Post kvin monatoj da evoluo, la liberigo de OpenSSH 8.5, malferma efektivigo de kliento kaj servilo por labori super la SSH 2.0 kaj SFTP-protokoloj, estas prezentita.
La programistoj de OpenSSH memorigis nin pri la venonta malfunkciigo de algoritmoj uzantaj SHA-1-haŝojn pro la pliigita efikeco de kolizio-atakoj kun antaŭfiksita prefikso (la kosto de elekto de kolizio estas taksita je proksimume $ 50 mil). En unu el la venontaj eldonoj, ili planas malebligi defaŭlte la kapablon uzi la "ssh-rsa" publikan ŝlosilon ciferecan subskriban algoritmon, kiu estas menciita en la origina RFC por la SSH-protokolo kaj restas ĝeneraligita en la praktiko.
Por testi la uzon de ssh-rsa en viaj sistemoj, vi povas provi konekti per ssh kun la opcio "-oHostKeyAlgorithms=-ssh-rsa". Samtempe, malebligi "ssh-rsa" ciferecajn subskribojn defaŭlte ne signifas kompletan forlason de la uzo de RSA-ŝlosiloj, ĉar krom SHA-1, la SSH-protokolo permesas la uzon de aliaj hash-kalkulalgoritmoj. Precipe, krom "ssh-rsa", restos eble uzi la pakaĵojn "rsa-sha2-256" (RSA/SHA256) kaj "rsa-sha2-512" (RSA/SHA512).
Por glatigi la transiron al novaj algoritmoj, OpenSSH 8.5 havas la agordon UpdateHostKeys ebligita defaŭlte, kio permesas al klientoj aŭtomate ŝanĝi al pli fidindaj algoritmoj. Uzante ĉi tiun agordon, speciala protokola etendo estas ebligita "[retpoŝte protektita]", permesante al la servilo, post aŭtentigo, informi la klienton pri ĉiuj disponeblaj gastigaj ŝlosiloj. La kliento povas reflekti ĉi tiujn ŝlosilojn en ĝia ~/.ssh/known_hosts-dosiero, kiu permesas ĝisdatigi la gastigajn ŝlosilojn kaj faciligas ŝanĝi ŝlosilojn sur la servilo.
La uzo de UpdateHostKeys estas limigita de pluraj avertoj kiuj povas esti forigitaj estonte: la ŝlosilo devas esti referencita en la UserKnownHostsFile kaj ne uzata en la GlobalKnownHostsFile; la ŝlosilo devas ĉeesti sub nur unu nomo; atestilo de gastiga ŝlosilo ne estu uzata; en konataj_gastigantoj maskoj laŭ gastiga nomo ne estu uzataj; la agordo VerifyHostKeyDNS devas esti malŝaltita; La parametro UserKnownHostsFile devas esti aktiva.
Rekomenditaj algoritmoj por migrado inkluzivas rsa-sha2-256/512 bazitan sur RFC8332 RSA SHA-2 (subtenata ekde OpenSSH 7.2 kaj uzata defaŭlte), ssh-ed25519 (subtenata ekde OpenSSH 6.5) kaj ecdsa-sha2-nistp256/384/521/5656. sur RFC5.7 ECDSA (subtenata ekde OpenSSH XNUMX).
Aliaj ŝanĝoj:
- Ŝanĝoj pri sekureco:
- Vulnerabileco kaŭzita de re-liberigo de jam liberigita memorareo (duoble-libera) estis riparita en ssh-agent. La problemo ĉeestas ekde la liberigo de OpenSSH 8.2 kaj eble povas esti ekspluatata se atakanto havas aliron al la ssh-agent-ingo en la loka sistemo. Kio faras ekspluaton pli malfacila estas ke nur radiko kaj la origina uzanto havas aliron al la ingo. La plej verŝajna atakscenaro estas ke la agento estas redirektita al konto, kiu estas kontrolita de la atakanto, aŭ al gastiganto kie la atakanto havas radikan aliron.
- sshd aldonis protekton kontraŭ transdono de tre grandaj parametroj kun la uzantnomo al la subsistemo PAM, kio ebligas al vi bloki vundeblecojn en la moduloj de la sistemo PAM (Pluggable Authentication Module). Ekzemple, la ŝanĝo malhelpas sshd esti uzata kiel vektoro por ekspluati lastatempe malkovritan radikan vundeblecon en Solaris (CVE-2020-14871).
- Eble rompantaj kongruecajn ŝanĝojn:
- В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо [retpoŝte protektita] метод теперь идентифицируется как [retpoŝte protektita] (la algoritmo sntrup4591761 estis anstataŭigita per sntrup761).
- En ssh kaj sshd, la ordo en kiu subtenataj ciferecaj subskribaj algoritmoj estas anoncitaj estis ŝanĝita. ED25519 nun estas ofertita unue anstataŭ ECDSA.
- En ssh kaj sshd, agordo de TOS/DSCP-kvalito de servo-parametroj por interagaj sesioj nun estas farita antaŭ establi TCP-konekton.
- Ĉifrsubteno estis nuligita en ssh kaj sshd [retpoŝte protektita], kiu estas identa al aes256-cbc kaj estis uzita antaŭ ol RFC-4253 estis aprobita.
- Defaŭlte, la parametro CheckHostIP estas malŝaltita, kies avantaĝo estas nekonsiderinda, sed ĝia uzo signife malfaciligas ŝlosilan rotacion por gastigantoj malantaŭ ŝarĝbalanciloj.
- PerSourceMaxStartups kaj PerSourceNetBlockSize agordoj estis aldonitaj al sshd por limigi la intensecon de lanĉaj prizorgantoj bazitaj sur la klienta adreso. Ĉi tiuj parametroj permesas vin pli fajne kontroli la limon pri procezaj lanĉoj, kompare kun la ĝenerala agordo de MaxStartups.
- Nova LogVerbose-agordo estis aldonita al ssh kaj sshd, kiu ebligas al vi forte altigi la nivelon de sencimiga informo forĵetita en la protokolo, kun la kapablo filtri laŭ ŝablonoj, funkcioj kaj dosieroj.
- En ssh, kiam oni akceptas novan gastigan ŝlosilon, ĉiuj gastigaj nomoj kaj IP-adresoj asociitaj kun la ŝlosilo estas montritaj.
- ssh permesas al la opcio UserKnownHostsFile=neniu malebligi la uzon de la dosiero known_hosts kiam oni identigas gastigajn ŝlosilojn.
- Agordo KnownHostsCommand estis aldonita al ssh_config por ssh, permesante al vi ricevi datumojn de known_hosts el la eligo de la specifita komando.
- Aldonis opcion PermitRemoteOpen al ssh_config por ssh por permesi vin limigi la celon kiam vi uzas la opcion RemoteForward kun SOCKS.
- En ssh por FIDO-ŝlosiloj, ripeta PIN-peto estas disponigita en la okazaĵo de cifereca subskriba operacio malsukceso pro malĝusta PIN kaj la uzanto ne estas instigita por PIN (ekzemple, kiam la ĝustaj biometriaj datenoj ne povus esti akiritaj kaj la aparato revenis al mana PIN-enigo).
- sshd aldonas subtenon por pliaj sistemvokoj al la proceza izolita mekanismo bazita sur seccomp-bpf en Linukso.
- La ilo contrib/ssh-copy-id estis ĝisdatigita.
fonto: opennet.ru