ProHoster > Blag > nuacht idirlín > Eisiúint OpenSSH 8.0

Eisiúint OpenSSH 8.0

Tar éis cúig mhí d'fhorbairt curtha i láthair scaoileadh OpenSSH 8.0, cur i bhfeidhm cliant agus freastalaí oscailte chun oibriú trí phrótacail SSH 2.0 agus SFTP.

Athruithe móra:

  • Tá ssh agus sshd curtha le tacaíocht thrialach do phríomh-mhodh malartaithe atá frithsheasmhach in aghaidh ionsaithe brúidiúla ar ríomhaire chandamach. Tá ríomhairí Quantum i bhfad níos tapúla ag réiteach na faidhbe maidir le huimhreach nádúrtha a dhianscaoileadh ina phríomhfhachtóirí, rud atá mar bhunús ag halgartaim criptithe neamhshiméadracha nua-aimseartha agus nach féidir iad a réiteach go héifeachtach ar phróiseálaithe clasaiceacha. Tá an modh atá beartaithe bunaithe ar an algartam NTRU Príomh (feidhm ntrup4591761), a forbraíodh le haghaidh cripte-chórais iar-chandamach, agus an modh malairte eochair cuar éilipseach X25519;
  • I sshd, ní thacaíonn na treoracha ListenAddress agus PermitOpen leis an gcomhréir oidhreachta "óstach/port" a thuilleadh, a cuireadh i bhfeidhm in 2001 mar mhalairt ar "host:port" chun oibriú le IPv6 a shimpliú. I gcoinníollacha nua-aimseartha, tá an chomhréir “[::6]:1” bunaithe do IPv22, agus is minic a mhearbhallaítear “óstach/port” leis an bhfolíon (CIDR) a léiriú;
  • ssh, ssh-agent agus ssh-add now support keys ECDSA in chomharthaí PKCS#11;
  • In ssh-keygen, méadaíodh méid na heochrach RSA réamhshocraithe go 3072 giotán, de réir mholtaí nua NIST;
  • ceadaíonn ssh úsáid a bhaint as an socrú "PKCS11Provider=none" chun an treoir PKCS11Provider atá sonraithe in ssh_config a shárú;
  • soláthraíonn sshd taispeáint loga de chásanna nuair a chuirtear deireadh leis an nasc nuair a dhéantar iarracht orduithe a fhorghníomhú a bhfuil an srian “ForceCommand = inmheánach-sftp” bac orthu i sshd_config;
  • In ssh, nuair a thaispeánfar iarratas chun glacadh le heochair óstach nua a dheimhniú, in ionad an fhreagra "tá", glactar anois le méarloirg cheart na heochrach (mar fhreagra ar an gcuireadh chun an nasc a dhearbhú, is féidir leis an úsáideoir an hash tagartha a fuarthas ar leithligh tríd an gearrthaisce, ionas nach gcuirfí i gcomparáid de láimh é);
  • soláthraíonn ssh-keygen incrimint uathoibríoch ar uimhir an tseichimh teastais agus sínithe digiteacha á gcruthú le haghaidh deimhnithe iolracha ar an líne ordaithe;
  • Tá rogha nua "-J" curtha le scp agus sftp, atá comhionann leis an socrú ProxyJump;
  • In ssh-agent, ssh-pkcs11-helper agus ssh-add, cuireadh próiseáil na rogha líne ordaithe “-v” leis chun ábhar faisnéise an aschuir a mhéadú (nuair atá sé sonraithe, cuirtear an rogha seo ar aghaidh chuig próisis linbh, le haghaidh mar shampla, nuair a ghlaoitear ssh-pkcs11-helper ó ssh-agent);
  • Cuireadh an rogha “-T” le ssh-add chun oiriúnacht na n-eochracha i ngníomhaire ssh a thástáil chun oibríochtaí cruthaithe agus fíoraithe sínithe digiteacha a dhéanamh;
  • cuireann sftp-server tacaíocht i bhfeidhm don síneadh prótacail “lsetstat at openssh.com”, a chuireann tacaíocht leis an oibríocht SSH2_FXP_SETSTAT do SFTP, ach gan naisc siombalacha a leanúint;
  • Cuireadh rogha "-h" le sftp chun orduithe chown/chgrp/chmod a rith le hiarratais nach n-úsáideann naisc siombalacha;
  • soláthraíonn sshd socrú na hathróige timpeallachta $SSH_CONNECTION do PAM;
  • Maidir le sshd, tá mód meaitseála “Meaitseáil deiridh” curtha le ssh_config, atá cosúil le “Match canonical”, ach ní gá normalú óstainm a bheith cumasaithe;
  • Tacaíocht bhreise don réimír '@' le sftp chun aistriúchán aschur na n-orduithe a cuireadh i gcrích i mód baisce a dhíchumasú;
  • Nuair a thaispeánann tú inneachar teastais ag baint úsáide as an ordú
    taispeánann "ssh-keygen -Lf /path/certificate" an t-algartam a úsáideann an ÚD chun an deimhniú a bhailíochtú;

