OpenSSH 8.7 નું પ્રકાશન

વિકાસના ચાર મહિના પછી, OpenSSH 8.7 નું પ્રકાશન, SSH 2.0 અને SFTP પ્રોટોકોલ્સ પર કામ કરવા માટે ક્લાયંટ અને સર્વરનું ખુલ્લું અમલીકરણ રજૂ કરવામાં આવ્યું હતું.

મુખ્ય ફેરફારો:

• પરંપરાગત SCP/RCP પ્રોટોકોલને બદલે SFTP પ્રોટોકોલનો ઉપયોગ કરીને scp માં પ્રાયોગિક ડેટા ટ્રાન્સફર મોડ ઉમેરવામાં આવ્યો છે. SFTP વધુ અનુમાનિત નામ હેન્ડલિંગ પદ્ધતિઓનો ઉપયોગ કરે છે અને અન્ય હોસ્ટની બાજુ પર ગ્લોબ પેટર્નની શેલ પ્રોસેસિંગનો ઉપયોગ કરતું નથી, જે સુરક્ષા સમસ્યાઓ બનાવે છે. scp માં SFTP ને સક્ષમ કરવા માટે, “-s” ફ્લેગની દરખાસ્ત કરવામાં આવી છે, પરંતુ ભવિષ્યમાં તે ડિફોલ્ટ રૂપે આ પ્રોટોકોલ પર સ્વિચ કરવાનું આયોજન છે.
• sftp-server ~/ અને ~user/ પાથને વિસ્તૃત કરવા માટે SFTP પ્રોટોકોલમાં એક્સ્ટેંશન લાગુ કરે છે, જે scp માટે જરૂરી છે.
• scp ઉપયોગિતાએ બે દૂરસ્થ યજમાનો (ઉદાહરણ તરીકે, “scp host-a:/path host-b:”) વચ્ચે ફાઈલોની નકલ કરતી વખતે વર્તન બદલ્યું છે, જે હવે મધ્યવર્તી સ્થાનિક યજમાન દ્વારા મૂળભૂત રીતે કરવામાં આવે છે, જેમ કે જ્યારે “નો ઉલ્લેખ કરવામાં આવે છે. -3” ધ્વજ. આ અભિગમ તમને પ્રથમ યજમાનને બિનજરૂરી ઓળખપત્રો પસાર કરવાનું ટાળવા દે છે અને શેલમાં (સ્રોત, ગંતવ્ય અને સ્થાનિક સિસ્ટમ બાજુએ) ફાઇલના નામોનું ટ્રિપલ અર્થઘટન કરવાનું ટાળે છે અને જ્યારે SFTP નો ઉપયોગ કરી રહ્યા હોય, ત્યારે તે તમને રિમોટ ઍક્સેસ કરતી વખતે તમામ પ્રમાણીકરણ પદ્ધતિઓનો ઉપયોગ કરવાની મંજૂરી આપે છે. યજમાનો, અને માત્ર બિન-ઇન્ટરેક્ટિવ પદ્ધતિઓ જ નહીં. જૂના વર્તનને પુનઃસ્થાપિત કરવા માટે "-R" વિકલ્પ ઉમેરવામાં આવ્યો છે.
• "-f" ફ્લેગને અનુરૂપ ssh માં ForkAfterAuthentication સેટિંગ ઉમેર્યું.
• "-n" ફ્લેગને અનુરૂપ, ssh માં StdinNull સેટિંગ ઉમેર્યું.
• ssh માં સેશન ટાઈપ સેટિંગ ઉમેરવામાં આવ્યું છે, જેના દ્વારા તમે “-N” (કોઈ સત્ર નહીં) અને “-s” (સબસિસ્ટમ) ફ્લેગોને અનુરૂપ મોડ સેટ કરી શકો છો.
• ssh-keygen તમને કી ફાઈલોમાં કી માન્યતા અંતરાલનો ઉલ્લેખ કરવાની પરવાનગી આપે છે.
• sshsig હસ્તાક્ષરના ભાગ રૂપે સંપૂર્ણ સાર્વજનિક કી છાપવા માટે ssh-keygen પર "-Oprint-pubkey" ફ્લેગ ઉમેર્યો.
• ssh અને sshd માં, ક્લાયંટ અને સર્વર બંનેને વધુ પ્રતિબંધિત રૂપરેખાંકન ફાઇલ પાર્સરનો ઉપયોગ કરવા માટે ખસેડવામાં આવ્યા છે જે અવતરણ, જગ્યાઓ અને એસ્કેપ અક્ષરોને હેન્ડલ કરવા માટે શેલ જેવા નિયમોનો ઉપયોગ કરે છે. નવું પાર્સર અગાઉ બનાવેલી ધારણાઓને પણ અવગણતું નથી, જેમ કે વિકલ્પોમાં દલીલોને અવગણવા (ઉદાહરણ તરીકે, DenyUsers ડાયરેક્ટિવ હવે ખાલી છોડી શકાશે નહીં), અનક્લોઝ્ડ અવતરણો, અને બહુવિધ = અક્ષરોનો ઉલ્લેખ કરવો.
• કીઓની ચકાસણી કરતી વખતે SSHFP DNS રેકોર્ડ્સનો ઉપયોગ કરતી વખતે, ssh હવે બધા મેળ ખાતા રેકોર્ડ્સ તપાસે છે, માત્ર ચોક્કસ પ્રકારના ડિજિટલ હસ્તાક્ષર ધરાવતા નથી.
• ssh-keygen માં, -Ochallenge વિકલ્પ સાથે FIDO કી જનરેટ કરતી વખતે, બિલ્ટ-ઇન લેયરનો ઉપયોગ હવે libfido2 ને બદલે હેશિંગ માટે થાય છે, જે 32 બાઈટ કરતા મોટા અથવા નાના પડકાર ક્રમનો ઉપયોગ કરવાની મંજૂરી આપે છે.
• sshd માં, જ્યારે authorized_keys ફાઈલોમાં પર્યાવરણ="..." નિર્દેશો પર પ્રક્રિયા કરવામાં આવે છે, ત્યારે પ્રથમ મેચ હવે સ્વીકારવામાં આવે છે અને 1024 પર્યાવરણ ચલ નામોની મર્યાદા છે.

