ProHoster > Blogi > netin uutisia > OpenSSH 8.0 -julkaisu

OpenSSH 8.0 -julkaisu

Viiden kuukauden kehitystyön jälkeen esitetty vapauta OpenSSH 8.0, avoin asiakas- ja palvelintoteutus SSH 2.0- ja SFTP-protokollien kautta työskentelemiseen.

Suurimmat muutokset:

  • Ssh- ja sshd:hin on lisätty kokeellinen tuki avaintenvaihtomenetelmälle, joka kestää kvanttitietokoneen raakoja hyökkäyksiä. Kvanttitietokoneet ovat radikaalisti nopeampia ratkaisemaan ongelman luonnollisen luvun hajottamisesta alkutekijöihin, mikä on nykyaikaisten epäsymmetristen salausalgoritmien taustalla ja jota ei voida ratkaista tehokkaasti klassisilla prosessoreilla. Ehdotettu menetelmä perustuu algoritmiin NTRU Prime (funktio ntrup4591761), kehitetty postkvanttisalausjärjestelmille, ja elliptisen käyrän avaimenvaihtomenetelmä X25519;
  • Sshd:ssä ListenAddress- ja PermitOpen-direktiivit eivät enää tue vanhaa "isäntä/portti"-syntaksia, joka otettiin käyttöön vuonna 2001 vaihtoehtona "host:port":lle IPv6:n kanssa työskentelyn yksinkertaistamiseksi. Nykyaikaisissa olosuhteissa IPv6:lle on määritetty syntaksi "[::1]:22", ja "isäntä/portti" sekoitetaan usein aliverkon (CIDR) osoittamiseen.
  • ssh, ssh-agent ja ssh-add tukevat nyt avaimia ECDSA PKCS#11-tokeneissa;
  • Ssh-keygenissä RSA-avaimen oletuskoko on kasvatettu 3072 bittiin uusien NIST-suositusten mukaisesti;
  • ssh sallii "PKCS11Provider=none"-asetuksen käytön ohittamaan kohdassa ssh_config määritetyn PKCS11Provider-direktiivin;
  • sshd tarjoaa lokinäytön tilanteista, joissa yhteys katkeaa yritettäessä suorittaa komentoja, jotka sshd_config-tiedoston ForceCommand=internal-sftp-rajoitus estää;
  • Kun ssh:ssa näytetään pyyntö vahvistaa uuden isäntäavaimen hyväksyntä, "kyllä"-vastauksen sijaan hyväksytään nyt avaimen oikea sormenjälki (vastauksena yhteyden vahvistamiskutsuun käyttäjä voi kopioida erikseen vastaanotettu viitehajautus leikepöydän kautta, jotta sitä ei verrata manuaalisesti);
  • ssh-keygen tarjoaa automaattisen varmenteen järjestysnumeron lisäämisen luotaessa digitaalisia allekirjoituksia useille varmenteille komentorivillä;
  • Uusi vaihtoehto "-J" on lisätty scp:hen ja sftp:hen, joka vastaa ProxyJump-asetusta;
  • ssh-agentiin, ssh-pkcs11-helperiin ja ssh-add:iin on lisätty komentorivivalitsimen "-v" käsittely tulosteen tietosisällön lisäämiseksi (jos tämä asetus on määritetty, se välitetään aliprosesseille, esimerkiksi kun ssh-pkcs11-helper kutsutaan ssh-agentista );
  • "-T"-vaihtoehto on lisätty ssh-add:iin testaamaan ssh-agentin avainten soveltuvuutta digitaalisen allekirjoituksen luonti- ja vahvistustoimintojen suorittamiseen;
  • sftp-server toteuttaa tuen "lsetstat at openssh.com" -protokollalaajennukselle, joka lisää tuen SSH2_FXP_SETSTAT-toiminnolle SFTP:lle, mutta ilman symbolisten linkkien seuraamista;
  • Lisätty "-h"-vaihtoehto sftp:hen chown/chgrp/chmod-komentojen suorittamiseksi pyynnöillä, jotka eivät käytä symbolisia linkkejä;
  • sshd tarjoaa $SSH_CONNECTION-ympäristömuuttujan asettamisen PAM:lle;
  • sshd:lle "Match final" -sovitustila on lisätty kohtaan ssh_config, joka on samanlainen kuin "Match canonical", mutta se ei vaadi isäntänimen normalisointia.
  • Lisätty tuki @-etuliitteelle sftp:hen, jotta erätilassa suoritettujen komentojen tulosteen kääntäminen voidaan estää.
  • Kun näytät varmenteen sisällön komennolla
    "ssh-keygen -Lf /polku/varmenne" näyttää nyt algoritmin, jota CA käyttää varmenteen vahvistamiseen;

  • Parannettu tuki Cygwin-ympäristölle, esimerkiksi tarjoamalla ryhmien ja käyttäjänimien vertailua kirjainkoolla. Cygwin-portin sshd-prosessi on muutettu cygsshd:ksi, jotta vältetään häiriöt Microsoftin toimittaman OpenSSH-portin kanssa.
  • Lisätty mahdollisuus rakentaa kokeellisella OpenSSL 3.x -haaralla;
  • Eliminoitu haavoittuvuus (CVE-2019-6111) scp-apuohjelman toteutuksessa, joka sallii mielivaltaisten kohdehakemiston tiedostojen korvaamisen asiakaspuolella käytettäessä hyökkääjän hallitsemaa palvelinta. Ongelmana on, että scp:tä käytettäessä palvelin päättää, mitkä tiedostot ja hakemistot lähetetään asiakkaalle, ja asiakas tarkistaa vain palautettujen objektinimien oikeellisuuden. Asiakaspuolen tarkistus rajoittuu vain estämään matkan nykyisen hakemiston (../) ulkopuolelle, mutta se ei ota huomioon tiedostojen siirtoa, joiden nimi on eri kuin alun perin pyydetty. Rekursiivisen kopioinnin (-r) tapauksessa voit tiedostonimien lisäksi käsitellä alihakemistojen nimiä samalla tavalla. Jos käyttäjä esimerkiksi kopioi tiedostoja kotihakemistoon, hyökkääjän hallitsema palvelin voi tuottaa tiedostoja, joiden nimi on .bash_aliases tai .ssh/authorized_keys pyydettyjen tiedostojen sijaan, ja scp-apuohjelma tallentaa ne käyttäjän hakemistoon. kotihakemisto.

    Uudessa julkaisussa scp-apuohjelma on päivitetty tarkistamaan pyydettyjen tiedostonimien ja palvelimen lähettämien tiedostonimien vastaavuus, mikä suoritetaan asiakaspuolella. Tämä voi aiheuttaa ongelmia maskin käsittelyssä, koska maskin laajennusmerkkejä voidaan käsitellä eri tavalla palvelin- ja asiakaspuolella. Jos tällaiset erot aiheuttavat sen, että asiakas lopettaa tiedostojen hyväksymisen scp-muodossa, "-T" on lisätty estämään asiakaspuolen tarkistus. Ongelman täydellinen korjaaminen edellyttää scp-protokollan käsitteellistä uudelleenkäsittelyä, joka itsessään on jo vanhentunut, joten sen sijaan on suositeltavaa käyttää nykyaikaisempia protokollia, kuten sftp ja rsync.

Lähde: opennet.ru

Lisää kommentti