ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > OpenSSH 8.7 nga pagpagawas

OpenSSH 8.7 nga pagpagawas

Pagkahuman sa upat ka bulan nga pag-uswag, ang pagpagawas sa OpenSSH 8.7, usa ka bukas nga pagpatuman sa usa ka kliyente ug server alang sa pagtrabaho sa mga protocol sa SSH 2.0 ug SFTP, gipresentar.

Panguna nga mga pagbag-o:

  • Usa ka experimental data transfer mode ang gidugang sa scp gamit ang SFTP protocol imbes sa tradisyonal nga SCP/RCP protocol. Ang SFTP naggamit ug mas matag-an nga paagi sa pagdumala sa ngalan ug wala mogamit sa shell processing sa mga pattern sa glob sa pikas nga bahin sa host, nga nagmugna og mga problema sa seguridad. Aron mahimo ang SFTP sa scp, ang "-s" nga bandila gisugyot, apan sa umaabot kini giplano nga mobalhin niini nga protocol pinaagi sa default.
  • Ang sftp-server nagpatuman ug mga extension sa SFTP protocol aron mapalapad ang ~/ ug ~user/ nga mga agianan, nga gikinahanglan alang sa scp.
  • Ang scp utility nagbag-o sa pamatasan sa dihang nagkopya sa mga file tali sa duha ka hilit nga mga host (pananglitan, "scp host-a:/path host-b:"), nga nahimo na karon pinaagi sa default pinaagi sa intermediate local host, sama sa pagtino sa " -3” nga bandera. Kini nga pamaagi nagtugot kanimo sa paglikay sa pagpasa sa wala kinahanglana nga mga kredensyal ngadto sa unang host ug triple interpretasyon sa mga ngalan sa file sa kabhang (sa tinubdan, destinasyon ug lokal nga bahin sa sistema), ug sa diha nga ang paggamit sa SFTP, kini nagtugot kaninyo sa paggamit sa tanan nga mga pamaagi sa pag-authentication sa diha nga ang pag-access sa hilit. host, ug dili lang mga non-interactive nga pamaagi . Ang "-R" nga kapilian gidugang aron ibalik ang daan nga pamatasan.
  • Gidugang ang setting sa ForkAfterAuthentication sa ssh nga katumbas sa "-f" nga bandila.
  • Gidugang ang StdinNull setting sa ssh, katumbas sa "-n" nga bandila.
  • Usa ka setting sa SessionType ang gidugang sa ssh, diin mahimo nimong itakda ang mga mode nga katumbas sa "-N" (walay session) ug "-s" (subsystem) nga mga bandila.
  • Gitugotan ka sa ssh-keygen nga mahibal-an ang usa ka hinungdanon nga agwat sa balido sa mga yawe nga file.
  • Gidugang ang "-Oprint-pubkey" nga bandila sa ssh-keygen aron maimprinta ang tibuuk nga yawe sa publiko isip bahin sa pirma sa sshsig.
  • Sa ssh ug sshd, ang kliyente ug server gibalhin sa paggamit sa usa ka mas estrikto nga configuration file parser nga naggamit sa shell-like nga mga lagda alang sa pagdumala sa mga kinutlo, mga luna, ug mga karakter sa pag-ikyas. Wala usab ibaliwala sa bag-ong parser ang nauna nang gihimo nga mga pangagpas, sama sa pagtangtang sa mga argumento sa mga kapilian (pananglitan, ang direktiba sa DenyUsers dili na biyaan nga walay sulod), wala masira nga mga kinutlo, ug pagpiho sa daghang = mga karakter.
  • Kung gigamit ang mga rekord sa SSHFP DNS sa pag-verify sa mga yawe, gisusi karon sa ssh ang tanan nga managsama nga mga rekord, dili lamang ang adunay usa ka piho nga tipo sa digital nga pirma.
  • Sa ssh-keygen, kung maghimo usa ka FIDO key nga adunay kapilian nga -Ochallenge, ang built-in nga layer gigamit na karon alang sa pag-hash, kaysa sa libfido2, nga nagtugot sa paggamit sa mga han-ay sa hagit nga mas dako o mas gamay sa 32 bytes.
  • Sa sshd, kung giproseso ang environment="..." nga mga direktiba sa mga authorized_keys nga mga file, ang unang tugma gidawat na karon ug adunay limitasyon sa 1024 environment variable names.

