ProHoster > blog > newyddion rhyngrwyd > Rhyddhad OpenSSH 8.4

Rhyddhad OpenSSH 8.4

Ar ôl pedwar mis o ddatblygiad wedi'i gyflwyno rhyddhau OpenSSH 8.4, cleient agored a gweithrediad gweinydd ar gyfer gweithio gan ddefnyddio protocolau SSH 2.0 a SFTP.

Newidiadau mawr:

  • Newidiadau diogelwch:
    • Yn ssh-agent, wrth ddefnyddio allweddi FIDO na chawsant eu creu ar gyfer dilysu SSH (nid yw'r ID allweddol yn dechrau gyda'r llinyn "ssh:"), mae bellach yn gwirio y bydd y neges yn cael ei llofnodi gan ddefnyddio'r dulliau a ddefnyddir yn y protocol SSH. Ni fydd y newid yn caniatáu i ssh-agent gael ei ailgyfeirio i westeion pell sydd ag allweddi FIDO i rwystro'r gallu i ddefnyddio'r bysellau hyn i gynhyrchu llofnodion ar gyfer ceisiadau dilysu gwe (mae'r cefn, pan all porwr lofnodi cais SSH, wedi'i eithrio i ddechrau oherwydd y defnydd o'r rhagddodiad “ssh:” yn y dynodwr allweddol).
    • Mae cenhedlaeth allwedd preswyl ssh-keygen yn cynnwys cefnogaeth ar gyfer yr ychwanegyn credProtect a ddisgrifir yn y fanyleb FIDO 2.1, sy'n darparu amddiffyniad ychwanegol i allweddi trwy ofyn am PIN cyn cyflawni unrhyw weithrediad a allai arwain at dynnu'r allwedd breswyl o'r tocyn.
  • Newidiadau cydnawsedd o bosibl yn torri:
    • I gefnogi FIDO/U2F, argymhellir defnyddio'r llyfrgell libfido2 o leiaf fersiwn 1.5.0. Mae'r gallu i ddefnyddio rhifynnau hŷn wedi'i weithredu'n rhannol, ond yn yr achos hwn, ni fydd swyddogaethau fel allweddi preswylydd, cais PIN, a chysylltu tocynnau lluosog ar gael.
    • Yn ssh-keygen, mae'r data dilysydd sydd ei angen ar gyfer dilysu llofnodion digidol wedi'i ychwanegu at fformat y wybodaeth gadarnhau, wedi'i gadw'n ddewisol wrth gynhyrchu allwedd FIDO.
    • Mae'r API a ddefnyddir pan fydd OpenSSH yn rhyngweithio â'r haen ar gyfer cyrchu tocynnau FIDO wedi'i newid.
    • Wrth adeiladu fersiwn gludadwy o OpenSSH, mae angen awtomeiddio nawr i gynhyrchu'r sgript ffurfweddu a'r ffeiliau adeiladu cysylltiedig (os ydych chi'n adeiladu o ffeil tar cod cyhoeddedig, nid oes angen cyfluniad adfywio).
  • Ychwanegwyd cefnogaeth ar gyfer allweddi FIDO sydd angen dilysu PIN yn ssh a ssh-keygen. I gynhyrchu allweddi gyda PIN, mae'r opsiwn “gwirio-angenrheidiol” wedi'i ychwanegu at ssh-keygen. Os defnyddir allweddi o'r fath, cyn cyflawni'r gweithrediad creu llofnod, anogir y defnyddiwr i gadarnhau eu gweithredoedd trwy nodi cod PIN.
  • Yn sshd, mae'r opsiwn “gwirio-angenrheidiol” yn cael ei weithredu yn y gosodiad awdurdodedig_keys, sy'n gofyn am ddefnyddio galluoedd i wirio presenoldeb y defnyddiwr yn ystod gweithrediadau gyda'r tocyn. Mae safon FIDO yn darparu sawl opsiwn ar gyfer dilysu o'r fath, ond ar hyn o bryd dim ond dilysu ar sail PIN y mae OpenSSH yn ei gefnogi.
  • Mae sshd a ssh-keygen wedi ychwanegu cefnogaeth ar gyfer gwirio llofnodion digidol sy'n cydymffurfio â safon FIDO Webauthn, sy'n caniatáu i allweddi FIDO gael eu defnyddio mewn porwyr gwe.
  • Yn ssh yn y gosodiadau TystysgrifFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward a
    Mae RemoteForward yn caniatáu amnewid gwerthoedd o newidynnau amgylchedd a nodir yn y fformat "${ENV}".

