Ar ôl pedwar mis o ddatblygiad, cyflwynwyd rhyddhau OpenSSH 8.7, gweithrediad agored cleient a gweinydd ar gyfer gweithio dros brotocolau SSH 2.0 a SFTP.
Newidiadau mawr:
- Mae modd trosglwyddo data arbrofol wedi'i ychwanegu at scp gan ddefnyddio'r protocol SFTP yn lle'r protocol SCP/RCP traddodiadol. Mae SFTP yn defnyddio dulliau trin enwau mwy rhagweladwy ac nid yw'n defnyddio prosesu cregyn o batrymau glob ar ochr y gwesteiwr arall, sy'n creu problemau diogelwch. Er mwyn galluogi SFTP yn scp, mae'r faner “-s” wedi'i chynnig, ond yn y dyfodol bwriedir newid i'r protocol hwn yn ddiofyn.
- Mae sftp-server yn gweithredu estyniadau i'r protocol SFTP i ehangu'r llwybrau ~/ a ~defnyddiwr/, sy'n angenrheidiol ar gyfer scp.
- Mae'r cyfleustodau scp wedi newid yr ymddygiad wrth gopïo ffeiliau rhwng dau westeiwr anghysbell (er enghraifft, “scp host-a:/path host-b:”), sydd bellach yn cael ei wneud yn ddiofyn trwy westeiwr lleol canolradd, fel wrth nodi'r “ -3” baner. Mae'r dull hwn yn caniatáu ichi osgoi trosglwyddo tystlythyrau diangen i'r gwesteiwr cyntaf a dehongliad triphlyg o enwau ffeiliau yn y gragen (ar ochr ffynhonnell, cyrchfan a system leol), ac wrth ddefnyddio SFTP, mae'n caniatáu ichi ddefnyddio'r holl ddulliau dilysu wrth gyrchu o bell gwesteiwyr, ac nid dulliau anrhyngweithiol yn unig . Mae'r opsiwn "-R" wedi'i ychwanegu i adfer yr hen ymddygiad.
- Ychwanegwyd gosodiad ForkAfterAuthentication i ssh sy'n cyfateb i'r faner "-f".
- Ychwanegwyd gosodiad StdinNull i ssh, sy'n cyfateb i'r faner "-n".
- Mae gosodiad SessionType wedi'i ychwanegu at ssh, lle gallwch chi osod moddau sy'n cyfateb i'r baneri “-N” (dim sesiwn) ac “-s” (is-system).
- Mae ssh-keygen yn caniatáu ichi nodi cyfwng dilysrwydd allweddol mewn ffeiliau allweddol.
- Ychwanegwyd baner "-Oprint-pubkey" i ssh-keygen i argraffu'r allwedd gyhoeddus lawn fel rhan o'r llofnod sshsig.
- Yn ssh a sshd, mae'r cleient a'r gweinydd wedi'u symud i ddefnyddio parser ffeil cyfluniad mwy cyfyngol sy'n defnyddio rheolau tebyg i gregyn ar gyfer trin dyfynbrisiau, bylchau a nodau dianc. Nid yw'r parser newydd ychwaith yn anwybyddu rhagdybiaethau a wnaed yn flaenorol, megis hepgor dadleuon mewn opsiynau (er enghraifft, ni ellir gadael cyfarwyddeb DenyUsers yn wag mwyach), dyfyniadau heb eu cau, a nodi lluosog = nodau.
- Wrth ddefnyddio cofnodion SSHFP DNS wrth wirio allweddi, mae ssh bellach yn gwirio'r holl gofnodion sy'n cyfateb, nid dim ond y rhai sy'n cynnwys math penodol o lofnod digidol.
- Yn ssh-keygen, wrth gynhyrchu allwedd FIDO gyda'r opsiwn -Ochallenge, mae'r haen adeiledig bellach yn cael ei defnyddio ar gyfer stwnsio, yn hytrach na libfido2, sy'n caniatáu defnyddio dilyniannau her sy'n fwy neu'n llai na 32 beit.
