Lau hilabeteko garapenaren ondoren, OpenSSH 8.7ren kaleratzea aurkeztu zen, SSH 2.0 eta SFTP protokoloen gainean lan egiteko bezero eta zerbitzari baten inplementazio irekia.
Aldaketa nagusiak:
- Datuak transferitzeko modu esperimental bat gehitu zaio scp-ri SFTP protokoloa erabiliz, SCP/RCP protokolo tradizionalaren ordez. SFTP-k izenak kudeatzeko metodo aurreikusgarriagoak erabiltzen ditu eta ez du erabiltzen beste ostalariaren aldean glob ereduen shell-eko prozesamendua, eta horrek segurtasun arazoak sortzen ditu. scp-n SFTP gaitzeko, β-sβ bandera proposatu da, baina etorkizunean protokolo honetara lehenespenez aldatzea aurreikusten da.
- sftp-server-ek SFTP protokoloaren luzapenak ezartzen ditu ~/ eta ~user/ bideak zabaltzeko, scp-rako beharrezkoa dena.
- scp utilitateak portaera aldatu du urrutiko bi ostalariren artean fitxategiak kopiatzerakoan (adibidez, "scp host-a:/path host-b:"), eta gaur egun bitarteko ostalari lokal baten bidez egiten da lehenespenez, " -3" bandera. Ikuspegi honek lehen ostalariari alferrikako kredentzialak pasatzea eta shell-eko fitxategi-izenen interpretazio hirukoitza (iturburuan, helmugan eta sistema lokalean) saihesteko aukera ematen du, eta SFTP erabiltzean, urruneko sarbidean autentifikazio-metodo guztiak erabiltzeko aukera ematen du. ostalariak, eta ez metodo ez-interaktiboak soilik. "-R" aukera gehitu da portaera zaharra berreskuratzeko.
- ForkAfterAuthentication ezarpena gehitu da "-f" banderari dagokion ssh-ra.
- StdinNull ezarpena gehitu da ssh-ra, "-n" banderari dagokiona.
- SessionType ezarpena gehitu da ssh-ra, eta, horren bidez, "-N" (saiorik ez) eta "-s" (azpisistema) markei dagozkien moduak ezar ditzakezu.
- ssh-keygen-ek gako-fitxategietan gako-baliotasun-tarte bat zehazteko aukera ematen du.
- "-Oprint-pubkey" bandera gehitu da ssh-keygen gako publiko osoa sshsig sinaduraren zati gisa inprimatzeko.
- Ssh eta sshd-n, bezeroa eta zerbitzaria mugitu dira konfigurazio-fitxategien analizatzaile murriztaileagoa erabiltzera, komatxoak, zuriuneak eta ihes-karaktereak kudeatzeko shell antzeko arauak erabiltzen dituena. Analizatzaile berriak ere ez ditu alde batera uzten aldez aurretik egindako hipotesiak, hala nola aukeretan argumentuak ezabatzea (adibidez, DenyUsers zuzentaraua ezin da jada hutsik utzi), itxi gabeko komatxoak eta = karaktere anitz zehaztea.
- SSHFP DNS erregistroak erabiltzen dituzunean gakoak egiaztatzean, ssh-k bat datozen erregistro guztiak egiaztatzen ditu orain, ez soilik sinadura digital mota zehatz bat duten horiek.
- Ssh-keygen-en, -Ochallenge aukerarekin FIDO gako bat sortzen denean, integratutako geruza hashing-erako erabiltzen da orain, libfido2 baino, 32 byte baino handiagoak edo txikiagoak diren erronka-sekuentziak erabiltzea ahalbidetzen duena.
- Sshd-n, authorized_keys fitxategietan ingurumena="..." direktibak prozesatzen direnean, lehen bat-etortzea onartzen da orain eta 1024 ingurune-aldagai-izen muga dago.
OpenSSH garatzaileek SHA-1 hash-ak erabiliz algoritmoen deskonposizioari buruz ere ohartarazi zuten talka-erasoen eraginkortasuna areagotu delako aurrizki jakin batekin (talka hautatzeko kostua 50 mila dolar gutxi gorabehera estimatzen da). Hurrengo bertsioan, lehenespenez desgaitu nahi dugu "ssh-rsa" gako publikoko sinadura digitalaren algoritmoa erabiltzeko gaitasuna, jatorrizko RFC-n SSH protokolorako aipatzen zena eta praktikan oso erabilia izaten jarraitzen duena.
Zure sistemetan ssh-rsa-ren erabilera probatzeko, ssh bidez konektatzen saiatu zaitezke "-oHostKeyAlgorithms=-ssh-rsa" aukerarekin. Aldi berean, "ssh-rsa" sinadura digitalak lehenespenez desgaitzeak ez du esan nahi RSA gakoen erabilera erabat uztea, SHA-1ez gain, SSH protokoloak hash kalkulurako beste algoritmo batzuk erabiltzeko aukera ematen baitu. Bereziki, "ssh-rsa"z gain, "rsa-sha2-256" (RSA/SHA256) eta "rsa-sha2-512" (RSA/SHA512) sortak erabiltzeko aukera izango da.
Algoritmo berrietarako trantsizioa leuntzeko, OpenSSH-k aldez aurretik UpdateHostKeys ezarpena gaituta zuen lehenespenez, bezeroei automatikoki algoritmo fidagarriagoetara aldatzeko aukera ematen diena. Ezarpen hau erabiliz, protokolo-luzapen berezi bat gaituta dago "[posta elektroniko bidez babestua]", zerbitzariari, autentifikatu ondoren, bezeroari eskuragarri dauden ostalari-gako guztiei buruz informatzeko aukera emanez. Bezeroak gako hauek bere ~/.ssh/known_hosts fitxategian isla ditzake, eta horri esker ostalariaren gakoak eguneratzen dira eta zerbitzarian gakoak aldatzea errazten du.
UpdateHostKeys-en erabilera etorkizunean ezabatu daitezkeen hainbat oharrengatik mugatuta dago: gakoak UserKnownHostsFile-n erreferentzia egin behar zaio eta ez GlobalKnownHostsFile-n erabili; giltzak izen bakarrarekin egon behar du; ostalariaren gakoaren ziurtagiria ez da erabili behar; ostalari_ezagunetan ez dira erabili behar ostalariaren izenaren maskarak; VerifyHostKeyDNS ezarpena desgaitu egin behar da; UserKnownHostsFile parametroak aktibo egon behar du.
Migraziorako gomendatutako algoritmoen artean RFC2 RSA SHA-256-n oinarritutako rsa-sha512-8332/2 (OpenSSH 7.2-tik onartzen da eta lehenespenez erabiltzen da), ssh-ed25519 (OpenSSH 6.5-tik onartzen da) eta ecdsa-sha2-nistp256/384/521/5656-n oinarrituta daude. RFC5.7 ECDSAn (OpenSSH XNUMXtik onartzen da).
Iturria: opennet.ru