Bost hilabeteko garapenaren ondoren, OpenSSH 8.5 bertsioa aurkezten da, SSH 2.0 eta SFTP protokoloen gainean lan egiteko bezero eta zerbitzari baten inplementazio irekia.
OpenSSH garatzaileek SHA-1 hash-ak erabiltzen dituzten algoritmoen hurrengo deskargatzea gogorarazi ziguten, talka-erasoen eraginkortasuna areagotu delako aurrizki jakin batekin (talka hautatzeko kostua 50 mila $ gutxi gorabehera estimatzen da). Datozen argitalpenetako batean, lehenespenez desgaitzeko asmoa dute "ssh-rsa" gako publikoko sinadura digitalaren algoritmoa erabiltzeko gaitasuna, SSH protokolorako jatorrizko RFCan aipatzen dena eta praktikan hedatuta jarraitzen duena.
Zure sistemetan ssh-rsa-ren erabilera probatzeko, ssh bidez konektatzen saiatu zaitezke "-oHostKeyAlgorithms=-ssh-rsa" aukerarekin. Aldi berean, "ssh-rsa" sinadura digitalak lehenespenez desgaitzeak ez du esan nahi RSA gakoen erabilera erabat uztea, SHA-1ez gain, SSH protokoloak hash kalkulurako beste algoritmo batzuk erabiltzeko aukera ematen baitu. Bereziki, "ssh-rsa"z gain, "rsa-sha2-256" (RSA/SHA256) eta "rsa-sha2-512" (RSA/SHA512) sortak erabiltzeko aukera izango da.
Algoritmo berrietarako trantsizioa leuntzeko, OpenSSH 8.5-ek UpdateHostKeys ezarpena gaituta dauka lehenespenez, bezeroei automatikoki algoritmo fidagarriagoetara aldatzeko aukera ematen diena. Ezarpen hau erabiliz, protokolo-luzapen berezi bat gaituta dago "[posta elektroniko bidez babestua]", zerbitzariari, autentifikatu ondoren, bezeroari eskuragarri dauden ostalari-gako guztiei buruz informatzeko aukera emanez. Bezeroak gako hauek bere ~/.ssh/known_hosts fitxategian isla ditzake, eta horri esker ostalariaren gakoak eguneratzen dira eta zerbitzarian gakoak aldatzea errazten du.
UpdateHostKeys-en erabilera etorkizunean ezabatu daitezkeen hainbat oharrengatik mugatuta dago: gakoak UserKnownHostsFile-n erreferentzia egin behar zaio eta ez GlobalKnownHostsFile-n erabili; giltzak izen bakarrarekin egon behar du; ostalariaren gakoaren ziurtagiria ez da erabili behar; ostalari_ezagunetan ez dira erabili behar ostalariaren izenaren maskarak; VerifyHostKeyDNS ezarpena desgaitu egin behar da; UserKnownHostsFile parametroak aktibo egon behar du.
Migraziorako gomendatutako algoritmoen artean RFC2 RSA SHA-256-n oinarritutako rsa-sha512-8332/2 (OpenSSH 7.2-tik onartzen da eta lehenespenez erabiltzen da), ssh-ed25519 (OpenSSH 6.5-tik onartzen da) eta ecdsa-sha2-nistp256/384/521/5656-n oinarrituta daude. RFC5.7 ECDSAn (OpenSSH XNUMXtik onartzen da).
Beste aldaketa batzuk:
- Segurtasun-aldaketak:
- Lehendik askatuta dagoen memoria-eremu bat (bikoitza librea) berriro askatzeak eragindako ahultasun bat konpondu da ssh-agent-en. Arazoa OpenSSH 8.2 kaleratu zenetik dago eta baliagarria izan daiteke erasotzaile batek tokiko sistemako ssh-agent socketerako sarbidea badu. Ustiapena zailtzen duena da rootek eta jatorrizko erabiltzaileak soilik socketerako sarbidea dutela. Eraso-eszenatokirik seguruena da agentea erasotzaileak kontrolatzen duen kontu batera edo erasotzaileak root sarbidea duen ostalari batera birbideratzea.
- sshd-k erabiltzaile-izena duten parametro handiak PAM azpisistemara pasatzearen aurkako babesa gehitu du, eta horri esker, PAM (Pluggable Authentication Module) sistemako moduluetako ahuleziak blokeatu ditzakezu. Adibidez, aldaketak sshd bektore gisa erabiltzea eragozten du Solaris-en duela gutxi aurkitu den erro ahultasun bat ustiatzeko (CVE-2020-14871).
