Μετά από πέντε μήνες ανάπτυξης απελευθέρωση , μια εφαρμογή ανοιχτού πελάτη και διακομιστή για εργασία μέσω των πρωτοκόλλων SSH 2.0 και SFTP.
Βασικές αλλαγές:
- Στο ssh και στο sshd έχει προστεθεί πειραματική υποστήριξη για μια μέθοδο ανταλλαγής κλειδιών που είναι ανθεκτική σε επιθέσεις ωμής βίας σε κβαντικό υπολογιστή. Οι κβαντικοί υπολογιστές είναι ριζικά πιο γρήγοροι στην επίλυση του προβλήματος της αποσύνθεσης ενός φυσικού αριθμού σε πρώτους παράγοντες, κάτι που αποτελεί τη βάση των σύγχρονων αλγορίθμων ασύμμετρης κρυπτογράφησης και δεν μπορεί να επιλυθεί αποτελεσματικά σε κλασικούς επεξεργαστές. Η προτεινόμενη μέθοδος βασίζεται στον αλγόριθμο (συνάρτηση ntrup4591761), που αναπτύχθηκε για μετακβαντικά κρυπτοσυστήματα και τη μέθοδο ανταλλαγής κλειδιών ελλειπτικής καμπύλης X25519.
- Στο sshd, οι οδηγίες ListenAddress και PermitOpen δεν υποστηρίζουν πλέον τη σύνταξη παλαιού τύπου "host/port", η οποία εφαρμόστηκε το 2001 ως εναλλακτική λύση στο "host:port" για την απλοποίηση της εργασίας με το IPv6. Στις σύγχρονες συνθήκες, η σύνταξη "[::6]:1" έχει καθιερωθεί για το IPv22 και το "host/port" συχνά συγχέεται με την ένδειξη του υποδικτύου (CIDR).
- Τα κλειδιά ssh, ssh-agent και ssh-add τώρα υποστηρίζουν σε διακριτικά PKCS#11.
- Στο ssh-keygen, το προεπιλεγμένο μέγεθος κλειδιού RSA έχει αυξηθεί στα 3072 bit, σύμφωνα με τις νέες συστάσεις του NIST.
- Το ssh επιτρέπει τη χρήση της ρύθμισης "PKCS11Provider=none" για την παράκαμψη της οδηγίας PKCS11Provider που καθορίζεται στο ssh_config.
- Το sshd παρέχει μια εμφάνιση καταγραφής καταστάσεων όταν η σύνδεση τερματίζεται κατά την προσπάθεια εκτέλεσης εντολών που αποκλείονται από τον περιορισμό "ForceCommand=internal-sftp" στο sshd_config.
- Στο ssh, όταν εμφανίζεται ένα αίτημα για επιβεβαίωση της αποδοχής ενός νέου κλειδιού κεντρικού υπολογιστή, αντί για την απάντηση «ναι», γίνεται πλέον αποδεκτό το σωστό δακτυλικό αποτύπωμα του κλειδιού (σε απάντηση στην πρόσκληση για επιβεβαίωση της σύνδεσης, ο χρήστης μπορεί να αντιγράψει το ελήφθη χωριστά κατακερματισμός αναφοράς μέσω του προχείρου, ώστε να μην το συγκρίνετε χειροκίνητα).
- Το ssh-keygen παρέχει αυτόματη αύξηση του αριθμού ακολουθίας πιστοποιητικών κατά τη δημιουργία ψηφιακών υπογραφών για πολλαπλά πιστοποιητικά στη γραμμή εντολών.
- Μια νέα επιλογή "-J" προστέθηκε στα scp και sftp, ισοδύναμη με τη ρύθμιση ProxyJump.
- Στο ssh-agent, ssh-pkcs11-helper και ssh-add, η επεξεργασία της επιλογής γραμμής εντολών "-v" έχει προστεθεί για να αυξηθεί το περιεχόμενο πληροφοριών της εξόδου (όταν έχει καθοριστεί, αυτή η επιλογή μεταβιβάζεται σε θυγατρικές διεργασίες, για Για παράδειγμα, όταν καλείται το ssh-pkcs11-helper από το ssh-agent );
- Η επιλογή "-T" προστέθηκε στο ssh-add για να ελέγξει την καταλληλότητα των κλειδιών στο ssh-agent για την εκτέλεση εργασιών δημιουργίας και επαλήθευσης ψηφιακής υπογραφής.
- Ο sftp-server υλοποιεί υποστήριξη για την επέκταση πρωτοκόλλου "lsetstat at openssh.com", η οποία προσθέτει υποστήριξη για τη λειτουργία SSH2_FXP_SETSTAT για SFTP, αλλά χωρίς να ακολουθεί συμβολικούς συνδέσμους.
