Pärast neljakuulist arengut
Peamised muudatused:
- Turvamuudatused:
- Kui kasutate ssh-agendis FIDO võtmeid, mida ei loodud SSH autentimiseks (võtme ID ei alga stringiga "ssh:"), kontrollib see nüüd, et sõnum allkirjastatakse SSH-protokollis kasutatavate meetodite abil. Muudatus ei luba ssh-agenti ümber suunata kaughostidesse, millel on FIDO võtmed, mis blokeerivad nende võtmete kasutamise veebiautentimistaotluste jaoks allkirjade genereerimiseks (pöördjuhtum, kui brauser saab SSH-päringu allkirjastada, on esialgu välistatud võtmeidentifikaatoris prefiksi "ssh:" kasutamise tõttu).
- ssh-keygeni residendist võtme genereerimine sisaldab FIDO 2.1 spetsifikatsioonis kirjeldatud lisandmooduli credProtect tuge, mis pakub võtmetele täiendavat kaitset, nõudes PIN-koodi enne mis tahes toimingu sooritamist, mille tulemuseks võib olla residendist võtme eemaldamine tokenist.
- Võimalikud ühilduvusmuudatused:
- FIDO/U2F toetamiseks on soovitatav kasutada libfido2 teeki vähemalt versiooni 1.5.0. Vanemate väljaannete kasutamise võimalus on osaliselt juurutatud, kuid sel juhul ei ole sellised funktsioonid nagu residentide võtmed, PIN-i päring ja mitme märgi ühendamine saadaval.
- Ssh-keygenis on kinnitusinfo vormingusse lisatud digitaalallkirjade kinnitamise kontrollimiseks vajalikud autentimisandmed, mis on valikuliselt salvestatud FIDO võtme genereerimisel.
- Kui OpenSSH suhtleb FIDO žetoonidele juurdepääsu kihiga, on API-d muudetud.
- OpenSSH kaasaskantava versiooni loomisel on nüüd vaja konfigureerimisskripti ja sellega kaasnevate ehitusfailide genereerimiseks automatiseerimist (kui luuakse avaldatud kooditar-failist, pole konfiguratsiooni uuesti loomine vajalik).
- Lisatud on tugi FIDO võtmetele, mis nõuavad PIN-koodi kinnitamist ssh-s ja ssh-keygenis. PIN-koodiga võtmete genereerimiseks on ssh-keygenile lisatud suvand "Verify-required". Kui selliseid võtmeid kasutatakse, palutakse kasutajal enne allkirja loomise toimingu sooritamist oma tegevus kinnitada PIN-koodi sisestamisega.
- Sshd-s on suvand "verify-required" rakendatud sättes authorised_keys, mis nõuab võimaluste kasutamist, et kontrollida kasutaja kohalolekut loaga toimimise ajal. FIDO standard pakub selliseks kontrollimiseks mitmeid võimalusi, kuid praegu toetab OpenSSH ainult PIN-põhist kinnitamist.
- sshd ja ssh-keygen on lisanud toe digitaalallkirjade kontrollimiseks, mis vastavad FIDO Webauthni standardile, mis võimaldab FIDO võtmeid kasutada veebibrauserites.
- Ssh-s CertificateFile'i sätetes
ControlPath, IdentityAgent, IdentityFile, LocalForward ja
RemoteForward võimaldab väärtuste asendamist keskkonnamuutujatega, mis on määratud vormingus "${ENV}". - ssh ja ssh-agent on lisanud toe keskkonnamuutujale $SSH_ASKPASS_REQUIRE, mida saab kasutada ssh-askpass-kõne lubamiseks või keelamiseks.
- AddKeysToAgent direktiivi ssh_config ssh-s on lisatud võimalus piirata võtme kehtivusaega. Kui määratud limiit on aegunud, kustutatakse võtmed automaatselt ssh-agendist.
- Scp-s ja sftp-s, kasutades lippu "-A", saate nüüd selgesõnaliselt lubada ümbersuunamist scp-le ja sftp-le, kasutades ssh-agenti (ümbersuunamine on vaikimisi keelatud).
- Lisatud tugi '%k' asendamisele ssh-seadetes, mis määrab hosti võtme nime. Seda funktsiooni saab kasutada võtmete jaotamiseks eraldi failidesse (nt "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
- Lubage toimingu "ssh-add -d -" kasutamine stdinist kustutatavate võtmete lugemiseks.
- Sshd-s kajastub ühenduse kärpimisprotsessi algus ja lõpp logis, mida reguleeritakse MaxStartupsi parameetriga.
OpenSSH arendajad tuletasid meelde ka SHA-1 räsi kasutavate algoritmide eelseisvat dekomisjoneerimist, kuna
OpenSSH uutele algoritmidele ülemineku sujuvamaks muutmiseks lubab järgmine versioon vaikimisi sätte UpdateHostKeys, mis migreerib kliendid automaatselt usaldusväärsematele algoritmidele. Soovitatavad migratsioonialgoritmid on rsa-sha2-256/512, mis põhineb RFC8332 RSA SHA-2-l (toetatud alates OpenSSH 7.2-st ja kasutatakse vaikimisi), ssh-ed25519 (toetatud alates OpenSSH 6.5-st) ja ecdsa-sha2-nistp256/384-põhine 521/5656/5.7 RFCXNUMX ECDSA-l (toetatud alates OpenSSH XNUMX-st).
Allikas: opennet.ru