ProHoster > Blog > Interneteko albisteak > OpenSSH 8.4 bertsioa

OpenSSH 8.4 bertsioa

Lau hilabeteko garapenaren ostean aurkeztu OpenSSH 8.4 kaleratzea, SSH 2.0 eta SFTP protokoloak erabiliz lan egiteko bezero eta zerbitzari irekiko inplementazioa.

Aldaketa nagusiak:

  • Segurtasun-aldaketak:
    • Ssh-agent-en, SSH autentifikaziorako sortu ez ziren FIDO gakoak erabiltzean (gako IDa ez da "ssh:" katearekin hasten), orain egiaztatzen du mezua sinatuko dela SSH protokoloan erabiltzen diren metodoak erabiliz. Aldaketak ez du baimenduko ssh-agent-a FIDO gakoak dituzten urruneko ostalarietara birbideratzeko gako horiek erabiltzeko gaitasuna blokeatzeko, web autentifikazio-eskaeretarako sinadurak sortzeko (alderantzizko kasua, arakatzaileak SSH eskaera bat sina dezakeenean, hasiera batean baztertzen da. gako-identifikatzailean β€œssh:” aurrizkia erabiltzeagatik).
    • ssh-keygen-en egoiliarren gakoen sorkuntzak FIDO 2.1 zehaztapenean deskribatutako credProtect gehigarrirako laguntza eskaintzen du, eta horrek gakoentzako babes gehigarria eskaintzen du tokenetik egoiliar gakoa ateratzea eragin dezakeen edozein eragiketa egin aurretik PIN bat eskatuz.
  • Bateragarritasun-aldaketak hauts ditzakete:
    • FIDO/U2F onartzeko, libfido2 liburutegia gutxienez 1.5.0 bertsioa erabiltzea gomendatzen da. Edizio zaharragoak erabiltzeko gaitasuna partzialki inplementatu da, baina kasu honetan, egoiliarren gakoak, PIN eskaera eta hainbat token konektatzeko funtzioak ez dira erabilgarri egongo.
    • Ssh-keygen-en, sinadura digitalak egiaztatzeko beharrezkoak diren autentifikatzailearen datuak berrespen-informazioaren formatura gehitu dira, aukeran gordeta FIDO gako bat sortzean.
    • OpenSSH FIDO tokenak atzitzeko geruzarekin elkarreragiten duenean erabiltzen den APIa aldatu da.
    • OpenSSH-ren bertsio eramangarri bat eraikitzean, orain automatikoki beharrezkoa da konfigurazio script-a eta harekin batera dauden eraikuntza-fitxategiak sortzeko (argitaratutako kode tar fitxategi batetik eraikitzen bada, ez da beharrezkoa birsortzea konfigurazioa).
  • Ssh eta ssh-keygen PIN egiaztapena behar duten FIDO gakoentzako laguntza gehitu da. PINarekin gakoak sortzeko, ssh-keygen-en "egiaztatu-behar" aukera gehitu da. Tekla horiek erabiltzen badira, sinadura sortzeko eragiketa egin aurretik, erabiltzaileari bere ekintzak berresteko eskatuko zaio PIN kodea sartuz.
  • Sshd-en, "verify-required" aukera inplementatzen da authorized_keys ezarpenean, eta horrek tokenarekin egiten diren eragiketetan erabiltzailearen presentzia egiaztatzeko gaitasunak erabiltzea eskatzen du. FIDO estandarrak hainbat aukera eskaintzen ditu egiaztapen hori egiteko, baina gaur egun OpenSSH-k PIN bidezko egiaztapena soilik onartzen du.
  • sshd eta ssh-keygen-ek FIDO Webauthn estandarra betetzen duten sinadura digitalak egiaztatzeko euskarria gehitu dute, eta horri esker, FIDO gakoak web arakatzaileetan erabil daitezke.
  • Ssh-n CertificateFile ezarpenetan,
    ControlPath, IdentityAgent, IdentityFile, LocalForward eta
    RemoteForward-ek "${ENV}" formatuan zehaztutako ingurune-aldagaien balioak ordezkatzeko aukera ematen du.

  • ssh eta ssh-agent-ek $SSH_ASKPASS_REQUIRE ingurune-aldagairako laguntza gehitu dute, ssh-askpass deia gaitzeko edo desgaitzeko erabil daitekeen.
  • AddKeysToAgent zuzentarauko ssh_config-en ssh-n, gako baten balio-epea mugatzeko gaitasuna gehitu da. Zehaztutako muga iraungi ondoren, gakoak automatikoki ezabatzen dira ssh-agentetik.
  • scp eta sftp-n, "-A" bandera erabiliz, orain esplizituki baimendu dezakezu scp eta sftp-ra birbideratzea ssh-agent erabiliz (berbideratzea desgaituta dago lehenespenez).
  • '%k' ordezkapenerako laguntza gehitu da ssh ezarpenetan, ostalariaren gakoaren izena zehazten duena. Ezaugarri hau gakoak fitxategi bereizietan banatzeko erabil daiteke (adibidez, β€œUserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • "ssh-add -d -" eragiketa erabiltzeko aukera ematen du ezabatu nahi diren stdin-eko gakoak irakurtzeko.
  • Sshd-n, konexioaren inausketa prozesuaren hasiera eta amaiera erregistroan islatzen da, MaxStartups parametroa erabiliz araututa.

OpenSSH garatzaileek SHA-1 hash-ak erabiliz algoritmoen hurrengo deskargatzea ere gogoratu zuten, ondorioz. sustapena aurrizki jakin batekin talka-erasoen eraginkortasuna (talka hautatzeko kostua 45 mila dolar gutxi gorabehera estimatzen da). Datozen argitalpenetako batean, lehenespenez desgaitu nahi dute "ssh-rsa" gako publikoko sinadura digitalaren algoritmoa erabiltzeko gaitasuna, jatorrizko RFC-n SSH protokolorako aipatzen dena eta praktikan hedatuta jarraitzen duena (erabilera probatzeko. ssh-rsa zure sistemetan, ssh bidez konektatzen saia zaitezke "-oHostKeyAlgorithms=-ssh-rsa" aukerarekin).

OpenSSH-n algoritmo berrietarako trantsizioa leuntzeko, hurrengo bertsioak UpdateHostKeys ezarpena gaituko du lehenespenez, eta horrek automatikoki migratuko ditu bezeroak algoritmo fidagarriagoetara. Migraziorako gomendatutako algoritmoen artean RFC2 RSA SHA-256-n oinarritutako rsa-sha512-8332/2 (OpenSSH 7.2-tik onartzen da eta lehenespenez erabiltzen da), ssh-ed25519 (OpenSSH 6.5-tik onartzen da) eta ecdsa-sha2-nistp256/384/521/5656-n oinarrituta daude. RFC5.7 ECDSAn (OpenSSH XNUMXtik onartzen da).

Iturria: opennet.ru

Gehitu iruzkin berria