OpenSSH વિકાસકર્તાઓએ આપેલ ઉપસર્ગ સાથે અથડામણના હુમલાની કાર્યક્ષમતામાં વધારો થવાને કારણે SHA-1 હેશનો ઉપયોગ કરીને અલ્ગોરિધમ્સના વિઘટન વિશે પણ ચેતવણી આપી હતી (અથડામણને પસંદ કરવાનો ખર્ચ આશરે 50 હજાર ડોલરનો અંદાજ છે). આગામી પ્રકાશનમાં, અમે સાર્વજનિક કી ડિજિટલ હસ્તાક્ષર અલ્ગોરિધમ "ssh-rsa" નો ઉપયોગ કરવાની ક્ષમતાને ડિફૉલ્ટ રૂપે અક્ષમ કરવાની યોજના બનાવીએ છીએ, જે SSH પ્રોટોકોલ માટે મૂળ RFC માં ઉલ્લેખિત છે અને વ્યવહારમાં વ્યાપકપણે ઉપયોગમાં લેવાય છે.

તમારી સિસ્ટમો પર ssh-rsa ના ઉપયોગને ચકાસવા માટે, તમે ssh દ્વારા “-oHostKeyAlgorithms=-ssh-rsa” વિકલ્પ સાથે જોડાણ કરવાનો પ્રયાસ કરી શકો છો. તે જ સમયે, ડિફોલ્ટ રૂપે "ssh-rsa" ડિજિટલ હસ્તાક્ષરોને અક્ષમ કરવાનો અર્થ RSA કીના ઉપયોગને સંપૂર્ણપણે છોડી દેવાનો નથી, કારણ કે SHA-1 ઉપરાંત, SSH પ્રોટોકોલ અન્ય હેશ ગણતરી અલ્ગોરિધમનો ઉપયોગ કરવાની મંજૂરી આપે છે. ખાસ કરીને, “ssh-rsa” ઉપરાંત, “rsa-sha2-256” (RSA/SHA256) અને “rsa-sha2-512” (RSA/SHA512) બંડલ્સનો ઉપયોગ કરવાનું શક્ય રહેશે.

નવા અલ્ગોરિધમ્સમાં સંક્રમણને સરળ બનાવવા માટે, OpenSSH પાસે અગાઉ અપડેટ હોસ્ટકી સેટિંગ ડિફૉલ્ટ રૂપે સક્ષમ હતું, જે ક્લાયંટને આપમેળે વધુ વિશ્વસનીય અલ્ગોરિધમ્સ પર સ્વિચ કરવાની મંજૂરી આપે છે. આ સેટિંગનો ઉપયોગ કરીને, એક ખાસ પ્રોટોકોલ એક્સ્ટેંશન સક્ષમ છે "[ઇમેઇલ સુરક્ષિત]", સર્વરને, પ્રમાણીકરણ પછી, તમામ ઉપલબ્ધ હોસ્ટ કી વિશે ક્લાયંટને જાણ કરવાની મંજૂરી આપે છે. ક્લાયંટ તેની ~/.ssh/known_hosts ફાઈલમાં આ કીઓને પ્રતિબિંબિત કરી શકે છે, જે હોસ્ટ કીને અપડેટ કરવાની પરવાનગી આપે છે અને સર્વર પર કી બદલવાનું સરળ બનાવે છે.

UpdateHostKeys નો ઉપયોગ કેટલીક ચેતવણીઓ દ્વારા મર્યાદિત છે જે ભવિષ્યમાં દૂર કરવામાં આવી શકે છે: કીનો સંદર્ભ UserKnownHostsFileમાં હોવો જોઈએ અને GlobalKnownHostsFileમાં ઉપયોગ ન કરવો જોઈએ; કી માત્ર એક નામ હેઠળ હાજર હોવી જોઈએ; હોસ્ટ કી પ્રમાણપત્રનો ઉપયોગ થવો જોઈએ નહીં; જાણીતા_હોસ્ટમાં હોસ્ટના નામથી માસ્કનો ઉપયોગ થવો જોઈએ નહીં; VerifyHostKeyDNS સેટિંગ અક્ષમ હોવી આવશ્યક છે; UserKnownHostsFile પરિમાણ સક્રિય હોવું આવશ્યક છે.

સ્થળાંતર માટે ભલામણ કરેલ અલ્ગોરિધમ્સમાં RFC2 RSA SHA-256 પર આધારિત rsa-sha512-8332/2 (OpenSSH 7.2 થી સપોર્ટેડ અને ડિફૉલ્ટ રૂપે વપરાયેલ), ssh-ed25519 (OpenSSH 6.5 થી સપોર્ટેડ) અને ecdsa-sha2-nistp256/384/521 આધારિત સમાવેશ થાય છે. RFC5656 ECDSA પર (OpenSSH 5.7 થી સપોર્ટેડ).

સોર્સ: opennet.ru