Pärast neljakuulist arendustööd esitleti OpenSSH 8.7 väljalaset, mis on avatud SSH 2.0 ja SFTP protokollide töötamiseks mõeldud kliendi ja serveri rakendus.
Peamised muudatused:
- Scp-le on lisatud eksperimentaalne andmeedastusrežiim, mis kasutab traditsioonilise SCP/RCP-protokolli asemel SFTP-protokolli. SFTP kasutab etteaimatavamaid nimekäsitlusmeetodeid ega kasuta teise hosti poolel olevate globaalsete mustrite shell-töötlust, mis tekitab turvaprobleeme. SFTP lubamiseks scp-s on pakutud lipp “-s”, kuid tulevikus on plaanis vaikimisi sellele protokollile üle minna.
- sftp-server rakendab SFTP-protokolli laiendusi, et laiendada ~/ ja ~user/ teid, mis on scp jaoks vajalikud.
- Utiliit scp on muutnud käitumist failide kopeerimisel kahe kaughosti vahel (näiteks "scp host-a:/path host-b:"), mida tehakse nüüd vaikimisi kohaliku vahepealse hosti kaudu, nagu ka " -3" lipp. See lähenemine võimaldab vältida tarbetute mandaatide edastamist esimesele hostile ja failinimede kolmekordset tõlgendamist shellis (allika, sihtkoha ja kohaliku süsteemi poolel) ning SFTP kasutamisel võimaldab see kaugjuurdepääsul kasutada kõiki autentimismeetodeid. hostid, mitte ainult mitteinteraktiivsed meetodid . Valik "-R" on lisatud vana käitumise taastamiseks.
- Lisati ssh-le ForkAfterAuthentication säte, mis vastab lipule "-f".
- Lisatud ssh-le StdinNull säte, mis vastab lipule "-n".
- Ssh-le on lisatud SessionType seadistus, mille kaudu saab määrata režiimid, mis vastavad lipukestele “-N” (no session) ja “-s” (alamsüsteem).
- ssh-keygen võimaldab võtmefailides määrata võtme kehtivusintervalli.
- Lisati ssh-keygenile lipp "-Oprint-pubkey", et printida täielik avalik võti sshsigi allkirja osana.
- Ssh- ja sshd-s on nii klient kui ka server üle viidud kasutama piiravamat konfiguratsioonifaili parserit, mis kasutab jutumärkide, tühikute ja paomärkide käsitlemiseks kestalaadseid reegleid. Uus parser ei ignoreeri ka varem tehtud eeldusi, nagu argumentide väljajätmine suvandites (näiteks DenyUsersi käskkirja ei saa enam tühjaks jätta), sulgemata jutumärke ja mitme = märgi määramist.
- Kui kasutate võtmete kontrollimisel SSHFP DNS-kirjeid, kontrollib ssh nüüd kõiki sobivaid kirjeid, mitte ainult neid, mis sisaldavad teatud tüüpi digitaalallkirja.
- Ssh-keygenis kasutatakse FIDO võtme genereerimisel valikuga -Ochallenge nüüd räsimiseks sisseehitatud kihti, mitte libfido2-d, mis võimaldab kasutada väljakutsejadasid, mis on suuremad või väiksemad kui 32 baiti.
- Sshd-s, kui töödeldakse Environment="..." direktiive authorised_keys-failides, aktsepteeritakse nüüd esimene vaste ja keskkonnamuutujate nimede piirang on 1024.
OpenSSH-i arendajad hoiatasid ka SHA-1 räsi kasutavate algoritmide lagunemise eest, kuna antud eesliitega kokkupõrkerünnakute tõhusus on suurenenud (kokkupõrke valimise maksumus on hinnanguliselt umbes 50 tuhat dollarit). Järgmises versioonis kavatseme vaikimisi keelata avaliku võtme digitaalallkirja algoritmi "ssh-rsa", mida mainiti algses RFC-s SSH-protokolli jaoks ja mida praktikas laialdaselt kasutatakse.
Ssh-rsa kasutamise testimiseks oma süsteemides võite proovida luua ühenduse ssh-i kaudu valikuga „-oHostKeyAlgorithms=-ssh-rsa”. Samas ei tähenda “ssh-rsa” digiallkirjade vaikimisi keelamine RSA võtmete kasutamisest täielikku loobumist, kuna SSH-protokoll võimaldab lisaks SHA-1-le kasutada ka teisi räsiarvutusalgoritme. Eelkõige jääb lisaks ssh-rsa-le võimalikuks kasutada ka kimpe rsa-sha2-256 (RSA/SHA256) ja rsa-sha2-512 (RSA/SHA512).
Uutele algoritmidele ülemineku sujuvaks muutmiseks oli OpenSSH-l varem vaikimisi sisse lülitatud säte UpdateHostKeys, mis võimaldab klientidel automaatselt lülituda töökindlamatele algoritmidele. Seda seadet kasutades lubatakse spetsiaalne protokollilaiend "[meiliga kaitstud]", võimaldades serveril pärast autentimist teavitada klienti kõigist saadaolevatest hostivõtmetest. Klient saab kajastada neid võtmeid oma ~/.ssh/known_hosts failis, mis võimaldab hosti võtmeid värskendada ja muudab võtmete muutmise serveris lihtsamaks.
UpdateHostKeysi kasutamist piiravad mitmed hoiatused, mis võidakse tulevikus eemaldada: võtmele tuleb viidata UserKnownHostsFile'is ja seda ei tohi kasutada GlobalKnownHostsFile'is; võti peab olema ainult ühe nime all; hosti võtme sertifikaati ei tohiks kasutada; in know_hosts ei tohiks kasutada masinanime järgi maske; säte VerifyHostKeyDNS peab olema keelatud; Parameeter UserKnownHostsFile peab olema aktiivne.
Soovitatavad migratsioonialgoritmid on rsa-sha2-256/512, mis põhineb RFC8332 RSA SHA-2-l (toetatud alates OpenSSH 7.2-st ja kasutatakse vaikimisi), ssh-ed25519 (toetatud alates OpenSSH 6.5-st) ja ecdsa-sha2-nistp256/384-põhine 521/5656/5.7 RFCXNUMX ECDSA-l (toetatud alates OpenSSH XNUMX-st).
Allikas: opennet.ru