Tha sgaoileadh OpenSSH 9.2 air fhoillseachadh, buileachadh fosgailte de neach-dèiligidh agus frithealaiche airson a bhith ag obair a 'cleachdadh protocols SSH 2.0 agus SFTP. Tha an dreach ùr a’ cur às do chugallachd a tha a’ leantainn gu saoradh cuimhne dùbailte aig ìre ro-dhearbhadh. Chan eil buaidh ach air an fhoillseachadh OpenSSH 9.1; chan eil an duilgheadas a’ nochdadh ann an dreachan nas tràithe.
Gus suidheachaidhean a chruthachadh airson foillseachadh so-leòntachd, tha e gu leòr bratach teachdaiche SSH atharrachadh gu “SSH-2.0-FuTTYSH_9.1p1” gus na brataichean “SSH_BUG_CURVE25519PAD” agus “SSH_OLD_DHGEX” a shuidheachadh, a tha an urra ris an dreach den SSH. neach-dèiligidh. Às deidh na brataichean sin a shuidheachadh, thèid a’ chuimhne airson bufair “options.kex_algorithms” a shaoradh dà uair - nuair a chuireas tu an gnìomh do_ssh2_kex (), ris an canar compat_kex_proposal (), agus nuair a chuireas tu an gnìomh do_authentication2(), ris an canar input_userauth_request (), (mm_getpwnamallow). ), copy_set_server_options() air an t-sreath , assemble_algorithms ( ) agus kex_assemble_names ( ).
Thathas den bheachd gu bheil e eu-coltach a bhith a’ cruthachadh brath obrach airson so-leòntachd, leis gu bheil am pròiseas brathaidh ro iom-fhillte - tha leabharlannan riarachadh cuimhne an latha an-diugh a’ toirt dìon an aghaidh saoradh dùbailte de chuimhne, agus tha am pròiseas ro-ùghdar anns a bheil a’ mhearachd an làthair a’ ruith le sochairean nas lugha ann an àite iomallach. àrainneachd bogsa gainmhich.
A bharrachd air an so-leòntachd a chaidh ainmeachadh, tha an sgaoileadh ùr cuideachd a’ fuasgladh dà chùis tèarainteachd eile:
- Thachair mearachd nuair a chaidh an suidheachadh “PermitRemoteOpen” a ghiullachd, ag adhbhrachadh gun tèid a’ chiad argamaid a leigeil seachad ma tha e eadar-dhealaichte bho na luachan “sam bith” agus “none”. Tha an duilgheadas a’ nochdadh ann an dreachan nas ùire na OpenSSH 8.7 agus ag adhbhrachadh gun tèid an t-seic a sheachnadh nuair nach eil ach aon chead air a shònrachadh.
- Faodaidh neach-ionnsaigh a tha a’ cumail smachd air an t-seirbheisiche DNS a thathar a’ cleachdadh gus ainmean fhuasgladh an àite charactaran sònraichte (mar eisimpleir, “*”) a-steach do fhaidhlichean known_hosts ma tha na roghainnean CanonicalizeHostname agus CanonicalizePermittedCNAMEs air an comasachadh san rèiteachadh, agus chan eil fuasgladh an t-siostaim a’ sgrùdadh ceartachd nan roghainnean. freagairtean bhon t-seirbheisiche DNS. Thathas den bheachd nach eil an ionnsaigh coltach oir feumaidh na h-ainmean a thilleas a bhith a rèir nan cumhachan a chaidh a shònrachadh tro CanonicalizePermittedCNAMEs.
Atharraichean eile:
- Chaidh suidheachadh EnableEscapeCommandline a chur ri ssh_config airson ssh gus smachd a chumail a bheil giullachd taobh teachdaiche den t-sreath teicheadh “~ C” a bheir seachad an loidhne-àithne air a chomasachadh. Gu gnàthach, tha làimhseachadh “~C” a-nis ciorramach gus aonaranachd bogsa gainmhich nas teinne a chleachdadh, a dh’ fhaodadh a bhith a ’briseadh shiostaman a bhios a’ cleachdadh “~C” airson cur air adhart puirt aig àm ruith.
- Chaidh an stiùireadh ChannelTimeout a chuir ri sshd_config airson sshd gus ùine neo-ghnìomhachd an t-seanail a shuidheachadh (thèid seanalan anns nach eil trafaic air a chlàradh airson na h-ùine a tha air a shònrachadh san stiùireadh a dhùnadh gu fèin-ghluasadach). Faodar diofar amannan-ama a shuidheachadh airson seisean, X11, àidseant, agus ath-stiùireadh trafaic.
- Chaidh an stiùireadh UnusedConnectionTimeout a chuir ri sshd_config airson sshd, a’ toirt cothrom dhut ùine a chuir air dòigh airson crìoch a chuir air ceanglaichean teachdaiche a tha air a bhith às aonais seanalan gnìomhach airson ùine sònraichte.
- Chaidh an roghainn “-V” a chuir ri sshd gus an dreach a thaisbeanadh, coltach ris an roghainn coltach ris anns a ’chliant ssh.
- Chuir sinn an loidhne “Host” ris an toradh “ssh -G”, a’ nochdadh luach argamaid an ainm aoigheachd.
- Chaidh an roghainn “-X” a chuir ri scp agus sftp gus smachd a chumail air paramadairean protocol SFTP leithid meud bufair leth-bhreac agus an àireamh de dh’ iarrtasan ri thighinn.
- Leigidh ssh-keyscan sganadh de raointean seòlaidh CIDR slàn, mar eisimpleir “ssh-keyscan 192.168.0.0/24”.
Source: fosgailtenet.ru