Às deidh ceithir mìosan de leasachadh sgaoileadh OpenSSH 8.4, cleachdaiche fosgailte agus buileachadh frithealaiche airson a bhith ag obair a’ cleachdadh protocolaidhean SSH 2.0 agus SFTP.
Atharraichean mòra:
- Atharraichean tèarainteachd:
- Ann an ssh-agent, nuair a bhios tu a’ cleachdadh iuchraichean FIDO nach deach a chruthachadh airson dearbhadh SSH (chan eil ID na h-iuchrach a’ tòiseachadh leis an t-sreang “ssh:"), bidh e a-nis a’ dèanamh cinnteach gun tèid an teachdaireachd a shoidhnigeadh leis na dòighean a chaidh a chleachdadh ann am protocol SSH. Cha leig an t-atharrachadh le ssh-agent a bhith air ath-stiùireadh gu luchd-aoigheachd iomallach aig a bheil iuchraichean FIDO gus casg a chuir air comas na h-iuchraichean sin a chleachdadh gus ainmean-sgrìobhte a ghineadh airson iarrtasan dearbhaidh lìn (tha an cùl, nuair as urrainn do bhrobhsair ainm a chuir ri iarrtas SSH, air a thoirmeasg an toiseach mar thoradh air cleachdadh an ro-leasachan “ssh:" anns an aithnichear iuchrach).
- Tha prìomh ghinealach còmhnaidh ssh-keygen a’ toirt a-steach taic don tuilleadan credProtect a tha air a mhìneachadh ann an sònrachadh FIDO 2.1, a bheir dìon a bharrachd dha iuchraichean le bhith ag iarraidh PIN mus dèan thu gnìomhachd sam bith a dh’ fhaodadh an iuchair còmhnaidh a thoirt a-mach às an tòcan.
- Dh’ fhaodadh atharrachaidhean co-chòrdalachd a bhriseadh:
- Gus taic a thoirt do FIDO / U2F, thathas a’ moladh an leabharlann libfido2 a chleachdadh co-dhiù dreach 1.5.0. Chaidh an comas deasachaidhean nas sine a chleachdadh a chuir an gnìomh gu ìre, ach anns a’ chùis seo, cha bhith gnìomhan leithid iuchraichean còmhnaidh, iarrtas PIN, agus ceangal ioma tokens rim faighinn.
- Ann an ssh-keygen, chaidh an dàta dearbhadair a tha riatanach airson ainmean-sgrìobhte didseatach a dhearbhadh a chur ri cruth an fhiosrachaidh dearbhaidh, air a shàbhaladh gu roghnach nuair a chruthaicheas tu iuchair FIDO.
- Tha an API a thèid a chleachdadh nuair a bhios OpenSSH ag eadar-obrachadh leis an ìre airson faighinn gu comharran FIDO air atharrachadh.
- Nuair a bhios tu a’ togail dreach so-ghiùlain de OpenSSH, tha feum air automake a-nis gus an sgriobt rèiteachaidh agus na faidhlichean togail a tha na chois a ghineadh (mura togail bho fhaidhle teàrr còd foillsichte, chan eil feum air rèiteachadh ath-nuadhachadh).
- Taic a bharrachd airson iuchraichean FIDO a dh’ fheumas dearbhadh PIN ann an ssh agus ssh-keygen. Gus iuchraichean a ghineadh le PIN, chaidh an roghainn “dearbhaidh-riatanach” a chuir ri ssh-keygen. Ma thèid na h-iuchraichean sin a chleachdadh, mus dèan iad an obair cruthachaidh ainm-sgrìobhte, thathas ag iarraidh air an neach-cleachdaidh na gnìomhan aca a dhearbhadh le bhith a’ cuir a-steach còd PIN.
- Ann an sshd, tha an roghainn “dearbhaidh-riatanach” air a chuir an gnìomh anns an t-suidheachadh ùghdarraichte_keys, a dh’ fheumas comasan a chleachdadh gus dearbhadh gu bheil an neach-cleachdaidh an làthair aig àm obrachaidhean leis an tòcan. Tha an inbhe FIDO a’ toirt seachad grunn roghainnean airson a leithid de dhearbhadh, ach an-dràsta chan eil OpenSSH a’ toirt taic ach do dhearbhadh stèidhichte air PIN.
