Tar éis sé mhí forbartha, cuireadh i láthair scaoileadh OpenSSH 8.9, cur i bhfeidhm cliant agus freastalaí oscailte le haghaidh oibriú thar na prótacail SSH 2.0 agus SFTP. Socraíonn an leagan nua de sshd leochaileacht a d'fhéadfadh rochtain neamhdheimhnithe a cheadú. Is é is cúis leis an tsaincheist ná ró-shreabhadh slánuimhir sa chód fíordheimhnithe, ach ní féidir é a shaothrú ach amháin in éineacht le hearráidí loighciúla eile sa chód.
San fhoirm ina bhfuil sé faoi láthair, ní féidir leas a bhaint as an leochaileacht nuair atá an modh deighilte pribhléide cumasaithe, ós rud é go gcuirtear bac ar a léiriú trí sheiceálacha ar leith a dhéantar sa chód rianaithe deighilte pribhléide. Tá modh deighilte pribhléid cumasaithe de réir réamhshocraithe ó 2002 ó OpenSSH 3.2.2, agus tá sé éigeantach ó foilsíodh OpenSSH 7.5 in 2017. Ina theannta sin, i leaganacha iniompartha de OpenSSH ag tosú le scaoileadh 6.5 (2014), cuirtear bac ar an leochaileacht trí thiomsú le bratacha cosanta thar maoil slánuimhir a áireamh.
Athruithe eile:
- Bhain an leagan iniompartha de OpenSSH in sshd tacaíocht dhúchasach le haghaidh pasfhocail hashing ag baint úsáide as an algartam MD5 (a cheadaíonn nascadh le leabharlanna seachtracha ar nós libxcrypt a thabhairt ar ais).
- Cuireann ssh, sshd, ssh-add agus ssh-agent fochóras i bhfeidhm chun aistriú agus úsáid eochracha a chuirtear le ssh-agent a shrianadh. Ligeann an fochóras duit rialacha a shocrú a chinneann conas agus cá háit is féidir eochracha a úsáid in ssh-agent. Mar shampla, chun eochair a chur leis nach féidir a úsáid ach amháin chun fíordheimhniú a dhéanamh nuair a nascann aon úsáideoir leis an óstach scylla.example.org, an t-úsáideoir perseus leis an óstach cetus.example.org, agus an t-úsáideoir medea leis an óstach charybdis.example.org le atreorú tríd an óstach idirmheánach scylla.example.org, is féidir leat an t-ordú seo a leanas a úsáid: $ ssh-add -h "perseus@cetus.example.org" \ -h "scylla.example.org" \ -h "scylla.example.org>medea@charybdis.example.org" \ ~/.ssh/id_ed25519
- In ssh agus sshd, tá an algartam hibrideach "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime), atá frithsheasmhach in aghaidh brúidiúlachta ar ríomhairí chandamach, curtha leis an liosta KexAlgorithms de réir réamhshocraithe, rud a chinneann ord roghnúcháin na modhanna malartaithe eochracha. In OpenSSH 8.9, cuireadh an modh caibidlíochta seo leis idir na modhanna ECDH agus DH, ach tá sé beartaithe é a úsáid de réir réamhshocraithe sa chéad eisiúint eile.
- Chuir ssh-keygen, ssh, agus ssh-agent feabhas ar láimhseáil na n-eochracha chomharthaíochta FIDO a úsáidtear chun gléas a fhíorú, lena n-áirítear eochracha le haghaidh fíordheimhnithe bithmhéadrach.
- Cuireadh ordú "ssh-keygen -Y match-principals" le ssh-keygen chun ainmneacha úsáideoirí a sheiceáil sa chomhad ainmliosta ceadaithe.
- Soláthraíonn ssh-add agus ssh-agent an cumas chun eochracha FIDO atá cosanta ag cód PIN a chur le ssh-agent (tá an t-iarratas PIN ar taispeáint tráth an fhíordheimhnithe).
- Ceadaíonn ssh-keygen an rogha algartam hashing (sha512 nó sha256) le linn giniúint sínithe.
- I ssh agus sshd, chun feidhmíocht a fheabhsú, léitear sonraí líonra go díreach isteach i maolán na bpacáistí atá ag teacht isteach, ag seachaint maolán idirmheánach ar an gcruach. Cuirtear socrúchán díreach na sonraí a fuarthas i maolán cainéal i bhfeidhm ar an mbealach céanna.
- In ssh, mhéadaigh an treoir PubkeyFíordheimhnithe liosta na bparaiméadar tacaithe (tá | níl | gan cheangal | óstach) chun an cumas a sholáthar chun an síneadh prótacail a roghnú le húsáid.
I leagan amach amach anseo, tá sé beartaithe go n-athróidh an fóntais scp go SFTP de réir réamhshocraithe, ag cur an phrótacail SCP/RCP oidhreachta ina áit. Úsáideann SFTP modhanna láimhseála ainmneacha níos intuartha agus seachnaíonn sé láimhseáil phatrúin glob in ainmneacha comhad tríd an mblaosc ar an óstach eile atá seans maith ó thaobh slándála de. Go sonrach, agus SCP agus RCP in úsáid, cinneann an freastalaí cé na comhaid agus na heolairí atá le seoladh chuig an gcliant, agus ní dhéanann an cliant ach na hainmneacha réad a chuirtear ar ais a sheiceáil le haghaidh ceartachta. Fágann sé seo go bhfuil sáruithe slándála ann mura ndéantar seiceálacha cuí ar thaobh an chliaint. freastalaí Aistrigh ainmneacha comhad seachas na cinn a iarradh. Tá an prótacal SFTP saor ó na fadhbanna seo, ach ní thacaíonn sé le leathnú cosán speisialta amhail "~/." Chun aghaidh a thabhairt ar an difríocht seo, moladh síneadh nua prótacail SFTP chun na cosáin ~/ agus ~user/ a leathnú sa scaoileadh OpenSSH roimhe seo de chur i bhfeidhm freastalaí SFTP.
Foinse: oscailtenet.ru