- Yn sshd, wrth brosesu cyfarwyddebau environment="..." mewn ffeiliau author_keys, mae'r cyfatebiad cyntaf bellach yn cael ei dderbyn ac mae terfyn o 1024 o enwau newidyn amgylchedd.
Rhybuddiodd datblygwyr OpenSSH hefyd am ddadelfennu algorithmau gan ddefnyddio hashes SHA-1 oherwydd effeithlonrwydd cynyddol ymosodiadau gwrthdrawiad gyda rhagddodiad penodol (amcangyfrifir bod cost dewis gwrthdrawiad tua 50 mil o ddoleri). Yn y datganiad nesaf, rydym yn bwriadu analluogi yn ddiofyn y gallu i ddefnyddio'r algorithm llofnod digidol allweddol cyhoeddus "ssh-rsa", a grybwyllwyd yn y RFC gwreiddiol ar gyfer y protocol SSH ac sy'n parhau i gael ei ddefnyddio'n eang yn ymarferol.
I brofi'r defnydd o ssh-rsa ar eich systemau, gallwch geisio cysylltu trwy ssh gyda'r opsiwn “-oHostKeyAlgorithms= -ssh-rsa”. Ar yr un pryd, nid yw analluogi llofnodion digidol “ssh-rsa” yn ddiofyn yn golygu rhoi’r gorau i ddefnyddio allweddi RSA yn llwyr, oherwydd yn ogystal â SHA-1, mae protocol SSH yn caniatáu defnyddio algorithmau cyfrifo hash eraill. Yn benodol, yn ogystal â “ssh-rsa”, bydd yn dal yn bosibl defnyddio’r bwndeli “rsa-sha2-256” (RSA/SHA256) a “rsa-sha2-512” (RSA/SHA512).
Er mwyn hwyluso'r newid i algorithmau newydd, roedd OpenSSH yn flaenorol wedi galluogi'r gosodiad UpdateHostKeys yn ddiofyn, sy'n caniatáu i gleientiaid newid yn awtomatig i algorithmau mwy dibynadwy. Gan ddefnyddio'r gosodiad hwn, mae estyniad protocol arbennig wedi'i alluogi "[e-bost wedi'i warchod]" , gan ganiatáu i'r gweinydd, ar ôl dilysu, hysbysu'r cleient am yr holl allweddi gwesteiwr sydd ar gael. Gall y cleient adlewyrchu'r allweddi hyn yn ei ffeil ~/.ssh/known_hosts, sy'n caniatáu i'r bysellau gwesteiwr gael eu diweddaru ac yn ei gwneud hi'n haws newid allweddi ar y gweinydd.
Mae'r defnydd o UpdateHostKeys wedi'i gyfyngu gan nifer o gafeatau y gellir eu dileu yn y dyfodol: rhaid cyfeirio at yr allwedd yn y UserKnownHostsFile ac ni ddylid ei defnyddio yn y GlobalKnownHostsFile; rhaid i'r allwedd fod yn bresennol o dan un enw yn unig; ni ddylid defnyddio tystysgrif allwedd gwesteiwr; mewn hysbys_hosts ni ddylid defnyddio masgiau yn ôl enw gwesteiwr; rhaid analluogi gosodiad VerifyHostKeyDNS; Rhaid i baramedr UserKnownHostsFile fod yn weithredol.
Mae'r algorithmau a argymhellir ar gyfer mudo yn cynnwys rsa-sha2-256/512 yn seiliedig ar RFC8332 RSA SHA-2 (a gefnogir ers OpenSSH 7.2 ac a ddefnyddir yn ddiofyn), ssh-ed25519 (a gefnogir ers OpenSSH 6.5) ac ecdsa-sha2-nistp256/384/521 seiliedig ar RFC5656 ECDSA (a gefnogir ers OpenSSH 5.7).
Ffynhonnell: opennet.ru