ProHoster > Blog > naidheachdan eadar-lìn > Sgaoileadh OpenSSH 8.7

Sgaoileadh OpenSSH 8.7

Às deidh ceithir mìosan de leasachadh, chaidh foillseachadh OpenSSH 8.7, buileachadh fosgailte de neach-dèiligidh agus frithealaiche airson a bhith ag obair thairis air protocolaidhean SSH 2.0 agus SFTP.

Atharraichean mòra:

  • Chaidh modh gluasad dàta deuchainneach a chuir ri scp a’ cleachdadh protocol SFTP an àite a’ phròtacal traidiseanta SCP/RCP. Bidh SFTP a’ cleachdadh dhòighean làimhseachaidh ainmean nas dùiliche agus chan eil e a’ cleachdadh giullachd shligean de phàtranan glob air taobh an aoigh eile, a chruthaicheas duilgheadasan tèarainteachd. Gus SFTP a chomasachadh ann an scp, chaidh am bratach “-s” a mholadh, ach san àm ri teachd thathas an dùil atharrachadh chun phròtacal seo gu bunaiteach.
  • Bidh sftp-server a’ cur leudachaidhean air a’ phròtacal SFTP gus na slighean ~/ agus ~ user/ a leudachadh, a tha riatanach airson scp.
  • Tha an scp utility air an giùlan atharrachadh nuair a bhios tu a’ dèanamh lethbhreac de fhaidhlichean eadar dà aoigh iomallach (mar eisimpleir, “scp host-a:/path host-b:”), a tha a-nis air a dhèanamh gu bunaiteach tro aoigh ionadail eadar-mheadhanach, mar nuair a bhios tu a’ sònrachadh an “ -3" bratach. Leigidh an dòigh-obrach seo leat a bhith a’ seachnadh a bhith a’ toirt seachad teisteanasan neo-riatanach don chiad aoigh agus mìneachadh trì-fhillte air ainmean faidhle san t-slige (air taobh an tùs, ceann-uidhe agus siostam ionadail), agus nuair a bhios tu a’ cleachdadh SFTP, leigidh e leat a h-uile modh dearbhaidh a chleachdadh nuair a gheibh thu cothrom air astar. luchd-aoigheachd, agus chan e dìreach dòighean neo-eadar-ghnìomhach . Chaidh an roghainn "-R" a chur ris gus an seann ghiùlan a thoirt air ais.
  • Chaidh suidheachadh ForkAfterAuthentication a chur ris gu ssh a rèir a’ bhratach “-f”.
  • Chuir sinn suidheachadh StdinNull ri ssh, a’ freagairt ris a’ bhratach “-n”.
  • Chaidh suidheachadh SessionType a chuir ri ssh, tron ​​​​urrainn dhut modhan a shuidheachadh a fhreagras air na brataichean “-N” (gun seisean) agus “-s” (fo-shiostam).
  • Leigidh ssh-keygen leat prìomh eadar-ama dligheachd a shònrachadh ann am prìomh fhaidhlichean.
  • Chuir sinn bratach “-Oprint-pubkey” ri ssh-keygen gus an iuchair phoblach slàn a chlò-bhualadh mar phàirt den ainm-sgrìobhte sshsig.
  • Ann an ssh agus sshd, chaidh an dà chuid teachdaiche agus frithealaiche a ghluasad gus parser faidhle rèiteachaidh nas cuingealaiche a chleachdadh a bhios a’ cleachdadh riaghailtean coltach ri sligean airson làimhseachadh luachan, àiteachan, agus caractaran teicheadh. Chan eil am parser ùr cuideachd a’ seachnadh barailean a chaidh a dhèanamh roimhe, leithid a bhith a’ fàgail argamaidean ann an roghainnean air falbh (mar eisimpleir, chan urrainnear an stiùireadh DenyUsers fhàgail falamh tuilleadh), luachan gun dhùnadh, agus a’ sònrachadh ioma = caractaran.
  • Nuair a bhios tu a’ cleachdadh clàran SSHFP DNS nuair a thathar a’ dearbhadh iuchraichean, bidh ssh a-nis a’ sgrùdadh a h-uile clàr maidsidh, chan e dìreach an fheadhainn anns a bheil seòrsa sònraichte de ainm-sgrìobhte didseatach.
  • Ann an ssh-keygen, nuair a thathar a’ gineadh iuchair FIDO leis an roghainn -Ochallenge, tha an còmhdach togte a-nis air a chleachdadh airson hashing, seach libfido2, a leigeas le bhith a’ cleachdadh sreathan dùbhlain nas motha no nas lugha na 32 bytes.
  • Ann an sshd, nuair a bhios tu a’ giollachd àrainneachd = "..." stiùiridhean ann am faidhlichean ùghdarraichte_keys, thathas a-nis a’ gabhail ris a’ chiad gheama agus tha crìoch air 1024 ainm caochlaideach àrainneachd.

