Neljän kuukauden kehitystyön jälkeen
Suurimmat muutokset:
- Tietoturvamuutokset:
- Kun ssh-agentissa käytetään FIDO-avaimia, joita ei ole luotu SSH-todennusta varten (avaintunnus ei ala merkkijonolla "ssh:"), se nyt tarkistaa, että viesti allekirjoitetaan SSH-protokollassa käytetyillä menetelmillä. Muutos ei salli ssh-agentin uudelleenohjaamista etäisäntäkoneille, joilla on FIDO-avaimet estämään kyky käyttää näitä avaimia allekirjoitusten luomiseen verkkotodennuspyyntöjä varten (käänteinen tapaus, kun selain voi allekirjoittaa SSH-pyynnön, on alun perin poissuljettu johtuen "ssh:"-etuliiteestä avaimen tunnisteessa).
- ssh-keygenin pysyvän avaimen luonti sisältää tuen FIDO 2.1 -spesifikaatiossa kuvatulle credProtect-lisäosalle, joka tarjoaa lisäsuojaa avaimille vaatimalla PIN-koodin ennen kuin suoritetaan mitään toimintoa, joka saattaa johtaa pysyvän avaimen purkamiseen tunnuksesta.
- Mahdollisesti rikkoutuvat yhteensopivuusmuutokset:
- FIDO/U2F:n tukemiseksi on suositeltavaa käyttää libfido2-kirjastoa vähintään versiota 1.5.0. Mahdollisuus käyttää vanhempia versioita on osittain otettu käyttöön, mutta tässä tapauksessa toiminnot, kuten pysyvät avaimet, PIN-kysely ja useiden tokenien yhdistäminen, eivät ole käytettävissä.
- Ssh-keygenissä vahvistustietojen muotoon on lisätty digitaalisten allekirjoitusten vahvistamiseen tarvittavat autentikaattoritiedot, jotka on valinnaisesti tallennettu FIDO-avainta generoitaessa.
- Sovellusliittymää, jota käytetään, kun OpenSSH on vuorovaikutuksessa FIDO-tunnuksiin pääsyn kerroksen kanssa, on muutettu.
- Kun rakennetaan OpenSSH:n kannettava versio, automaattinen valmistus vaaditaan nyt määrityskomentosarjan ja siihen liittyvien koontitiedostojen luomiseen (jos rakennetaan julkaistusta kooditar-tiedostosta, konfigurointia ei vaadita uudelleen).
- Lisätty tuki FIDO-avaimille, jotka vaativat PIN-koodin vahvistuksen ssh- ja ssh-keygenissä. Luodaksesi avaimia PIN-koodilla, ssh-keygeniin on lisätty "verify-required" -vaihtoehto. Jos tällaisia avaimia käytetään, käyttäjää pyydetään vahvistamaan toimintansa antamalla PIN-koodi ennen allekirjoituksen luomista.
- Sshd:ssä "verify-required" -vaihtoehto on otettu käyttöön authorised_keys-asetuksissa, mikä edellyttää ominaisuuksien käyttöä käyttäjän läsnäolon tarkistamiseen tunnuksella käytettäessä. FIDO-standardi tarjoaa useita vaihtoehtoja tällaiseen todentamiseen, mutta tällä hetkellä OpenSSH tukee vain PIN-pohjaista vahvistusta.
- sshd ja ssh-keygen ovat lisänneet tuen digitaalisten allekirjoitusten tarkistamiseen, jotka ovat FIDO Webauthn -standardin mukaisia, mikä sallii FIDO-avaimien käytön verkkoselaimissa.
- ssh:n CertificateFile-asetuksissa,
ControlPath, IdentityAgent, IdentityFile, LocalForward ja
RemoteForward mahdollistaa arvojen korvaamisen ympäristömuuttujista, jotka on määritetty muodossa "${ENV}". - ssh ja ssh-agent ovat lisänneet tuen ympäristömuuttujalle $SSH_ASKPASS_REQUIRE, jota voidaan käyttää ssh-askpass-kutsun ottamiseksi käyttöön tai poistamiseksi käytöstä.
- AddKeysToAgent-direktiivin ssh_config-kohdassa olevaan ssh:hen on lisätty mahdollisuus rajoittaa avaimen voimassaoloaikaa. Kun määritetty raja on umpeutunut, avaimet poistetaan automaattisesti ssh-agentista.
- Scp:ssä ja sftp:ssä voit nyt nimenomaisesti sallia uudelleenohjauksen scp:hen ja sftp:hen käyttämällä merkintää "-A" käyttämällä ssh-agenttia (uudelleenohjaus on oletusarvoisesti poissa käytöstä).
- Lisätty tuki '%k' -korvaukselle ssh-asetuksissa, mikä määrittää isäntäavaimen nimen. Tätä ominaisuutta voidaan käyttää avainten jakamiseen erillisiin tiedostoihin (esimerkiksi "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
- Salli "ssh-add -d -" -toiminnon käyttö stdin-avainten lukemiseen, jotka halutaan poistaa.
- Sshd:ssä yhteyden karsimisen alku ja loppu näkyvät lokissa, jota säädetään MaxStartups-parametrilla.
OpenSSH-kehittäjät muistuttivat myös SHA-1-tiivistettä käyttävien algoritmien tulevasta käytöstä poistamisesta johtuen
Uusiin OpenSSH-algoritmeihin siirtymisen helpottamiseksi seuraava versio ottaa oletusarvoisesti käyttöön UpdateHostKeys-asetuksen, joka siirtää asiakkaat automaattisesti luotettavampiin algoritmeihin. Suositeltuja siirtoalgoritmeja ovat rsa-sha2-256/512, joka perustuu RFC8332 RSA SHA-2:een (tuettu OpenSSH 7.2:sta lähtien ja käytössä oletuksena), ssh-ed25519 (tuettu OpenSSH 6.5:stä lähtien) ja ecdsa-sha2-nistp256/384-pohjainen521/5656/5.7. RFCXNUMX ECDSA:ssa (tuettu OpenSSH XNUMX:stä lähtien).
Lähde: opennet.ru