- Bateragarritasun-aldaketak hauts ditzakete:
- Π ssh ΠΈ sshd ΠΏΠ΅ΡΠ΅ΡΠ°Π±ΠΎΡΠ°Π½ ΡΠΊΡΠΏΠ΅ΡΠΈΠΌΠ΅Π½ΡΠ°Π»ΡΠ½ΡΠΉ ΠΌΠ΅ΡΠΎΠ΄ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΊΠ»ΡΡΠ°ΠΌΠΈ, ΡΡΠΎΠΉΠΊΠΈΠΉ ΠΊ ΠΏΠΎΠ΄Π±ΠΎΡΡ Π½Π° ΠΊΠ²Π°Π½ΡΠΎΠ²ΠΎΠΌ ΠΊΠΎΠΌΠΏΡΡΡΠ΅ΡΠ΅. ΠΠ²Π°Π½ΡΠΎΠ²ΡΠ΅ ΠΊΠΎΠΌΠΏΡΡΡΠ΅ΡΡ ΠΊΠ°ΡΠ΄ΠΈΠ½Π°Π»ΡΠ½ΠΎ Π±ΡΡΡΡΠ΅Π΅ ΡΠ΅ΡΠ°ΡΡ Π·Π°Π΄Π°ΡΡ ΡΠ°Π·Π»ΠΎΠΆΠ΅Π½ΠΈΡ Π½Π°ΡΡΡΠ°Π»ΡΠ½ΠΎΠ³ΠΎ ΡΠΈΡΠ»Π° Π½Π° ΠΏΡΠΎΡΡΡΠ΅ ΠΌΠ½ΠΎΠΆΠΈΡΠ΅Π»ΠΈ, ΠΊΠΎΡΠΎΡΠ°Ρ Π»Π΅ΠΆΠΈΡ Π² ΠΎΡΠ½ΠΎΠ²Π΅ ΡΠΎΠ²ΡΠ΅ΠΌΠ΅Π½Π½ΡΡ Π°ΡΠΈΠΌΠΌΠ΅ΡΡΠΈΡΠ½ΡΡ Π°Π»Π³ΠΎΡΠΈΡΠΌΠΎΠ² ΡΠΈΡΡΠΎΠ²Π°Π½ΠΈΡ ΠΈ ΡΡΡΠ΅ΠΊΡΠΈΠ²Π½ΠΎ Π½Π΅ ΡΠ΅ΡΠ°Π΅ΠΌΠ° Π½Π° ΠΊΠ»Π°ΡΡΠΈΡΠ΅ΡΠΊΠΈΡ ΠΏΡΠΎΡΠ΅ΡΡΠΎΡΠ°Ρ . ΠΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΠΉ ΠΌΠ΅ΡΠΎΠ΄ ΠΎΡΠ½ΠΎΠ²Π°Π½ Π½Π° Π°Π»Π³ΠΎΡΠΈΡΠΌΠ΅ NTRU Prime, ΡΠ°Π·ΡΠ°Π±ΠΎΡΠ°Π½Π½ΠΎΠΌ Π΄Π»Ρ ΠΏΠΎΡΡΠΊΠ²Π°Π½ΡΡΠΌΠ½ΡΡ ΠΊΡΠΈΠΏΡΠΎΡΠΈΡΡΠ΅ΠΌ, ΠΈ ΠΌΠ΅ΡΠΎΠ΄Π΅ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΊΠ»ΡΡΠ°ΠΌΠΈ Π½Π° Π±Π°Π·Π΅ ΡΠ»Π»ΠΈΠΏΡΠΈΡΠ΅ΡΠΊΠΈΡ ΠΊΡΠΈΠ²ΡΡ X25519. ΠΠΌΠ΅ΡΡΠΎ [posta elektroniko bidez babestua] ΠΌΠ΅ΡΠΎΠ΄ ΡΠ΅ΠΏΠ΅ΡΡ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΡΠ΅ΡΡΡ ΠΊΠ°ΠΊ [posta elektroniko bidez babestua] (sntrup4591761 algoritmoa sntrup761-rekin ordezkatu da).
- Ssh eta sshd-n, onartutako sinadura digitalaren algoritmoak iragartzen diren ordena aldatu da. ED25519 lehen eskaintzen da orain ECDSAren ordez.
- Ssh eta sshd-n, saio interaktiboetarako TOS/DSCP zerbitzuaren kalitate-parametroak ezartzea egiten da orain TCP konexioa ezarri aurretik.
- Zifraketaren euskarria eten egin da ssh eta sshd-en [posta elektroniko bidez babestua], aes256-cbc-ren berdina dena eta RFC-4253 onartu aurretik erabili zen.
- Lehenespenez, CheckHostIP parametroa desgaituta dago, eta horren onura arbuiagarria da, baina erabilerak nabarmen zailtzen du karga-orekatzaileen atzean dauden ostalarien gakoen biraketa.
- PerSourceMaxStartups eta PerSourceNetBlockSize ezarpenak gehitu dira sshd-ra, bezeroaren helbidean oinarrituta abiarazteko kudeatzaileen intentsitatea mugatzeko. Parametro hauek prozesuen abiarazteen muga finago kontrolatzeko aukera ematen dute, MaxStartups ezarpen orokorrarekin alderatuta.
- LogVerbose ezarpen berri bat gehitu da ssh eta sshd-i, eta horri esker, erregistrora isuritako arazketa-informazioaren maila indarrez igo dezakezu, txantiloi, funtzio eta fitxategien arabera iragazteko aukerarekin.
- Ssh-n, ostalari-gako berri bat onartzean, gakoarekin lotutako ostalari-izen eta IP helbide guztiak erakusten dira.
- ssh-k UserKnownHostsFile=none aukerari ezaguna_hosts fitxategiaren erabilera desgaitzeko aukera ematen dio ostalariaren gakoak identifikatzean.
- KnownHostsCommand ezarpena gehitu da ssh_config-era sshrako, zehaztutako komandoaren irteeratik known_hosts datuak lortzeko aukera emanez.
- PermitRemoteOpen aukera bat gehitu da ssh_config-era sshrako RemoteForward aukera SOCKS-ekin erabiltzean helmuga mugatu ahal izateko.
- FIDO gakoetarako ssh-n, behin eta berriz errepikatzen den PIN eskaera bat ematen da sinadura digitalaren eragiketa huts egiten bada PIN oker baten ondorioz eta erabiltzaileari PINa eskatzen ez zaionean (adibidez, datu biometriko zuzenak ezin izan direnean lortu eta gailua eskuz PIN sarrerara itzuli da).
- sshd-k sistema-dei gehigarrietarako laguntza gehitzen dio Linux-en seccomp-bpf-en oinarritutako prozesuak isolatzeko mekanismoari.
- contrib/ssh-copy-id utilitatea eguneratu da.
Iturria: opennet.ru