ProHoster > Blog > naidheachdan eadar-lìn > Sgaoileadh OpenSSH 8.0

Sgaoileadh OpenSSH 8.0

Às deidh còig mìosan de leasachadh air a thaisbeanadh leigeil ma sgaoil OpenSSH 8.0, cleachdaiche fosgailte agus buileachadh frithealaiche airson a bhith ag obair tro phròtacalan SSH 2.0 agus SFTP.

Atharraichean mòra:

  • Chaidh taic deuchainneach airson prìomh dhòigh iomlaid a tha an aghaidh ionnsaighean brùideil air coimpiutair quantum a chuir ri ssh agus sshd. Tha coimpiutairean Quantum gu math nas luaithe air fuasgladh fhaighinn air an duilgheadas a thaobh a bhith a’ lobhadh àireamh nàdarra gu prìomh nithean, a tha mar bhunait air algoirmean crioptachaidh neo-chunbhalach an latha an-diugh agus nach gabh am fuasgladh gu h-èifeachdach air pròiseasairean clasaigeach. Tha an dòigh a thathar a 'moladh stèidhichte air an algairim NTRU Prìomh (gnìomh ntrup4591761), air a leasachadh airson cryptosystems post-quantum, agus an dòigh iomlaid iuchrach lùb elliptic X25519;
  • Ann an sshd, chan eil na stiùiridhean ListenAddress agus PermitOpen a’ toirt taic don cho-chòrdadh dìleab “host / port” tuilleadh, a chaidh a chuir an gnìomh ann an 2001 mar roghainn eile an àite “host:port” gus obrachadh le IPv6 a dhèanamh nas sìmplidhe. Ann an suidheachaidhean an latha an-diugh, tha an co-chòrdadh “[:: 6]: 1” air a stèidheachadh airson IPv22, agus gu tric bidh “host / port” air a mheasgachadh le bhith a ’nochdadh an subnet (CIDR);
  • ssh, ssh-agent agus ssh-add a-nis iuchraichean taic ECDSA ann an comharran PKCS#11;
  • Ann an ssh-keygen, chaidh meud na h-iuchrach RSA bunaiteach àrdachadh gu 3072 buillean, a rèir molaidhean ùra NIST;
  • Leigidh ssh leis an t-suidheachadh “PKCS11Provider = gin” a chleachdadh gus faighinn thairis air an stiùireadh PKCS11Provider a chaidh a shònrachadh ann an ssh_config;
  • tha sshd a’ toirt seachad taisbeanadh log de shuidheachaidhean nuair a thèid an ceangal a thoirt gu crìch nuair a thathar a’ feuchainn ri òrdughan a chuir an gnìomh a tha air am bacadh leis a’ chuingealachadh “ForceCommand = internal-sftp” ann an sshd_config;
  • Ann an ssh, nuair a sheallas tu iarrtas gus dearbhadh gun deach gabhail ri iuchair aoigheachd ùr, an àite an fhreagairt “tha”, thathas a-nis a’ gabhail ri lorgan-meòir ceart na h-iuchrach (mar fhreagairt don chuireadh gus an ceangal a dhearbhadh, faodaidh an neach-cleachdaidh lethbhreac a dhèanamh den a fhuair hash fiosrachaidh fa leth tron ​​​​bhòrd bhidio, gus nach dèan thu coimeas eadar e le làimh);
  • ssh-keygen a’ toirt àrdachadh fèin-ghluasadach air àireamh sreath an teisteanais nuair a chruthaicheas tu ainmean didseatach airson ioma-theisteanasan air an loidhne-àithne;
  • Chaidh roghainn ùr “-J” a chur ri scp agus sftp, co-ionann ris an t-suidheachadh ProxyJump;
  • Ann an ssh-agent, ssh-pkcs11-helper agus ssh-add, chaidh pròiseasadh an roghainn loidhne-àithne “-v” a chur ris gus susbaint fiosrachaidh an toraidh àrdachadh (nuair a thèid a shònrachadh, thèid an roghainn seo a chuir air adhart gu pròiseasan cloinne, airson eisimpleir, nuair a thèid ssh-pkcs11-helper a ghairm bho ssh-agent);
  • Chaidh an roghainn “-T” a chuir ri ssh-add gus deuchainn a dhèanamh air freagarrachd iuchraichean ann an ssh-agent airson a bhith a’ coileanadh obraichean cruthachaidh is dearbhaidh ainm-sgrìobhte didseatach;
  • Bidh sftp-server a’ toirt taic don leudachadh protocol “lsetstat at openssh.com”, a chuireas taic ris an obair SSH2_FXP_SETSTAT airson SFTP, ach às aonais ceanglaichean samhlachail a leantainn;
  • Chuir sinn roghainn “-h” ri sftp gus òrdughan chown/chgrp/chmod a ruith le iarrtasan nach cleachd ceanglaichean samhlachail;
  • tha sshd a’ toirt seachad suidheachadh caochladair àrainneachd $ SSH_CONNECTION airson PAM;
  • Airson sshd, chaidh modh maidsidh “Match final” a chur ri ssh_config, a tha coltach ri “Match canonical”, ach chan eil feum air gnàthachadh ainm aoigheachd a bhith air a chomasachadh;
  • Taic a bharrachd airson an ro-leasachan '@' gu sftp gus eadar-theangachadh de thoradh òrdughan a chaidh a chur an gnìomh ann am modh baidse a chur à comas;
  • Nuair a sheallas tu susbaint teisteanais a’ cleachdadh an àithne
    Tha "ssh-keygen -Lf /path/certificate" a-nis a' taisbeanadh an algairim a chleachd an CA gus an teisteanas a dhearbhadh;

