Às deidh trì mìosan de leasachadh leigeil ma sgaoil , cleachdaiche fosgailte agus buileachadh frithealaiche airson a bhith ag obair tro phròtacalan SSH 2.0 agus SFTP.
Tha an sgaoileadh ùr a’ cur dìon ris an aghaidh ionnsaighean scp a leigeas leis an fhrithealaiche ainmean-faidhle eile a thoirt seachad seach an fheadhainn a chaidh iarraidh (an taca ri , chan eil an ionnsaigh ga dhèanamh comasach an eòlaire a thagh an neach-cleachdaidh no masg glob atharrachadh). Cuimhnich, ann an SCP, gu bheil am frithealaiche a’ co-dhùnadh dè na faidhlichean agus na seòlaidhean a chuireas iad chun neach-dèiligidh, agus cha dèan an neach-dèiligidh ach sgrùdadh air ceartachd ainmean an nì a chaidh a thilleadh. Is e brìgh na trioblaid a chaidh a chomharrachadh ma dh’ fhailicheas gairm siostam utimes, gu bheil susbaint an fhaidhle air a mhìneachadh mar mheata-dàta faidhle.
Faodar am feart seo, nuair a tha thu a’ ceangal ri frithealaiche fo smachd neach-ionnsaigh, a chleachdadh gus ainmean faidhle eile agus susbaint eile ann am FS an neach-cleachdaidh a shàbhaladh nuair a bhios tu a’ dèanamh lethbhreac le bhith a’ cleachdadh scp ann an rèiteachaidhean a dh’ adhbhraicheas fàiligeadh nuair a bhios tu a’ gairm utimes (mar eisimpleir, nuair a tha utimes air an toirmeasg le poileasaidh SELinux no sìoltachan gairm siostam). Thathas den bheachd gur e glè bheag de dh’ ionnsaighean a bhios ann, oir ann an rèiteachaidhean àbhaisteach chan eil an gairm Utimes a’ fàiligeadh. A bharrachd air an sin, chan eil an ionnsaigh a’ dol gun mhothachadh - nuair a chuireas tu fios gu scp, chithear mearachd gluasad dàta.
Atharrachaidhean coitcheann:
- Ann an sftp, chaidh stad a chuir air obrachadh na h-argamaid “-1”, coltach ri ssh agus scp, ris an deach gabhail roimhe ach nach deach a leigeil seachad;
- Ann an sshd, nuair a bhios tu a’ cleachdadh IgnoreRhosts, tha trì roghainnean ann a-nis: “tha” - leig seachad rosta/shosts, “chan eil” - thoir spèis do rostas/shosts, agus “shosts a-mhàin” - leig le “.shosts” ach cuir à comas “.rhosts”;
- Tha Ssh a-nis a’ toirt taic do ionadachadh % TOKEN anns na roghainnean LocalFoward agus RemoteForward a thathas a’ cleachdadh gus socaidean Unix ath-stiùireadh;
- Ceadaich iuchraichean poblach a luchdachadh o fhaidhle gun chrioptachadh le iuchair phrìobhaideach mura h-eil faidhle air leth leis an iuchair phoblach;
- Ma tha libcrypto ri fhaighinn san t-siostam, bidh ssh agus sshd a-nis a’ cleachdadh buileachadh an algairim chacha20 bhon leabharlann seo, an àite buileachadh so-ghiùlain togte, a tha air dheireadh ann an coileanadh;
- Chuir e an gnìomh an comas susbaint liosta binary de theisteanasan a chaidh a chùl-ghairm a dhumpadh nuair a chuirear an gnìomh an àithne “ssh-keygen -lQf / path”;
- Tha an tionndadh so-ghiùlain a' cur an gnìomh mìneachaidhean de shiostaman far a bheil comharran leis an roghainn SA_RESTART a' cur bacadh air obrachadh tagh;
- Fuasgladh dhuilgheadasan le co-chruinneachadh air siostaman HP / UX agus AIX;
- Duilgheadasan stèidhichte le bhith a’ togail bogsa gainmhich seccomp air cuid de rèiteachaidhean Linux;
- Lorgadh leabharlann libfido2 nas fheàrr agus dh’ fhuasgail e cùisean togail leis an roghainn “--with-security-key-builtin”.
Thug luchd-leasachaidh OpenSSH rabhadh a-rithist mu bhith a’ lobhadh algorithms a’ cleachdadh hashes SHA-1 air sgàth èifeachdas ionnsaighean tubaist le ro-leasachan sònraichte (tha cosgais taghadh tubaist air a mheas aig timcheall air 45 mìle dolar). Ann an aon de na fiosan a tha ri thighinn, tha iad an dùil a bhith comasach air an algairim ainm-sgrìobhte didseatach iuchair phoblach “ssh-rsa” a chleachdadh, a tha air ainmeachadh anns an RFC tùsail airson protocol SSH agus a tha fhathast farsaing ann an cleachdadh (gus an cleachdadh a dhearbhadh. de ssh-rsa anns na siostaman agad, faodaidh tu feuchainn ri ceangal tro ssh leis an roghainn “-oHostKeyAlgorithms = -ssh-rsa”).
Gus an gluasad gu algorithms ùra ann an OpenSSH a dhèanamh rèidh, ann am brath san àm ri teachd bidh an suidheachadh UpdateHostKeys air a chomasachadh gu bunaiteach, a ghluaiseas teachdaichean gu fèin-ghluasadach gu algorithms nas earbsaiche. Tha algorithms a thathar a’ moladh airson imrich a’ toirt a-steach rsa-sha2-256/512 stèidhichte air RFC8332 RSA SHA-2 (le taic bho OpenSSH 7.2 agus air a chleachdadh gu bunaiteach), ssh-ed25519 (le taic bho OpenSSH 6.5) agus ecdsa-sha2-nistp256/384/521 stèidhichte air RFC5656 ECDSA (le taic bho OpenSSH 5.7).
Mar a chaidh an sgaoileadh mu dheireadh, chaidh “ssh-rsa” agus “diffie-hellman-group14-sha1” a thoirt air falbh bhon liosta CASignatureAlgorithms a tha a’ mìneachadh na h-algorithms a tha ceadaichte teisteanasan ùra a shoidhnigeadh gu didseatach, leis gu bheil cleachdadh SHA-1 ann an teisteanasan na chunnart a bharrachd air sgàth gu bheil ùine gun chrìoch aig an neach-ionnsaigh airson tubaist a lorg airson teisteanas a tha ann mar-thà, fhad ‘s a tha an ùine ionnsaigh air iuchraichean aoigheachd air a chuingealachadh leis an ùine ceangail (LoginGraceTime).
Source: fosgailtenet.ru