Dopu quattru mesi di sviluppu, a liberazione di OpenSSH 8.7, una implementazione aperta di un cliente è servitore per travaglià nantu à i protokolli SSH 2.0 è SFTP, hè stata presentata.
I cambiamenti principali:
- Un modu di trasferimentu di dati sperimentale hè statu aghjuntu à scp utilizendu u protocolu SFTP invece di u protocolu tradiziunale SCP / RCP. SFTP usa metudi di gestione di nomi più prevedibili è ùn usa micca a trasfurmazioni di cunchiglia di mudelli globu da l'altru host, chì crea prublemi di sicurezza. Per attivà SFTP in scp, a bandiera "-s" hè stata pruposta, ma in u futuru hè previstu di cambià à stu protokollu per automaticamente.
- sftp-server implementa estensioni à u protocolu SFTP per espansione i percorsi ~/ è ~user/, chì hè necessariu per scp.
- L'utilità scp hà cambiatu u cumpurtamentu quandu copianu i fugliali trà dui ospiti remoti (per esempiu, "scp host-a:/path host-b:"), chì hè avà fattu per automaticamente attraversu un host locale intermediu, cum'è quandu si specifica u " -3 "bandiera. Stu approcciu permette di evità di passà credenziali innecessarii à u primu òspite è a tripla interpretazione di i nomi di i schedari in a cunchiglia (nantu à a fonte, a destinazione è u sistema lucale), è quandu utilizate SFTP, vi permette di utilizà tutti i metudi di autentificazione quandu accede à distanza. ospiti, è micca solu metudi non-interattivi. L'opzione "-R" hè stata aghjunta per restaurà u vechju cumpurtamentu.
- Aggiunta l'impostazione ForkAfterAuthentication à ssh currispondente à a bandiera "-f".
- Aggiuntu StdinNull setting à ssh, currispundenti à a bandiera "-n".
- Un paràmetru SessionType hè statu aghjuntu à ssh, per mezu di quale pudete stabilisce modi currispondenti à i bandieri "-N" (senza sessione) è "-s" (sottosistema).
- ssh-keygen permette di specificà un intervalu di validità chjave in i schedarii chjave.
- Aghjunghje a bandiera "-Oprint-pubkey" à ssh-keygen per stampà a chjave publica sana cum'è parte di a firma sshsig.
- In ssh è sshd, u cliente è u servitore sò stati spustati per utilizà un parser di file di cunfigurazione più restrittivu chì usa regule cum'è shell per a gestione di quote, spazii è caratteri di fuga. U novu parser ùn ignora ancu l'assunzioni fatte in precedenza, cum'è l'omissione di l'argumenti in l'opzioni (per esempiu, a direttiva DenyUsers ùn pò più esse lasciata viota), quotes unclosed, è specificà multiple = caratteri.
- Quandu aduprate i registri DNS SSHFP durante a verificazione di e chjave, ssh verifica avà tutti i registri currispondenti, micca solu quelli chì cuntenenu un tipu specificu di firma digitale.
- In ssh-keygen, quandu si genera una chjave FIDO cù l'opzione -Ochallenge, a capa integrata hè issa aduprata per l'hashing, invece di libfido2, chì permette l'usu di sequenze di sfida più grande o più chjuca di 32 bytes.
- In sshd, quandu u processu di l'ambienti = "..." direttive in i schedari authorized_keys, a prima partita hè avà accettata è ci hè un limitu di 1024 nomi di variabile d'ambiente.
I sviluppatori OpenSSH anu avvistatu ancu nantu à a descomposizione di l'algoritmi chì utilizanu SHA-1 hashes per via di l'efficienza aumentata di l'attacchi di collisione cù un prefissu datu (u costu di selezzione di una collisione hè stimatu à circa 50 mila dollari). In a prossima versione, pensemu di disattivà per automaticamente a capacità di utilizà l'algoritmu di signatura digitale di chjave publica "ssh-rsa", chì hè statu citatu in u RFC originale per u protocolu SSH è ferma largamente utilizatu in a pratica.
Per pruvà l'usu di ssh-rsa in i vostri sistemi, pudete pruvà à cunnette via ssh cù l'opzione "-oHostKeyAlgorithms=-ssh-rsa". À u listessu tempu, a disattivazione di e firma digitale "ssh-rsa" per automaticamente ùn significa micca un abbandunamentu cumpletu di l'usu di e chjave RSA, postu chì in più di SHA-1, u protocolu SSH permette l'usu di altri algoritmi di calculu hash. In particulare, in più di "ssh-rsa", resterà pussibule di utilizà "rsa-sha2-256" (RSA/SHA256) è "rsa-sha2-512" (RSA/SHA512).
Per liscia a transizione à novi algoritmi, OpenSSH avia prima l'impostazione UpdateHostKeys attivata per automaticamente, chì permette à i clienti di cambià automaticamente à algoritmi più affidabili. Utilizendu sta paràmetru, una estensione di protocolu speciale hè attivata "[email prutettu]", chì permette à u servitore, dopu l'autentificazione, informà u cliente nantu à tutte e chjave di l'ospiti dispunibili. U cliente pò riflette sti chjavi in u so schedariu ~/.ssh/known_hosts, chì permette à i chjavi di l'ospiti per esse aghjurnati è facenu più faciule per cambià e chjave in u servitore.
L'usu di UpdateHostKeys hè limitatu da parechji caveats chì ponu esse eliminati in u futuru: a chjave deve esse riferita in u UserKnownHostsFile è micca utilizatu in u GlobalKnownHostsFile; a chjave deve esse presente sottu un solu nome; un certificatu di chjave d'ospite ùn deve esse usatu; in known_hosts maschere per nome d'ospiti ùn deve esse usatu; l'impostazione VerifyHostKeyDNS deve esse disattivata; U paràmetru UserKnownHostsFile deve esse attivu.
L'algoritmi cunsigliati per a migrazione includenu rsa-sha2-256/512 basatu in RFC8332 RSA SHA-2 (supportatu da OpenSSH 7.2 è utilizatu per difettu), ssh-ed25519 (supportatu da OpenSSH 6.5) è ecdsa-sha2-nistp256/384 basatu. nantu à RFC521 ECDSA (supportatu da OpenSSH 5656).
Source: opennet.ru