Thug luchd-leasachaidh OpenSSH rabhadh cuideachd mu bhith a 'lobhadh algorithms a' cleachdadh hashes SHA-1 mar thoradh air barrachd èifeachdais ionnsaighean tubaist le ro-leasachan sònraichte (tha cosgais taghadh tubaist air a mheas aig mu 50 mìle dollar). Anns an ath fhoillseachadh, tha sinn an dùil a bhith comasach air an algairim ainm-sgrìobhte didseatach iuchair phoblach “ssh-rsa” a chleachdadh, a chaidh ainmeachadh anns an RFC tùsail airson protocol SSH agus a tha fhathast air a chleachdadh gu farsaing ann an cleachdadh.

Gus deuchainn a dhèanamh air cleachdadh ssh-rsa air na siostaman agad, faodaidh tu feuchainn ri ceangal tro ssh leis an roghainn “-oHostKeyAlgorithms = -ssh-rsa”. Aig an aon àm, chan eil cuir às do ainmean didseatach “ssh-rsa” gu bunaiteach a’ ciallachadh gu bheilear a’ cleachdadh iuchraichean RSA gu tur, oir a bharrachd air SHA-1, tha protocol SSH a’ ceadachadh algorithms àireamhachaidh hash eile a chleachdadh. Gu sònraichte, a bharrachd air “ssh-rsa”, bidh e fhathast comasach na pasganan “rsa-sha2-256” (RSA/SHA256) agus “rsa-sha2-512” (RSA/SHA512) a chleachdadh.

Gus an gluasad gu algorithms ùra a dhèanamh rèidh, bha OpenSSH roimhe seo air an suidheachadh UpdateHostKeys a chomasachadh gu bunaiteach, a leigeas le teachdaichean gluasad gu fèin-ghluasadach gu algorithms nas earbsaiche. A’ cleachdadh an t-suidheachaidh seo, tha leudachadh protocol sònraichte air a chomasachadh “[post-d fo dhìon]", a' leigeil leis an fhrithealaiche, an dèidh dearbhadh, innse don neach-dèiligidh mu na h-iuchraichean aoigheachd uile a tha rim faotainn. Faodaidh an neach-dèiligidh na h-iuchraichean sin a nochdadh anns an fhaidhle ~/.ssh/known_hosts aige, a leigeas leis na h-iuchraichean aoigheachd ùrachadh agus ga dhèanamh nas fhasa iuchraichean atharrachadh air an fhrithealaiche.

Tha cleachdadh UpdateHostKeys air a chuingealachadh le grunn uaimhean a dh’ fhaodar a thoirt air falbh san àm ri teachd: feumar iomradh a thoirt air an iuchair anns an UserKnownHostsFile agus nach tèid a chleachdadh anns an GlobalKnownHostsFile; feumaidh an iuchair a bhith an làthair fo aon ainm a-mhàin; cha bu chòir teisteanas iuchair aoigheachd a chleachdadh; ann an aithnichte_hosts cha bu chòir masgaichean le ainm aoigheachd a chleachdadh; feumaidh an suidheachadh VerifyHostKeyDNS a bhith à comas; Feumaidh am paramadair UserKnownHostsFile a bhith gnìomhach.

Tha algorithms a thathar a’ moladh airson imrich a’ toirt a-steach rsa-sha2-256/512 stèidhichte air RFC8332 RSA SHA-2 (le taic bho OpenSSH 7.2 agus air a chleachdadh gu bunaiteach), ssh-ed25519 (le taic bho OpenSSH 6.5) agus ecdsa-sha2-nistp256/384/521 stèidhichte air RFC5656 ECDSA (le taic bho OpenSSH 5.7).

Source: fosgailtenet.ru

Cuir beachd ann