ProHoster > blog > newyddion rhyngrwyd > Rhyddhad OpenSSH 8.0

Rhyddhad OpenSSH 8.0

Ar ôl pum mis o ddatblygiad wedi'i gyflwyno rhyddhau OpenSSH 8.0, cleient agored a gweithrediad gweinydd ar gyfer gweithio trwy'r protocolau SSH 2.0 a SFTP.

Newidiadau mawr:

  • Mae cefnogaeth arbrofol ar gyfer dull cyfnewid allweddol sy'n gwrthsefyll ymosodiadau 'n Ysgrublaidd ar gyfrifiadur cwantwm wedi'i ychwanegu at ssh a sshd. Mae cyfrifiaduron cwantwm yn llawer cyflymach wrth ddatrys y broblem o ddadelfennu rhif naturiol yn ffactorau cysefin, sy'n sail i algorithmau amgryptio anghymesur modern ac ni ellir eu datrys yn effeithiol ar broseswyr clasurol. Mae'r dull arfaethedig yn seiliedig ar yr algorithm NTRU Prif (swyddogaeth ntrup4591761), a ddatblygwyd ar gyfer cryptosystems ôl-cwantwm, a'r dull cyfnewid allwedd cromlin eliptig X25519;
  • Yn sshd, nid yw'r cyfarwyddebau ListenAddress a PermitOpen bellach yn cefnogi'r gystrawen etifeddiaeth "gwesteiwr / porthladd", a weithredwyd yn 2001 fel dewis arall yn lle "host:port" i symleiddio gweithio gydag IPv6. Mewn amodau modern, mae'r gystrawen “[::6]:1” wedi'i sefydlu ar gyfer IPv22, ac mae “gwesteiwr/porth” yn aml yn cael ei ddrysu â nodi'r is-rwydwaith (CIDR);
  • ssh, ssh-asiant a ssh-ychwanegu yn awr cefnogi allweddi ECDSA mewn tocynnau PKCS#11;
  • Yn ssh-keygen, mae maint yr allwedd RSA rhagosodedig wedi'i gynyddu i 3072 bits, yn unol ag argymhellion newydd NIST;
  • mae ssh yn caniatáu defnyddio'r gosodiad "PKCS11Provider=dim" i ddiystyru cyfarwyddeb PKCS11Provider a nodir yn ssh_config;
  • Mae sshd yn darparu arddangosfa log o sefyllfaoedd pan fydd y cysylltiad yn cael ei derfynu wrth geisio gweithredu gorchmynion sydd wedi'u rhwystro gan y cyfyngiad “ForceCommand=internal-sftp” yn sshd_config;
  • Yn ssh, wrth arddangos cais i gadarnhau derbyniad allwedd gwesteiwr newydd, yn lle'r ymateb "ie", mae olion bysedd cywir yr allwedd bellach yn cael ei dderbyn (mewn ymateb i'r gwahoddiad i gadarnhau'r cysylltiad, gall y defnyddiwr gopïo'r hash cyfeirio a dderbyniwyd ar wahân trwy'r clipfwrdd, er mwyn peidio â'i gymharu â llaw);
  • mae ssh-keygen yn darparu cynyddiad awtomatig o rif dilyniant y dystysgrif wrth greu llofnodion digidol ar gyfer tystysgrifau lluosog ar y llinell orchymyn;
  • Mae opsiwn newydd "-J" wedi'i ychwanegu at scp a sftp, sy'n cyfateb i'r gosodiad ProxyJump;
  • Yn ssh-agent, ssh-pkcs11-helper a ssh-add, mae prosesu'r opsiwn llinell orchymyn “-v” wedi'i ychwanegu i gynyddu cynnwys gwybodaeth yr allbwn (pan nodir, trosglwyddir yr opsiwn hwn i brosesau plant, ar gyfer enghraifft, pan fydd ssh-pkcs11-helper yn cael ei alw gan ssh-agent );
  • Mae'r opsiwn “-T” wedi'i ychwanegu at ssh-add i brofi addasrwydd allweddi yn ssh-agent ar gyfer cyflawni gweithrediadau creu a dilysu llofnod digidol;
  • Mae sftp-server yn gweithredu cefnogaeth ar gyfer yr estyniad protocol “lsetstat at openssh.com”, sy'n ychwanegu cefnogaeth i weithrediad SSH2_FXP_SETSTAT ar gyfer SFTP, ond heb ddilyn dolenni symbolaidd;
  • Ychwanegwyd opsiwn "-h" i sftp i redeg gorchmynion chown/chgrp/chmod gyda cheisiadau nad ydynt yn defnyddio dolenni symbolaidd;
  • sshd yn darparu gosodiad y newidyn amgylchedd $SSH_CONNECTION ar gyfer PAM;
  • Ar gyfer sshd, mae modd paru "Match final" wedi'i ychwanegu at ssh_config, sy'n debyg i "Match canonical", ond nid oes angen normaleiddio enw gwesteiwr i'w alluogi;
  • Ychwanegwyd cefnogaeth i'r rhagddodiad '@' i sftp i analluogi cyfieithu allbwn y gorchmynion a weithredwyd yn y modd swp;
  • Pan fyddwch yn arddangos cynnwys tystysgrif gan ddefnyddio'r gorchymyn
    Mae "ssh-keygen -Lf /path/certificate" bellach yn dangos yr algorithm a ddefnyddir gan y CA i ddilysu'r dystysgrif;