Gipasidan-an usab sa mga developer sa OpenSSH ang bahin sa pagkadunot sa mga algorithm gamit ang SHA-1 nga mga hash tungod sa dugang nga kahusayan sa mga pag-atake sa pagbangga nga adunay gihatag nga prefix (ang gasto sa pagpili sa usa ka bangga gibanabana nga gibana-bana nga 50 ka libo nga dolyar). Sa sunod nga pagpagawas, nagplano kami nga i-disable pinaagi sa default ang abilidad sa paggamit sa public key digital signature algorithm "ssh-rsa", nga gihisgutan sa orihinal nga RFC alang sa SSH protocol ug nagpabilin nga kaylap nga gigamit sa praktis.

Aron masulayan ang paggamit sa ssh-rsa sa imong mga sistema, mahimo nimong sulayan ang pagkonektar pinaagi sa ssh gamit ang kapilian nga "-oHostKeyAlgorithms=-ssh-rsa". Sa samang higayon, ang pag-disable sa "ssh-rsa" nga mga digital nga pirma pinaagi sa default wala magpasabot sa usa ka kompleto nga pagbiya sa paggamit sa RSA nga mga yawe, tungod kay dugang sa SHA-1, ang SSH protocol nagtugot sa paggamit sa uban nga hash nga mga algorithm sa pagkalkula. Sa partikular, dugang sa "ssh-rsa", magpabilin nga posible nga gamiton ang "rsa-sha2-256" (RSA/SHA256) ug "rsa-sha2-512" (RSA/SHA512) nga mga bundle.

Aron mapahapsay ang transisyon sa bag-ong mga algorithm, ang OpenSSH kaniadto adunay setting sa UpdateHostKeys nga gipagana pinaagi sa default, nga nagtugot sa mga kliyente nga awtomatiko nga magbalhin sa mas kasaligan nga mga algorithm. Gigamit kini nga setting, usa ka espesyal nga extension sa protocol ang gipagana "[protektado sa email]", nagtugot sa server, human sa pag-authentication, sa pagpahibalo sa kliyente mahitungod sa tanang anaa nga mga yawe sa host. Ang kliyente mahimong magpakita niini nga mga yawe sa iyang ~/.ssh/known_hosts file, nga nagtugot sa mga yawe sa host nga ma-update ug makapasayon ​​sa pag-ilis sa mga yawe sa server.

Ang paggamit sa UpdateHostKeys gilimitahan sa daghang mga caveat nga mahimong tangtangon sa umaabot: ang yawe kinahanglan nga i-reference sa UserKnownHostsFile ug dili gamiton sa GlobalKnownHostsFile; ang yawe kinahanglang anaa ubos sa usa lamang ka ngalan; ang usa ka host key certificate kinahanglan dili gamiton; sa known_hosts masks sa host name dili angay gamiton; ang VerifyHostKeyDNS setting kinahanglan nga disable; Kinahanglan nga aktibo ang parameter sa UserKnownHostsFile.

Ang girekomendar nga mga algorithm alang sa paglalin naglakip sa rsa-sha2-256/512 base sa RFC8332 RSA SHA-2 (gisuportahan sukad sa OpenSSH 7.2 ug gigamit sa default), ssh-ed25519 (gisuportahan sukad sa OpenSSH 6.5) ug ecdsa-sha2-nistp256/384/521 base sa RFC5656 ECDSA (gisuportahan sukad sa OpenSSH 5.7).

Source: opennet.ru

Idugang sa usa ka comment