Pärast viiekuulist arengut vabastama , avatud kliendi ja serveri juurutus SSH 2.0 ja SFTP protokollide kaudu töötamiseks.
Peamised muudatused:
- Ssh-le ja sshd-le on lisatud eksperimentaalne tugi võtmevahetusmeetodile, mis on vastupidav kvantarvuti jõhkra jõu rünnakutele. Kvantarvutid lahendavad radikaalselt kiiremini naturaalarvu algteguriteks lagundamise probleemi, mis on tänapäevaste asümmeetriliste krüpteerimisalgoritmide aluseks ja mida ei saa klassikaliste protsessoritega tõhusalt lahendada. Pakutud meetod põhineb algoritmil (funktsioon ntrup4591761), mis on välja töötatud postkvantkrüptosüsteemide jaoks ja elliptilise kõvera võtmevahetusmeetod X25519;
- Sshd-s ei toeta direktiivid ListenAddress ja PermitOpen enam pärandhost/port süntaksit, mida rakendati 2001. aastal alternatiivina host:portile, et lihtsustada IPv6-ga töötamist. Kaasaegsetes tingimustes on IPv6 jaoks kehtestatud süntaks “[::1]:22” ja “host/port” aetakse sageli segi alamvõrgu (CIDR) tähistamisega;
- ssh, ssh-agent ja ssh-add toetavad nüüd võtmeid PKCS#11 žetoonides;
- Ssh-keygenis on RSA vaikevõtme suurust suurendatud 3072 bitini vastavalt uutele NIST-i soovitustele;
- ssh lubab kasutada sätet "PKCS11Provider=none", et alistada ssh_config määratud PKCS11pakkuja direktiiv;
- sshd pakub logikuva olukordadest, kui ühendus katkeb, kui proovite täita käske, mis on blokeeritud sshd_config piiranguga "ForceCommand=internal-sftp";
- Kui kuvatakse ssh-s uue hostivõtme vastuvõtmise kinnitamise taotlus, siis vastuse "jah" asemel võetakse nüüd vastu võtme õige sõrmejälg (vastuseks ühenduse kinnitamise kutsele saab kasutaja kopeerida lõikepuhvri kaudu eraldi saadud viiteräsi, et mitte seda käsitsi võrrelda);
- ssh-keygen pakub käsureal mitme sertifikaadi jaoks digitaalallkirjade loomisel sertifikaadi järjekorranumbri automaatset suurendamist;
- Scp-le ja sftp-le on lisatud uus valik "-J", mis on samaväärne ProxyJump seadistusega;
- Rakendustesse ssh-agent, ssh-pkcs11-helper ja ssh-add on väljundi teabesisu suurendamiseks lisatud käsurea võtme "-v" töötlemine (kui see on määratud, antakse see valik edasi alamprotsessidele, näiteks kui ssh-pkcs11-helper kutsutakse ssh-agendist );
- Ssh-add on lisatud valik “-T”, et testida võtmete sobivust ssh-agendis digitaalallkirja loomise ja kontrollimise toimingute tegemiseks;
- sftp-server rakendab tuge protokolli laiendusele "lsetstat at openssh.com", mis lisab toe SFTP operatsioonile SSH2_FXP_SETSTAT, kuid ilma sümboolsete linkideta;
- Lisatud sftp-le suvand "-h", et käivitada chown/chgrp/chmod käske koos päringutega, mis ei kasuta sümboolseid linke;
- sshd pakub PAM-i keskkonnamuutuja $SSH_CONNECTION seadistust;
- Sshd puhul on parameetrile ssh_config lisatud sobivusrežiim “Match final”, mis sarnaneb funktsiooniga “Match canonical”, kuid ei nõua hostinime normaliseerimise lubamist;
- Lisatud sftp-le @-prefiksi tugi, et keelata pakkrežiimis käivitatud käskude väljundi tõlkimine;
- Kui kuvate sertifikaadi sisu käsu abil
"ssh-keygen -Lf /path/certificate" kuvab nüüd algoritmi, mida CA kasutab sertifikaadi kinnitamiseks; - Täiustatud tugi Cygwini keskkonnale, pakkudes näiteks grupi- ja kasutajanimede tõstutundlikku võrdlust. Cygwini pordi sshd-protsess on muudetud cygsshd-ks, et vältida häireid Microsofti tarnitava OpenSSH-pordiga;
- Lisatud võimalus luua eksperimentaalse OpenSSL 3.x haruga;
- Elimineeritud (CVE-2019-6111) scp utiliidi juurutamisel, mis võimaldab ründaja juhitavale serverile juurdepääsul kliendi poolel suvalised sihtkataloogis olevad failid üle kirjutada. Probleem on selles, et scp kasutamisel otsustab server, millised failid ja kataloogid kliendile saata ning klient kontrollib ainult tagastatud objektinimede õigsust. Kliendipoolne kontroll piirdub ainult praegusest kataloogist (../) kaugemale liikumise blokeerimisega, kuid ei võta arvesse failide edastamist, mille nimed erinevad algselt taotletud nimedest. Rekursiivse kopeerimise (-r) puhul saab lisaks failinimedele sarnaselt manipuleerida ka alamkataloogide nimedega. Näiteks kui kasutaja kopeerib failid kodukataloogi, saab ründaja kontrollitav server toota taotletud failide asemel faile nimedega .bash_aliases või .ssh/authorized_keys ja need salvestab scp utiliit kasutaja kataloogis. kodukataloog.
Uues versioonis on uuendatud scp utiliiti, mis kontrollib kliendi poolel teostatavat vastavust taotletud ja serveri poolt saadetud failinimede vahel. See võib põhjustada probleeme maski töötlemisega, kuna maski laiendusmärke võidakse serveri ja kliendi poolel erinevalt töödelda. Kui sellised erinevused põhjustavad kliendil scp-vormingus failide vastuvõtmise lõpetamise, on kliendipoolse kontrolli keelamiseks lisatud valik "-T". Probleemi täielikuks lahendamiseks on vaja scp-protokolli kontseptuaalset ümbertöötamist, mis ise on juba aegunud, mistõttu on soovitatav kasutada selle asemel kaasaegsemaid protokolle, nagu sftp ja rsync.
Allikas: opennet.ru