ProHoster > Blogi > netin uutisia > OpenSSH 8.4 -julkaisu

OpenSSH 8.4 -julkaisu

Neljän kuukauden kehitystyön jälkeen esitetty OpenSSH 8.4:n julkaisu, avoin asiakas- ja palvelintoteutus SSH 2.0- ja SFTP-protokollien käyttämiseen.

Suurimmat muutokset:

  • Tietoturvamuutokset:
    • Kun ssh-agentissa käytetään FIDO-avaimia, joita ei ole luotu SSH-todennusta varten (avaintunnus ei ala merkkijonolla "ssh:"), se nyt tarkistaa, että viesti allekirjoitetaan SSH-protokollassa käytetyillä menetelmillä. Muutos ei salli ssh-agentin uudelleenohjaamista etäisäntäkoneille, joilla on FIDO-avaimet estämään kyky käyttää näitä avaimia allekirjoitusten luomiseen verkkotodennuspyyntöjä varten (käänteinen tapaus, kun selain voi allekirjoittaa SSH-pyynnön, on alun perin poissuljettu johtuen "ssh:"-etuliiteestä avaimen tunnisteessa).
    • ssh-keygenin pysyvän avaimen luonti sisältää tuen FIDO 2.1 -spesifikaatiossa kuvatulle credProtect-lisäosalle, joka tarjoaa lisäsuojaa avaimille vaatimalla PIN-koodin ennen kuin suoritetaan mitään toimintoa, joka saattaa johtaa pysyvän avaimen purkamiseen tunnuksesta.
  • Mahdollisesti rikkoutuvat yhteensopivuusmuutokset:
    • FIDO/U2F:n tukemiseksi on suositeltavaa käyttää libfido2-kirjastoa vähintään versiota 1.5.0. Mahdollisuus käyttää vanhempia versioita on osittain otettu käyttöön, mutta tässä tapauksessa toiminnot, kuten pysyvät avaimet, PIN-kysely ja useiden tokenien yhdistäminen, eivät ole käytettävissä.
    • Ssh-keygenissä vahvistustietojen muotoon on lisätty digitaalisten allekirjoitusten vahvistamiseen tarvittavat autentikaattoritiedot, jotka on valinnaisesti tallennettu FIDO-avainta generoitaessa.
    • Sovellusliittymää, jota käytetään, kun OpenSSH on vuorovaikutuksessa FIDO-tunnuksiin pääsyn kerroksen kanssa, on muutettu.
    • Kun rakennetaan OpenSSH:n kannettava versio, automaattinen valmistus vaaditaan nyt määrityskomentosarjan ja siihen liittyvien koontitiedostojen luomiseen (jos rakennetaan julkaistusta kooditar-tiedostosta, konfigurointia ei vaadita uudelleen).
  • Lisätty tuki FIDO-avaimille, jotka vaativat PIN-koodin vahvistuksen ssh- ja ssh-keygenissä. Luodaksesi avaimia PIN-koodilla, ssh-keygeniin on lisätty "verify-required" -vaihtoehto. Jos tällaisia ​​avaimia käytetään, käyttäjää pyydetään vahvistamaan toimintansa antamalla PIN-koodi ennen allekirjoituksen luomista.
  • Sshd:ssä "verify-required" -vaihtoehto on otettu käyttöön authorised_keys-asetuksissa, mikä edellyttää ominaisuuksien käyttöä käyttäjän läsnäolon tarkistamiseen tunnuksella käytettäessä. FIDO-standardi tarjoaa useita vaihtoehtoja tällaiseen todentamiseen, mutta tällä hetkellä OpenSSH tukee vain PIN-pohjaista vahvistusta.
  • sshd ja ssh-keygen ovat lisänneet tuen digitaalisten allekirjoitusten tarkistamiseen, jotka ovat FIDO Webauthn -standardin mukaisia, mikä sallii FIDO-avaimien käytön verkkoselaimissa.
  • ssh:n CertificateFile-asetuksissa,
    ControlPath, IdentityAgent, IdentityFile, LocalForward ja
    RemoteForward mahdollistaa arvojen korvaamisen ympäristömuuttujista, jotka on määritetty muodossa "${ENV}".

  • ssh ja ssh-agent ovat lisänneet tuen ympäristömuuttujalle $SSH_ASKPASS_REQUIRE, jota voidaan käyttää ssh-askpass-kutsun ottamiseksi käyttöön tai poistamiseksi käytöstä.
  • AddKeysToAgent-direktiivin ssh_config-kohdassa olevaan ssh:hen on lisätty mahdollisuus rajoittaa avaimen voimassaoloaikaa. Kun määritetty raja on umpeutunut, avaimet poistetaan automaattisesti ssh-agentista.
  • Scp:ssä ja sftp:ssä voit nyt nimenomaisesti sallia uudelleenohjauksen scp:hen ja sftp:hen käyttämällä merkintää "-A" käyttämällä ssh-agenttia (uudelleenohjaus on oletusarvoisesti poissa käytöstä).
  • Lisätty tuki '%k' -korvaukselle ssh-asetuksissa, mikä määrittää isäntäavaimen nimen. Tätä ominaisuutta voidaan käyttää avainten jakamiseen erillisiin tiedostoihin (esimerkiksi "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
  • Salli "ssh-add -d -" -toiminnon käyttö stdin-avainten lukemiseen, jotka halutaan poistaa.
  • Sshd:ssä yhteyden karsimisen alku ja loppu näkyvät lokissa, jota säädetään MaxStartups-parametrilla.

OpenSSH-kehittäjät muistuttivat myös SHA-1-tiivistettä käyttävien algoritmien tulevasta käytöstä poistamisesta johtuen edistäminen törmäyshyökkäysten tehokkuus tietyllä etuliitteellä (törmäyksen valinnan hinta on arviolta noin 45 tuhatta dollaria). Yhdessä tulevassa julkaisussa he suunnittelevat poistavansa oletusarvoisesti käytöstä julkisen avaimen digitaalisen allekirjoitusalgoritmin ”ssh-rsa”, joka mainitaan alkuperäisessä RFC:ssä SSH-protokollalle ja on edelleen laajalle levinnyt käytännössä (käytön testaamiseksi). ssh-rsa:sta järjestelmissäsi, voit yrittää muodostaa yhteyden ssh:n kautta vaihtoehdolla "-oHostKeyAlgorithms=-ssh-rsa").

Uusiin OpenSSH-algoritmeihin siirtymisen helpottamiseksi seuraava versio ottaa oletusarvoisesti käyttöön UpdateHostKeys-asetuksen, joka siirtää asiakkaat automaattisesti luotettavampiin algoritmeihin. Suositeltuja siirtoalgoritmeja ovat rsa-sha2-256/512, joka perustuu RFC8332 RSA SHA-2:een (tuettu OpenSSH 7.2:sta lähtien ja käytössä oletuksena), ssh-ed25519 (tuettu OpenSSH 6.5:stä lähtien) ja ecdsa-sha2-nistp256/384-pohjainen521/5656/5.7. RFCXNUMX ECDSA:ssa (tuettu OpenSSH XNUMX:stä lähtien).

Lähde: opennet.ru

Lisää kommentti