  • Gwell cefnogaeth i amgylchedd Cygwin, er enghraifft darparu cymhariaeth achosion-sensitif o enwau grwpiau a defnyddwyr. Mae'r broses sshd ym mhorth Cygwin wedi'i newid i gygsshd er mwyn osgoi ymyrraeth â phorthladd OpenSSH a gyflenwir gan Microsoft;
  • Ychwanegwyd y gallu i adeiladu gyda'r gangen OpenSSL 3.x arbrofol;
  • Wedi'i ddileu bregusrwydd (CVE-2019-6111) wrth weithredu'r cyfleustodau scp, sy'n caniatáu i ffeiliau mympwyol yn y cyfeiriadur targed gael eu trosysgrifo ar ochr y cleient wrth gyrchu gweinydd a reolir gan ymosodwr. Y broblem yw bod y gweinydd, wrth ddefnyddio scp, yn penderfynu pa ffeiliau a chyfeiriaduron i'w hanfon at y cleient, ac mae'r cleient yn gwirio cywirdeb enwau'r gwrthrychau a ddychwelwyd yn unig. Mae gwirio ochr y cleient wedi'i gyfyngu i rwystro teithio y tu hwnt i'r cyfeiriadur cyfredol (“../”) yn unig, ond nid yw'n ystyried trosglwyddo ffeiliau ag enwau gwahanol i'r rhai y gofynnwyd amdanynt yn wreiddiol. Yn achos copïo ailadroddus (-r), yn ogystal ag enwau ffeiliau, gallwch hefyd drin enwau is-gyfeiriaduron mewn ffordd debyg. Er enghraifft, os yw'r defnyddiwr yn copïo ffeiliau i'r cyfeiriadur cartref, gall y gweinydd a reolir gan yr ymosodwr gynhyrchu ffeiliau gyda'r enwau .bash_aliases neu .ssh/authorized_keys yn lle'r ffeiliau y gofynnwyd amdanynt, a byddant yn cael eu cadw gan y cyfleustodau scp yn ffeil y defnyddiwr cyfeiriadur cartref.

    Yn y datganiad newydd, mae'r cyfleustodau scp wedi'i ddiweddaru i wirio'r ohebiaeth rhwng yr enwau ffeiliau y gofynnwyd amdanynt a'r rhai a anfonwyd gan y gweinydd, sy'n cael ei berfformio ar ochr y cleient. Gall hyn achosi problemau gyda phrosesu masgiau, oherwydd gall nodau ehangu masgiau gael eu prosesu'n wahanol ar ochr y gweinydd a'r cleient. Rhag ofn y bydd gwahaniaethau o'r fath yn achosi i'r cleient roi'r gorau i dderbyn ffeiliau yn scp, mae'r opsiwn "-T" wedi'i ychwanegu i analluogi gwirio ochr y cleient. Er mwyn cywiro'r broblem yn llawn, mae angen ail-weithio'r protocol scp yn gysyniadol, sydd ei hun eisoes wedi dyddio, felly argymhellir defnyddio protocolau mwy modern fel sftp a rsync yn lle hynny.

Ffynhonnell: opennet.ru

Ychwanegu sylw