- Προστέθηκε η επιλογή "-h" στο sftp για εκτέλεση εντολών chown/chgrp/chmod με αιτήματα που δεν χρησιμοποιούν συμβολικούς συνδέσμους.
- Το sshd παρέχει ρύθμιση της μεταβλητής περιβάλλοντος $SSH_CONNECTION για το PAM.
- Για το sshd, έχει προστεθεί μια λειτουργία αντιστοίχισης "Τελικός αγώνας" στο ssh_config, ο οποίος είναι παρόμοιος με το "Match canonical", αλλά δεν απαιτεί την ενεργοποίηση της κανονικοποίησης ονόματος κεντρικού υπολογιστή.
- Προστέθηκε υποστήριξη για το πρόθεμα '@' στο sftp για να απενεργοποιήσετε τη μετάφραση της εξόδου των εντολών που εκτελούνται σε λειτουργία δέσμης.
- Όταν εμφανίζετε τα περιεχόμενα ενός πιστοποιητικού χρησιμοποιώντας την εντολή
Το "ssh-keygen -Lf /path/certificate" εμφανίζει τώρα τον αλγόριθμο που χρησιμοποιείται από την ΑΠ για την επικύρωση του πιστοποιητικού. - Βελτιωμένη υποστήριξη για το περιβάλλον Cygwin, για παράδειγμα παρέχοντας σύγκριση ονομάτων ομάδων και χρηστών χωρίς διάκριση πεζών-κεφαλαίων. Η διαδικασία sshd στη θύρα Cygwin έχει αλλάξει σε cygsshd για να αποφευχθούν παρεμβολές στη θύρα OpenSSH που παρέχεται από τη Microsoft.
- Προστέθηκε η δυνατότητα δημιουργίας με τον πειραματικό κλάδο OpenSSL 3.x.
- Αποκλείστηκε (CVE-2019-6111) στην υλοποίηση του βοηθητικού προγράμματος scp, το οποίο επιτρέπει την αντικατάσταση αυθαίρετων αρχείων στον κατάλογο προορισμού στην πλευρά του πελάτη κατά την πρόσβαση σε διακομιστή που ελέγχεται από εισβολέα. Το πρόβλημα είναι ότι όταν χρησιμοποιείται scp, ο διακομιστής αποφασίζει ποια αρχεία και καταλόγους θα στείλει στον πελάτη και ο πελάτης ελέγχει μόνο την ορθότητα των ονομάτων αντικειμένων που επιστρέφονται. Ο έλεγχος από την πλευρά του πελάτη περιορίζεται μόνο στον αποκλεισμό ταξιδιών πέρα από τον τρέχοντα κατάλογο (../”), αλλά δεν λαμβάνει υπόψη τη μεταφορά αρχείων με ονόματα διαφορετικά από αυτά που ζητήθηκαν αρχικά. Στην περίπτωση της αναδρομικής αντιγραφής (-r), εκτός από τα ονόματα αρχείων, μπορείτε επίσης να χειριστείτε τα ονόματα των υποκαταλόγων με παρόμοιο τρόπο. Για παράδειγμα, εάν ο χρήστης αντιγράψει αρχεία στον αρχικό κατάλογο, ο διακομιστής που ελέγχεται από τον εισβολέα μπορεί να παράγει αρχεία με τα ονόματα .bash_aliases ή .ssh/authorized_keys αντί για τα ζητούμενα αρχεία και θα αποθηκευτούν από το βοηθητικό πρόγραμμα scp στο βοηθητικό πρόγραμμα του χρήστη οικιακό κατάλογο.
Στη νέα έκδοση, το βοηθητικό πρόγραμμα scp έχει ενημερωθεί για να ελέγχει την αντιστοιχία μεταξύ των ονομάτων αρχείων που ζητούνται και εκείνων που αποστέλλονται από τον διακομιστή, το οποίο εκτελείται στην πλευρά του πελάτη. Αυτό μπορεί να προκαλέσει προβλήματα με την επεξεργασία μάσκας, καθώς οι χαρακτήρες επέκτασης μάσκας ενδέχεται να υποβάλλονται σε διαφορετική επεξεργασία στην πλευρά του διακομιστή και του προγράμματος-πελάτη. Σε περίπτωση που τέτοιες διαφορές αναγκάσουν τον πελάτη να σταματήσει να δέχεται αρχεία στο scp, η επιλογή "-T" έχει προστεθεί για να απενεργοποιηθεί ο έλεγχος από την πλευρά του πελάτη. Για την πλήρη διόρθωση του προβλήματος, απαιτείται εννοιολογική επανεπεξεργασία του πρωτοκόλλου scp, το οποίο είναι ήδη ξεπερασμένο, επομένως συνιστάται η χρήση πιο σύγχρονων πρωτοκόλλων όπως το sftp και το rsync.
Πηγή: opennet.ru