Nei fjouwer moannen fan ûntwikkeling waard de frijlitting fan OpenSSH 8.7, in iepen ymplemintaasje fan in kliïnt en server foar it wurkjen oer de SSH 2.0- en SFTP-protokollen, presintearre.
Grutte feroaringen:
- In eksperimintele gegevensferfiermodus is tafoege oan scp mei it SFTP-protokol ynstee fan it tradisjonele SCP/RCP-protokol. SFTP brûkt mear foarsisbere nammebehanneling metoaden en brûkt gjin shell ferwurking fan glob patroanen oan de oare host syn kant, dat soarget foar feiligens problemen. Om SFTP yn scp yn te skeakeljen, is de flagge "-s" foarsteld, mar yn 'e takomst is it plan om standert te wikseljen nei dit protokol.
- sftp-tsjinner ymplementearret útwreidingen oan it SFTP-protokol om de ~/ en ~user/ paden út te wreidzjen, wat nedich is foar scp.
- It scp-hulpprogramma hat it gedrach feroare by it kopiearjen fan bestannen tusken twa hosts op ôfstân (bygelyks "scp host-a:/path host-b:"), wat no standert dien wurdt troch in tuskenlizzende lokale host, lykas by it opjaan fan de " -3" flagge. Dizze oanpak lit jo foarkomme dat jo ûnnedige referinsjes nei de earste host en trije ynterpretaasje fan bestânsnammen yn 'e shell (oan' e boarne, bestimming en lokale systeemkant) trochjaan, en by it brûken fan SFTP kinne jo alle autentikaasjemetoaden brûke by tagong op ôfstân hosts, en net allinich net-ynteraktive metoaden. De opsje "-R" is tafoege om it âlde gedrach te herstellen.
- ForkAfterAuthentication ynstelling tafoege oan ssh oerienkommende mei de "-f" flagge.
- Added StdinNull ynstelling oan ssh, oerienkommende mei de "-n" flagge.
- In SessionType-ynstelling is tafoege oan ssh, wêrtroch jo modi kinne ynstelle dy't oerienkomme mei de flaggen "-N" (gjin sesje) en "-s" (subsysteem).
- ssh-keygen kinne jo in kaai jildichheid ynterval opjaan yn kaai triemmen.
- Flag "-Oprint-pubkey" tafoege oan ssh-keygen om de folsleine iepenbiere kaai te printsjen as ûnderdiel fan 'e sshsig-hântekening.
- Yn ssh en sshd binne sawol kliïnt as tsjinner ferpleatst om in mear beheinende konfiguraasjetriemparser te brûken dy't shell-like regels brûkt foar it behanneljen fan quotes, spaasjes en escape-tekens. De nije parser negearret ek earder makke oannames net, lykas it weilitten fan arguminten yn opsjes (bygelyks de DenyUsers-rjochtline kin net langer leech wurde litten), net-sletten sitaten en it opjaan fan meardere = tekens.
- By it brûken fan SSHFP DNS-records by it ferifiearjen fan kaaien, kontrolearret ssh no alle oerienkommende records, net allinich dejingen dy't in spesifyk type digitale hantekening befetsje.
- Yn ssh-keygen, by it generearjen fan in FIDO-kaai mei de -Ochallenge-opsje, wurdt de ynboude laach no brûkt foar hashing, ynstee fan libfido2, wêrtroch it gebrûk fan útdagingssekwinsjes grutter of lytser is dan 32 bytes.
- Yn sshd, by it ferwurkjen fan omjouwing = "..." rjochtlinen yn authorized_keys triemmen, de earste wedstriid wurdt no akseptearre en der is in limyt fan 1024 omjouwingsfariabele nammen.
De OpenSSH-ûntwikkelders warskôge ek oer de ûntbining fan algoritmen mei SHA-1-hashes troch de ferhege effisjinsje fan botsingsoanfallen mei in opjûne foarheaksel (de kosten foar it selektearjen fan in botsing wurde rûsd op sawat 50 tûzen dollar). Yn 'e folgjende útjefte binne wy fan plan om standert de mooglikheid út te skeakeljen om it algoritme fan' e publike kaai digitale hantekening "ssh-rsa" te brûken, dat waard neamd yn 'e orizjinele RFC foar it SSH-protokol en bliuwt breed brûkt yn' e praktyk.
Om it gebrûk fan ssh-rsa op jo systemen te testen, kinne jo besykje te ferbinen fia ssh mei de opsje "-oHostKeyAlgorithms=-ssh-rsa". Tagelyk betsjuttet it standert útskeakeljen fan "ssh-rsa" digitale hantekeningen net in folslein ferlitten fan it brûken fan RSA-kaaien, om't neist SHA-1 it SSH-protokol it gebrûk makket fan oare hash-berekkeningsalgoritmen. Benammen, neist "ssh-rsa", sil it mooglik bliuwe om de bondels "rsa-sha2-256" (RSA/SHA256) en "rsa-sha2-512" (RSA/SHA512) te brûken.
Om de oergong nei nije algoritmen glêd te meitsjen, hie OpenSSH earder de ynstelling UpdateHostKeys standert ynskeakele, wêrtroch kliïnten automatysk oerskeakelje kinne nei betrouberere algoritmen. Mei dizze ynstelling is in spesjale protokolútwreiding ynskeakele "[e-post beskerme]", wêrtroch de tsjinner, nei autentikaasje, de kliïnt ynformearje kin oer alle beskikbere hostkaaien. De kliïnt kin dizze kaaien reflektearje yn syn ~/.ssh/known_hosts-bestân, wêrtroch de hostkaaien bywurke wurde kinne en it makliker meitsje om kaaien op 'e tsjinner te feroarjen.
It gebrûk fan UpdateHostKeys wurdt beheind troch ferskate warskôgingen dy't yn 'e takomst fuortsmiten wurde kinne: de kaai moat wurde ferwiisd yn' e UserKnownHostsFile en net brûkt yn 'e GlobalKnownHostsFile; de kaai moat oanwêzich wêze ûnder mar ien namme; in hostkaaisertifikaat moat net brûkt wurde; yn bekende_hosts moatte maskers op hostnamme net brûkt wurde; de VerifyHostKeyDNS-ynstelling moat útskeakele wurde; De parameter UserKnownHostsFile moat aktyf wêze.
Oanrikkemandearre algoritmen foar migraasje omfetsje rsa-sha2-256/512 basearre op RFC8332 RSA SHA-2 (stipe sûnt OpenSSH 7.2 en standert brûkt), ssh-ed25519 (stipe sûnt OpenSSH 6.5) en ecdsa-sha2-nistp256/384 basearre op RFC521 ECDSA (stipe sûnt OpenSSH 5656).
Boarne: opennet.ru