- Tha sshd agus ssh-keygen air taic a chuir ris airson dearbhadh ainmean didseatach a tha a rèir inbhe FIDO Webauthn, a leigeas le iuchraichean FIDO a bhith air an cleachdadh ann am brobhsairean lìn.
- Ann an ssh anns na roghainnean CertificateFile,
ControlPath, Agent Agent, IdentityFile, LocalForward agus
Leigidh RemoteForward le luachan a chur an àite nan caochladairean àrainneachd a chaidh a shònrachadh san fhòrmat "${ENV}". - Tha ssh agus ssh-agent air taic a chuir ris airson caochladair àrainneachd $SSH_ASKPASS_REQUIRE, a ghabhas cleachdadh gus a’ ghairm ssh-askpass a chomasachadh no a chur à comas.
- Ann an ssh ann an ssh_config anns an stiùireadh AddKeysToAgent, chaidh an comas ùine dligheachd iuchair a chuingealachadh a chuir ris. Às deidh don chrìoch ainmichte tighinn gu crìch, thèid na h-iuchraichean a dhubhadh às gu fèin-ghluasadach bho ssh-agent.
- Ann an scp agus sftp, a’ cleachdadh a’ bhratach “-A”, faodaidh tu a-nis ath-stiùireadh gu scp agus sftp a cheadachadh le bhith a’ cleachdadh ssh-agent (tha ath-stiùireadh à comas gu bunaiteach).
- Taic a bharrachd airson ionadachadh '%k' ann an roghainnean ssh, a shònraicheas ainm iuchrach an òstair. Faodar am feart seo a chleachdadh gus iuchraichean a sgaoileadh gu faidhlichean fa leth (mar eisimpleir, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
- Ceadaich cleachdadh na h-obrach "ssh-add -d -" gus iuchraichean o stdin a leughadh a tha gu bhith air an sguabadh às.
- Ann an sshd, tha toiseach is deireadh a’ phròiseas pruning ceangail ri fhaicinn anns a’ log, air a riaghladh le bhith a’ cleachdadh paramadair MaxStartups.
Chuimhnich luchd-leasachaidh OpenSSH cuideachd air dì-choimiseanadh algorithms a bha ri thighinn a’ cleachdadh hashes SHA-1 ri linn èifeachdas ionnsaighean tubaist le ro-leasachan sònraichte (tha cosgais taghadh tubaist air a mheas aig timcheall air 45 mìle dolar). Ann an aon de na fiosan a tha ri thighinn, tha iad an dùil a bhith comasach air an algairim ainm-sgrìobhte didseatach iuchair phoblach “ssh-rsa” a chleachdadh, a tha air ainmeachadh anns an RFC tùsail airson protocol SSH agus a tha fhathast farsaing ann an cleachdadh (gus an cleachdadh a dhearbhadh. de ssh-rsa anns na siostaman agad, faodaidh tu feuchainn ri ceangal tro ssh leis an roghainn “-oHostKeyAlgorithms = -ssh-rsa”).
Gus an gluasad gu algorithms ùra ann an OpenSSH a dhèanamh rèidh, leigidh an ath fhoillseachadh an suidheachadh UpdateHostKeys gu bunaiteach, a ghluaiseas teachdaichean gu fèin-ghluasadach gu algorithms nas earbsaiche. Tha algorithms a thathar a’ moladh airson imrich a’ toirt a-steach rsa-sha2-256/512 stèidhichte air RFC8332 RSA SHA-2 (le taic bho OpenSSH 7.2 agus air a chleachdadh gu bunaiteach), ssh-ed25519 (le taic bho OpenSSH 6.5) agus ecdsa-sha2-nistp256/384/521 stèidhichte air RFC5656 ECDSA (le taic bho OpenSSH 5.7).
Source: fosgailtenet.ru