" gipatuman sa setting nga awtorisado_keys, nga nanginahanglan paggamit sa mga kapabilidad aron mapamatud-an ang presensya sa tiggamit sa panahon sa mga operasyon nga adunay token. Ang FIDO nga sumbanan naghatag daghang mga kapilian alang sa ingon nga pag-verify, apan sa pagkakaron ang OpenSSH nagsuporta lamang sa PIN-based nga verification.
  • Ang sshd ug ssh-keygen adunay dugang nga suporta alang sa pag-verify sa mga digital nga pirma nga nagsunod sa FIDO Webauthn standard, nga nagtugot sa FIDO keys nga magamit sa mga web browser.
  • Sa ssh sa mga setting sa CertificateFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward ug
    Gitugotan sa RemoteForward ang pag-ilis sa mga kantidad gikan sa mga variable sa palibot nga gitakda sa format nga "${ENV}".

  • Ang ssh ug ssh-agent adunay dugang nga suporta alang sa $SSH_ASKPASS_REQUIRE nga variable sa palibot, nga magamit aron mahimo o ma-disable ang ssh-askpass nga tawag.
  • Sa ssh sa ssh_config sa AddKeysToAgent nga direktiba, ang abilidad nga limitahan ang panahon sa balido sa usa ka yawe gidugang. Pagkahuman sa gitakda nga limitasyon, ang mga yawe awtomatiko nga mapapas gikan sa ssh-agent.
  • Sa scp ug sftp, gamit ang "-A" nga bandera, mahimo nimong hayag nga tugotan ang redirection sa scp ug sftp gamit ang ssh-agent (ang redirection gi-disable pinaagi sa default).
  • Gidugang nga suporta alang sa '%k' nga pagpuli sa mga setting sa ssh, nga nagtino sa ngalan sa yawe sa host. Kini nga bahin mahimong magamit sa pag-apod-apod sa mga yawe ngadto sa lain nga mga file (pananglitan, "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
  • Tugoti ang paggamit sa "ssh-add -d -" nga operasyon sa pagbasa sa mga yawe gikan sa stdin nga papason.
  • Sa sshd, ang pagsugod ug pagtapos sa proseso sa pagpul-ong sa koneksyon gipakita sa log, gi-regulate gamit ang parameter nga MaxStartups.

Ang OpenSSH developers usab nahinumdom sa umaabot nga decommissioning sa algorithms gamit SHA-1 hash tungod sa promosyon ang pagka-epektibo sa mga pag-atake sa pagbangga nga adunay gihatag nga prefix (ang gasto sa pagpili sa usa ka bangga gibanabana nga gibana-bana nga 45 ka libo nga dolyar). Sa usa sa mga umaabot nga pagpagawas, sila nagplano sa pag-disable pinaagi sa default ang abilidad sa paggamit sa public key digital signature algorithm "ssh-rsa", nga gihisgutan sa orihinal nga RFC alang sa SSH protocol ug nagpabilin nga kaylap sa praktis (sa pagsulay sa paggamit sa ssh-rsa sa imong mga sistema, mahimo nimong sulayan ang pagkonektar pinaagi sa ssh nga adunay kapilian nga "-oHostKeyAlgorithm=-ssh-rsa").

Aron mapahapsay ang transisyon ngadto sa bag-ong mga algorithm sa OpenSSH, ang sunod nga pagpagawas makapahimo sa UpdateHostKeys setting pinaagi sa default, nga awtomatikong mobalhin sa mga kliyente ngadto sa mas kasaligan nga mga algorithm. Ang girekomendar nga mga algorithm alang sa paglalin naglakip sa rsa-sha2-256/512 base sa RFC8332 RSA SHA-2 (gisuportahan sukad sa OpenSSH 7.2 ug gigamit sa default), ssh-ed25519 (gisuportahan sukad sa OpenSSH 6.5) ug ecdsa-sha2-nistp256/384/521 base sa RFC5656 ECDSA (gisuportahan sukad sa OpenSSH 5.7).

Source: opennet.ru

Idugang sa usa ka comment