  • Mae ssh a ssh-agent wedi ychwanegu cefnogaeth ar gyfer y newidyn amgylchedd $SSH_ASKPASS_REQUIRE, y gellir ei ddefnyddio i alluogi neu analluogi'r alwad ssh-askpass.
  • Yn ssh yn ssh_config yn y gyfarwyddeb AddKeysToAgent, mae'r gallu i gyfyngu ar gyfnod dilysrwydd allwedd wedi'i ychwanegu. Ar ôl i'r terfyn penodedig ddod i ben, caiff yr allweddi eu dileu'n awtomatig o ssh-agent.
  • Yn scp a sftp, gan ddefnyddio'r faner "-A", gallwch nawr ganiatáu ailgyfeirio i scp a sftp gan ddefnyddio ssh-agent (mae ailgyfeirio wedi'i analluogi yn ddiofyn).
  • Ychwanegwyd cefnogaeth ar gyfer amnewid '%k' mewn gosodiadau ssh, sy'n pennu enw'r bysell gwesteiwr. Gellir defnyddio'r nodwedd hon i ddosbarthu allweddi i ffeiliau ar wahân (er enghraifft, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • Caniatáu defnyddio'r gweithrediad "ssh-add -d -" i ddarllen bysellau o stdin sydd i'w dileu.
  • Yn sshd, adlewyrchir dechrau a diwedd y broses docio cysylltiad yn y log, a reoleiddir gan ddefnyddio'r paramedr MaxStartups.

Roedd datblygwyr OpenSSH hefyd yn cofio dadgomisiynu algorithmau sydd ar ddod gan ddefnyddio hashes SHA-1 oherwydd dyrchafiad effeithiolrwydd ymosodiadau gwrthdrawiad gyda rhagddodiad penodol (amcangyfrifir y gost o ddewis gwrthdrawiad tua 45 mil o ddoleri). Yn un o'r datganiadau sydd i ddod, maent yn bwriadu analluogi yn ddiofyn y gallu i ddefnyddio'r algorithm llofnod digidol allweddol cyhoeddus “ssh-rsa”, a grybwyllir yn y RFC gwreiddiol ar gyfer y protocol SSH ac sy'n parhau i fod yn eang yn ymarferol (i brofi'r defnydd o ssh-rsa yn eich systemau, gallwch geisio cysylltu trwy ssh gyda'r opsiwn “-oHostKeyAlgorithms= -ssh-rsa”).

Er mwyn llyfnhau'r newid i algorithmau newydd yn OpenSSH, bydd y datganiad nesaf yn galluogi'r gosodiad UpdateHostKeys yn ddiofyn, a fydd yn mudo cleientiaid yn awtomatig i algorithmau mwy dibynadwy. Mae'r algorithmau a argymhellir ar gyfer mudo yn cynnwys rsa-sha2-256/512 yn seiliedig ar RFC8332 RSA SHA-2 (a gefnogir ers OpenSSH 7.2 ac a ddefnyddir yn ddiofyn), ssh-ed25519 (a gefnogir ers OpenSSH 6.5) ac ecdsa-sha2-nistp256/384/521 seiliedig ar RFC5656 ECDSA (a gefnogir ers OpenSSH 5.7).

Ffynhonnell: opennet.ru

Ychwanegu sylw