ProHoster > Blogi > internetiuudised > OpenSSH 8.4 väljalase

OpenSSH 8.4 väljalase

Pärast neljakuulist arengut esitatakse OpenSSH 8.4 väljalase, avatud kliendi- ja serverirakendus SSH 2.0 ja SFTP protokollidega töötamiseks.

Peamised muudatused:

  • Turvamuudatused:
    • Kui kasutate ssh-agendis FIDO võtmeid, mida ei loodud SSH autentimiseks (võtme ID ei alga stringiga "ssh:"), kontrollib see nüüd, et sõnum allkirjastatakse SSH-protokollis kasutatavate meetodite abil. Muudatus ei luba ssh-agenti ümber suunata kaughostidesse, millel on FIDO võtmed, mis blokeerivad nende võtmete kasutamise veebiautentimistaotluste jaoks allkirjade genereerimiseks (pöördjuhtum, kui brauser saab SSH-päringu allkirjastada, on esialgu välistatud võtmeidentifikaatoris prefiksi "ssh:" kasutamise tõttu).
    • ssh-keygeni residendist võtme genereerimine sisaldab FIDO 2.1 spetsifikatsioonis kirjeldatud lisandmooduli credProtect tuge, mis pakub võtmetele täiendavat kaitset, nõudes PIN-koodi enne mis tahes toimingu sooritamist, mille tulemuseks võib olla residendist võtme eemaldamine tokenist.
  • Võimalikud ühilduvusmuudatused:
    • FIDO/U2F toetamiseks on soovitatav kasutada libfido2 teeki vähemalt versiooni 1.5.0. Vanemate väljaannete kasutamise võimalus on osaliselt juurutatud, kuid sel juhul ei ole sellised funktsioonid nagu residentide võtmed, PIN-i päring ja mitme märgi ühendamine saadaval.
    • Ssh-keygenis on kinnitusinfo vormingusse lisatud digitaalallkirjade kinnitamise kontrollimiseks vajalikud autentimisandmed, mis on valikuliselt salvestatud FIDO võtme genereerimisel.
    • Kui OpenSSH suhtleb FIDO žetoonidele juurdepääsu kihiga, on API-d muudetud.
    • OpenSSH kaasaskantava versiooni loomisel on nüüd vaja konfigureerimisskripti ja sellega kaasnevate ehitusfailide genereerimiseks automatiseerimist (kui luuakse avaldatud kooditar-failist, pole konfiguratsiooni uuesti loomine vajalik).
  • Lisatud on tugi FIDO võtmetele, mis nõuavad PIN-koodi kinnitamist ssh-s ja ssh-keygenis. PIN-koodiga võtmete genereerimiseks on ssh-keygenile lisatud suvand "Verify-required". Kui selliseid võtmeid kasutatakse, palutakse kasutajal enne allkirja loomise toimingu sooritamist oma tegevus kinnitada PIN-koodi sisestamisega.
  • Sshd-s on suvand "verify-required" rakendatud sättes authorised_keys, mis nõuab võimaluste kasutamist, et kontrollida kasutaja kohalolekut loaga toimimise ajal. FIDO standard pakub selliseks kontrollimiseks mitmeid võimalusi, kuid praegu toetab OpenSSH ainult PIN-põhist kinnitamist.
  • sshd ja ssh-keygen on lisanud toe digitaalallkirjade kontrollimiseks, mis vastavad FIDO Webauthni standardile, mis võimaldab FIDO võtmeid kasutada veebibrauserites.
  • Ssh-s CertificateFile'i sätetes
    ControlPath, IdentityAgent, IdentityFile, LocalForward ja
    RemoteForward võimaldab väärtuste asendamist keskkonnamuutujatega, mis on määratud vormingus "${ENV}".

  • ssh ja ssh-agent on lisanud toe keskkonnamuutujale $SSH_ASKPASS_REQUIRE, mida saab kasutada ssh-askpass-kõne lubamiseks või keelamiseks.
  • AddKeysToAgent direktiivi ssh_config ssh-s on lisatud võimalus piirata võtme kehtivusaega. Kui määratud limiit on aegunud, kustutatakse võtmed automaatselt ssh-agendist.
  • Scp-s ja sftp-s, kasutades lippu "-A", saate nüüd selgesõnaliselt lubada ümbersuunamist scp-le ja sftp-le, kasutades ssh-agenti (ümbersuunamine on vaikimisi keelatud).
  • Lisatud tugi '%k' asendamisele ssh-seadetes, mis määrab hosti võtme nime. Seda funktsiooni saab kasutada võtmete jaotamiseks eraldi failidesse (nt "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
  • Lubage toimingu "ssh-add -d -" kasutamine stdinist kustutatavate võtmete lugemiseks.
  • Sshd-s kajastub ühenduse kärpimisprotsessi algus ja lõpp logis, mida reguleeritakse MaxStartupsi parameetriga.

OpenSSH arendajad tuletasid meelde ka SHA-1 räsi kasutavate algoritmide eelseisvat dekomisjoneerimist, kuna edendamine kokkupõrkerünnakute tõhusus antud eesliitega (kokkupõrke valimise maksumus on hinnanguliselt umbes 45 tuhat dollarit). Ühes tulevastest väljaannetest kavatsevad nad vaikimisi keelata avaliku võtme digitaalallkirja algoritmi “ssh-rsa”, mida mainitakse SSH-protokolli algses RFC-s ja mis on praktikas laialt levinud (kasutamise testimiseks). ssh-rsa-st oma süsteemides, võite proovida ühenduse luua ssh-i kaudu valikuga "-oHostKeyAlgorithms=-ssh-rsa").

OpenSSH uutele algoritmidele ülemineku sujuvamaks muutmiseks lubab järgmine versioon vaikimisi sätte UpdateHostKeys, mis migreerib kliendid automaatselt usaldusväärsematele algoritmidele. Soovitatavad migratsioonialgoritmid on rsa-sha2-256/512, mis põhineb RFC8332 RSA SHA-2-l (toetatud alates OpenSSH 7.2-st ja kasutatakse vaikimisi), ssh-ed25519 (toetatud alates OpenSSH 6.5-st) ja ecdsa-sha2-nistp256/384-põhine 521/5656/5.7 RFCXNUMX ECDSA-l (toetatud alates OpenSSH XNUMX-st).

Allikas: opennet.ru

Lisa kommentaar