  • Tacaíocht fheabhsaithe do thimpeallacht Cygwin, mar shampla comparáid cás-neamhíogair a sholáthar idir ainmneacha grúpa agus úsáideoirí. Athraíodh an próiseas sshd i gcalafort Cygwin go cygsshd chun cur isteach ar an gcalafort OpenSSH arna sholáthar ag Microsoft a sheachaint;
  • Cuireadh leis an gcumas tógáil leis an mbrainse turgnamhach OpenSSL 3.x;
  • díbeartha leochaileacht (CVE-2019-6111) i gcur i bhfeidhm an áirgiúlacht scp, a cheadaíonn comhaid treallach sa sprioc-eolaire a fhorscríobh ar thaobh an chliaint agus rochtain á fháil ar fhreastalaí atá á rialú ag ionsaitheoir. Is í an fhadhb atá ann ná nuair a úsáideann an freastalaí scp, go gcinnfidh an freastalaí cé na comhaid agus na heolairí a chuirfear chuig an gcliant, agus ní seiceálann an cliant ach cruinneas na n-ainmneacha oibiachta a thugtar ar ais. Tá seiceáil taobh an chliaint teoranta do thaisteal níos faide ná an t-eolaire reatha (“../”) amháin a bhac, ach ní chuirtear san áireamh aistriú comhad a bhfuil ainmneacha éagsúla orthu ó na cinn a iarradh ar dtús. I gcás cóipeáil athfhillteach (-r), chomh maith le hainmneacha comhaid, is féidir leat ainmneacha na bhfochomhadlann a ionramháil ar an mbealach céanna. Mar shampla, má dhéanann an t-úsáideoir comhaid a chóipeáil chuig an eolaire baile, is féidir leis an bhfreastalaí atá á rialú ag an ionsaitheoir comhaid leis na hainmneacha .bash_aliases nó .ssh/authorized_keys a tháirgeadh in ionad na gcomhad a iarrtar, agus sábhálfar iad ag an bhfóntas scp i bhfóntas an úsáideora. eolaire baile.

    Sa scaoileadh nua, tá an fóntais scp nuashonraithe chun an comhfhreagras idir na hainmneacha comhaid a iarrtar agus iad siúd a sheol an freastalaí, a dhéantar ar thaobh an chliaint a sheiceáil. D'fhéadfadh sé seo a bheith ina chúis le fadhbanna le próiseáil masc, toisc go bhféadfaí carachtair leathnaithe masc a phróiseáil go héagsúil ar thaobh an fhreastalaí agus an chliaint. Sa chás go n-eascraíonn difríochtaí dá leithéid leis an gcliant glacadh le comhaid i scp, cuireadh an rogha “-T” leis chun seiceáil ar thaobh an chliaint a dhíchumasú. Chun an fhadhb a cheartú go hiomlán, tá gá le hathoibriú coincheapúil ar an bprótacal scp, atá as dáta cheana féin, mar sin moltar prótacail níos nua-aimseartha a úsáid mar sftp agus rsync ina ionad sin.

Foinse: oscailtenet.ru

Add a comment