Neljän kuukauden kehitystyön jälkeen esiteltiin OpenSSH 8.7:n, avoimen asiakkaan ja palvelimen toteutus SSH 2.0- ja SFTP-protokollien yli työskentelyyn, julkaisu.
Suurimmat muutokset:
- Scp:hen on lisätty kokeellinen tiedonsiirtotila käyttämällä SFTP-protokollaa perinteisen SCP/RCP-protokollan sijaan. SFTP käyttää ennakoitavampia nimenkäsittelymenetelmiä eikä käytä glob-kuvioiden shell-käsittelyä toisen isäntäpuolen puolella, mikä aiheuttaa turvallisuusongelmia. SFTP:n käyttöön ottamiseksi scp:ssä on ehdotettu "-s"-lippua, mutta tulevaisuudessa on tarkoitus vaihtaa oletusarvoisesti tähän protokollaan.
- sftp-server toteuttaa SFTP-protokollan laajennuksia ~/- ja ~user/-polkujen laajentamiseksi, mikä on tarpeen scp:lle.
- scp-apuohjelma on muuttanut käyttäytymistä kopioitaessa tiedostoja kahden etäisännän välillä (esimerkiksi "scp host-a:/path host-b:"), mikä tehdään nyt oletuksena paikallisen välipalvelimen kautta, kuten määritettäessä " -3" lippu. Tämän lähestymistavan avulla voit välttää tarpeettomien valtuustietojen välittämisen ensimmäiselle isännälle ja tiedostonimien kolminkertaisen tulkinnan komentotulkissa (lähde-, kohde- ja paikallisjärjestelmän puolella), ja SFTP:tä käytettäessä sen avulla voit käyttää kaikkia todennusmenetelmiä etäkäyttöä käytettäessä. isännät, ei vain ei-vuorovaikutteiset menetelmät . "-R"-vaihtoehto on lisätty palauttamaan vanha toiminta.
- Lisätty ForkAfterAuthentication-asetus ssh:hen, joka vastaa "-f"-lippua.
- Lisätty StdinNull-asetus ssh:hen, joka vastaa "-n"-lippua.
- Ssh:hen on lisätty SessionType-asetus, jonka avulla voit asettaa tilat, jotka vastaavat "-N" (ei istuntoa) ja "-s" (alijärjestelmä) -lippuja.
- ssh-keygen antaa sinun määrittää avaimen voimassaolovälin avaintiedostoissa.
- Lisätty "-Oprint-pubkey" -lippu ssh-keygeniin, jotta koko julkinen avain tulostetaan osana sshsig-allekirjoitusta.
- Ssh:ssä ja sshd:ssä sekä asiakas että palvelin on siirretty käyttämään rajoittavampaa asetustiedostojen jäsennintä, joka käyttää komentotulkkimaisia sääntöjä lainausmerkkien, välilyöntien ja erotusmerkkien käsittelyyn. Uusi jäsentäjä ei myöskään jätä huomiotta aiemmin tehtyjä oletuksia, kuten argumenttien jättämistä pois valinnoista (esimerkiksi DenyUsers-direktiiviä ei voi enää jättää tyhjäksi), sulkemattomia lainausmerkkejä ja useiden =-merkkien määrittämistä.
- Käytettäessä SSHFP DNS-tietueita avaimien vahvistamisessa, ssh tarkistaa nyt kaikki vastaavat tietueet, ei vain niitä, jotka sisältävät tietyntyyppisen digitaalisen allekirjoituksen.
- Kun ssh-keygenissä luodaan FIDO-avainta -Ochallenge-vaihtoehdolla, sisäänrakennettua kerrosta käytetään nyt hajauttamiseen libfido2:n sijaan, joka sallii 32 tavua suurempien tai pienempien haastesekvenssien käytön.
- Kun sshd:ssä käsitellään Environment="..."-käskyjä authorised_keys-tiedostoissa, ensimmäinen vastaavuus hyväksytään ja ympäristömuuttujien nimen raja on 1024.
OpenSSH-kehittäjät varoittivat myös algoritmien hajoamisesta SHA-1-tiivistettä käyttäen, koska törmäyshyökkäysten tehokkuus on lisääntynyt tietyllä etuliitteellä (törmäyksen valinnan hinnaksi arvioidaan noin 50 tuhatta dollaria). Seuraavassa julkaisussa aiomme poistaa oletusarvoisesti käytöstä julkisen avaimen digitaalisen allekirjoitusalgoritmin "ssh-rsa", joka mainittiin alkuperäisessä RFC:ssä SSH-protokollalle ja joka on edelleen laajalti käytössä.
Jos haluat testata ssh-rsa:n käyttöä järjestelmissäsi, voit yrittää muodostaa yhteyden ssh:n kautta "-oHostKeyAlgorithms=-ssh-rsa"-vaihtoehdolla. Samaan aikaan "ssh-rsa" digitaalisten allekirjoitusten poistaminen oletusarvoisesti käytöstä ei tarkoita täydellistä luopumista RSA-avainten käytöstä, koska SSH-protokolla sallii SHA-1:n lisäksi muiden hash-laskenta-algoritmien käytön. Erityisesti "ssh-rsa":n lisäksi on edelleen mahdollista käyttää "rsa-sha2-256" (RSA/SHA256) ja "rsa-sha2-512" (RSA/SHA512) -nippuja.
Uusiin algoritmeihin siirtymisen helpottamiseksi OpenSSH:ssa oli aiemmin oletusarvoisesti käytössä UpdateHostKeys-asetus, jonka avulla asiakkaat voivat vaihtaa automaattisesti luotettavampiin algoritmeihin. Tätä asetusta käyttämällä erityinen protokollalaajennus otetaan käyttöön "[sähköposti suojattu]", jolloin palvelin voi todennuksen jälkeen ilmoittaa asiakkaalle kaikista käytettävissä olevista isäntäavaimista. Asiakas voi näyttää nämä avaimet ~/.ssh/known_hosts-tiedostossaan, mikä mahdollistaa isäntäavainten päivittämisen ja helpottaa avainten vaihtamista palvelimella.
UpdateHostKeysin käyttöä rajoittavat useat varoitukset, jotka voidaan poistaa tulevaisuudessa: avaimeen on viitattava UserKnownHostsFile-tiedostossa, eikä sitä saa käyttää GlobalKnownHostsFile-tiedostossa; avain saa olla vain yhdellä nimellä; isäntäavaimen varmennetta ei tule käyttää; Tunnetut_isännät -kohdassa ei tule käyttää isäntänimen peitteitä; VerifyHostKeyDNS-asetus on poistettava käytöstä; UserKnownHostsFile-parametrin on oltava aktiivinen.
Suositeltuja siirtoalgoritmeja ovat rsa-sha2-256/512, joka perustuu RFC8332 RSA SHA-2:een (tuettu OpenSSH 7.2:sta lähtien ja käytössä oletuksena), ssh-ed25519 (tuettu OpenSSH 6.5:stä lähtien) ja ecdsa-sha2-nistp256/384-pohjainen521/5656/5.7. RFCXNUMX ECDSA:ssa (tuettu OpenSSH XNUMX:stä lähtien).
Lähde: opennet.ru