ProHoster > Blog > Interneteko albisteak > OpenSSH 8.0 bertsioa

OpenSSH 8.0 bertsioa

Bost hilabeteko garapenaren ostean aurkeztu askatu OpenSSH 8.0, SSH 2.0 eta SFTP protokoloen bidez lan egiteko bezero eta zerbitzarien inplementazio irekia.

Aldaketa nagusiak:

  • Ordenagailu kuantikoan indar gordinaren erasoei erresistentea den gako-truke-metodo baten laguntza esperimentala gehitu zaie ssh eta sshd-i. Ordenagailu kuantikoak erradikalki azkarragoak dira zenbaki natural bat faktore lehenetan deskonposatzearen arazoa ebazten, hau da, zifratze-algoritmo asimetriko modernoen azpian dagoena eta ezin baita eraginkortasunez konpondu prozesadore klasikoetan. Proposatutako metodoa algoritmoan oinarritzen da NTRU Prime (ntrup4591761 funtzioa), kripto-sistem post-kuantikoetarako garatua eta X25519 kurba eliptikoko gakoen truke-metodoa;
  • Sshd-n, ListenAddress eta PermitOpen zuzentarauek jada ez dute onartzen "host/port" sintaxia tradizionala, 2001ean ezarri zen "host:port"-en alternatiba gisa IPv6-rekin lan egitea errazteko. Baldintza modernoetan, β€œ[::6]:1” sintaxia ezarri da IPv22rako, eta β€œhost/port” sarritan nahasten da azpisarea adieraztearekin (CIDR);
  • ssh, ssh-agent eta ssh-add gakoak onartzen dituzte orain ECDSA PKCS#11 tokenetan;
  • Ssh-keygen-en, RSA gakoen tamaina lehenetsia 3072 bitera igo da, NIST gomendio berrien arabera;
  • ssh-k "PKCS11Provider=none" ezarpena erabiltzeko aukera ematen du ssh_config-en zehaztutako PKCS11Provider zuzentaraua gainidazteko;
  • sshd-k sshd_config-en "ForceCommand=internal-sftp" murrizketak blokeatutako komandoak exekutatzen saiatzean konexioa amaitzen den egoeren erregistroa eskaintzen du;
  • Ssh-n, ostalari-gako berri baten onarpena berresteko eskaera bistaratzen denean, "bai" erantzunaren ordez, gakoaren hatz-marka zuzena onartzen da (konexioa berresteko gonbidapenari erantzunez, erabiltzaileak kopia dezake. bereizita jasotako erreferentzia hash arbelaren bidez, eskuz ez alderatzeko);
  • ssh-keygen-ek ziurtagiriaren sekuentzia-zenbakia automatikoki gehitzen du komando-lerroko ziurtagiri anitzeko sinadura digitalak sortzean;
  • "-J" aukera berri bat gehitu da scp eta sftp-i, ProxyJump ezarpenaren baliokidea;
  • ssh-agent, ssh-pkcs11-helper eta ssh-add-en, "-v" komando-lerroko aukeraren prozesamendua gehitu da irteerako informazio-edukia handitzeko (zehazten denean, aukera hau prozesu umeetara pasatzen da, adibidez, ssh-pkcs11-helper ssh-agentetik deitzen denean);
  • "-T" aukera gehitu da ssh-add-i ssh-agent-en gakoen egokitasuna probatzeko, sinadura digitala sortzeko eta egiaztatzeko eragiketak egiteko;
  • sftp-server-ek "lsetstat at openssh.com" protokoloaren luzapenerako euskarria ezartzen du, eta horrek SSH2_FXP_SETSTAT eragiketarako laguntza gehitzen du SFTPrako, baina esteka sinbolikoak jarraitu gabe;
  • "-h" aukera gehitu zaio sftp-i chown/chgrp/chmod komandoak exekutatzeko esteka sinbolikoak erabiltzen ez dituzten eskaerekin;
  • sshd-k $SSH_CONNECTION ingurune-aldagaiaren ezarpena eskaintzen du PAM-erako;
  • Sshd-ri dagokionez, ssh_config-i "Match final" bat etortzeko modua gehitu da, "Match canonical"-en antzekoa dena, baina ez du eskatzen ostalari-izenen normalizazioa gaituta egotea;
  • Batch moduan exekutatutako komandoen irteeraren itzulpena desgaitzeko '@' aurrizkiaren euskarria gehitu zaio sftp-ri;
  • Komandoa erabiliz ziurtagiri baten edukia bistaratzen duzunean
    "ssh-keygen -Lf /path/certificate"-k ziurtagiria balioztatzeko CAk erabilitako algoritmoa erakusten du orain;

  • Cygwin ingurunerako euskarria hobetu da, adibidez, maiuskulak eta minuskulak bereizten ez dituen taldeen eta erabiltzaileen izenen alderaketa eskainiz. Cygwin atakan sshd prozesua cygsshd-era aldatu da Microsoft-ek hornitutako OpenSSH atakarekin interferentziak saihesteko;
  • OpenSSL 3.x adar esperimentalarekin eraikitzeko gaitasuna gehitu da;
  • Ezabatuta zaurgarritasuna (CVE-2019-6111) scp utilitatearen inplementazioan, xede-direktorioko fitxategi arbitrarioak bezero aldean gainidatzi ahal izateko, erasotzaile batek kontrolatutako zerbitzari batean sartzean. Arazoa da scp erabiltzean, zerbitzariak erabakitzen duela zein fitxategi eta direktorio bidali bezeroari, eta bezeroak soilik egiaztatzen duela itzuliko diren objektuen izenen zuzentasuna. Bezeroaren egiaztapena uneko direktoriotik haratago bidaiak blokeatzera mugatzen da ("../"), baina ez du kontuan hartzen hasiera batean eskatutako izen desberdinak dituzten fitxategien transferentzia. Kopiaketa errekurtsiboaren kasuan (-r), fitxategien izenez gain, azpidirektorioen izenak ere antzera manipula ditzakezu. Adibidez, erabiltzaileak fitxategiak kopiatzen baditu etxeko direktoriora, erasotzaileak kontrolatzen duen zerbitzariak eskatutako fitxategien ordez .bash_aliases edo .ssh/authorized_keys izena duten fitxategiak sor ditzake, eta scp utilitateak gordeko ditu erabiltzailearen atalean. hasierako direktorioa.

    Bertsio berrian, scp utilitatea eguneratu da eskatutako fitxategi-izenen eta zerbitzariak bidalitakoen arteko korrespondentzia egiaztatzeko, bezeroaren aldetik egiten dena. Honek maskarak prozesatzeko arazoak sor ditzake, zerbitzariaren eta bezeroaren aldeetan maskara hedatzeko karaktereak ezberdin prozesatu daitezkeelako. Horrelako desberdintasunek bezeroak scp-n fitxategiak onartzeari uztea eragiten badute, "-T" aukera gehitu da bezeroaren aldeko egiaztapena desgaitzeko. Arazoa guztiz zuzentzeko, scp protokoloaren birlanketa kontzeptual bat behar da, bera jada zaharkituta baitago, beraz, sftp eta rsync bezalako protokolo modernoagoak erabiltzea gomendatzen da.

Iturria: opennet.ru

Gehitu iruzkin berria