  • Taic nas fheàrr airson àrainneachd Cygwin, mar eisimpleir a’ toirt seachad coimeas neo-mhothachail de chùisean eadar ainmean buidhne is luchd-cleachdaidh. Chaidh am pròiseas sshd ann am port Cygwin atharrachadh gu cygsshd gus casg a chuir air a’ phort OpenSSH a thug Microsoft seachad;
  • Chuir sinn ris a’ chomas togail leis a’ mheur deuchainneach OpenSSL 3.x;
  • Cur às so-leòntachd (CVE-2019-6111) ann a bhith a’ buileachadh a’ ghoireas scp, a leigeas le faidhlichean neo-riaghailteach anns an eòlaire targaid a bhith air an sgrìobhadh thairis air taobh an neach-dèiligidh nuair a gheibh thu cothrom air frithealaiche fo smachd neach-ionnsaigh. Is e an duilgheadas a th’ ann, nuair a bhios tu a’ cleachdadh scp, gum bi am frithealaiche a’ co-dhùnadh dè na faidhlichean agus na seòlaidhean a chuireas iad chun neach-dèiligidh, agus cha dèan an neach-dèiligidh ach sgrùdadh air ceartachd ainmean nan nithean a thilleas. Tha sgrùdadh taobh teachdaiche air a chuingealachadh ri bhith a’ bacadh siubhal taobh a-muigh an eòlaire gnàthach (“../”), ach chan eil e a’ toirt aire do ghluasad fhaidhlichean le ainmean eadar-dhealaichte bhon fheadhainn a chaidh iarraidh bho thùs. Ann an cùis copaidh ath-chuairteach (-r), a bharrachd air ainmean faidhle, faodaidh tu cuideachd ainmean fo-eòlairean a làimhseachadh san aon dòigh. Mar eisimpleir, ma nì an neach-cleachdaidh lethbhreac de fhaidhlichean chun eòlaire dachaigh, faodaidh am frithealaiche fo smachd an neach-ionnsaigh faidhlichean a thoirt gu buil leis na h-ainmean .bash_aliases no .ssh/authorized_keys an àite nam faidhlichean a chaidh iarraidh, agus thèid an sàbhaladh leis an scp utility ann an cleachdadh an neach-cleachdaidh. eòlaire dachaigh.

    Anns an fhoillseachadh ùr, chaidh an goireas scp ùrachadh gus sùil a thoirt air a’ chonaltradh eadar na h-ainmean faidhle a chaidh iarraidh agus an fheadhainn a chuir an frithealaiche a-steach, a thèid a dhèanamh air taobh an neach-dèiligidh. Dh’ fhaodadh seo duilgheadasan adhbhrachadh le giullachd masg, leis gum faodar caractaran leudachaidh masg a phròiseasadh ann an dòigh eadar-dhealaichte air taobh an fhrithealaiche agus an neach-dèiligidh. Ma dh’ adhbhraicheas eadar-dhealachaidhean mar seo gun sguir an neach-dèiligidh gabhail ri faidhlichean ann an scp, chaidh an roghainn “-T” a chuir ris gus sgrùdadh taobh teachdaiche a chuir dheth. Gus an duilgheadas a cheartachadh gu h-iomlan, tha feum air ath-obrachadh bun-bheachdail den phròtacal scp, a tha ann fhèin seann-fhasanta, agus mar sin thathas a’ moladh protocolaidhean nas ùire leithid sftp agus rsync a chleachdadh nan àite.

Source: fosgailtenet.ru

Cuir beachd ann