ProHoster > Pūnaewele > nūhou pūnaewele > Hoʻokuʻu ʻia o OpenSSH 8.0

Hoʻokuʻu ʻia o OpenSSH 8.0

Ma hope o ʻelima mau mahina o ka hoʻomohala ʻana hōʻike ʻia hoʻokuʻu OpenSSH 8.0, he mea kūʻai wehe a me ka hoʻokō kikowaena no ka hana ʻana ma o nā protocol SSH 2.0 a me SFTP.

Nā hoʻololi nui:

  • Ua hoʻohui ʻia ke kākoʻo hoʻokolohua no ke ʻano hoʻololi koʻikoʻi e kūʻē i ka hoʻouka kaua ʻana i ka lolouila quantum i ssh a me sshd. ʻOi aku ka wikiwiki o nā kamepiula quantum i ka hoʻoponopono ʻana i ka pilikia o ka hoʻoheheʻe ʻana i kahi helu kūlohelohe i nā kumu nui, kahi i hoʻokumu ʻia i nā algorithms encryption asymmetric hou a ʻaʻole hiki ke hoʻoponopono pono ʻia ma nā kaʻina hana kahiko. ʻO ke ala i manaʻo ʻia e pili ana i ka algorithm NTRU Prime (hana ntrup4591761), hoʻomohala ʻia no nā cryptosystems post-quantum, a me ke ʻano hoʻololi kī elliptic curve X25519;
  • Ma sshd, ʻaʻole kākoʻo hou nā kuhikuhi ListenAddress a me PermitOpen i ka hoʻoilina "host/port" syntax, i hoʻokō ʻia ma 2001 ma ke ʻano he "host:port" e maʻalahi i ka hana ʻana me IPv6. I nā kūlana hou, ua hoʻokumu ʻia ka syntax "[::6]:1" no IPv22, a ua huikau pinepine ʻia ka "host/port" me ka hōʻike ʻana i ka subnet (CIDR);
  • ssh, ssh-agent a me ssh-add i kēia manawa kākoʻo i nā kī Ecdsa i nā hōʻailona PKCS # 11;
  • Ma ssh-keygen, ua hoʻonui ʻia ka nui kī RSA paʻamau i 3072 bits, e like me nā manaʻo NIST hou;
  • Hiki i ka ssh ke hoʻohana i ka hoʻonohonoho "PKCS11Provider=ʻaʻohe" e hoʻopau i ke kuhikuhi PKCS11Provider i kuhikuhi ʻia ma ssh_config;
  • Hāʻawi ʻo sshd i kahi hōʻike log o nā kūlana ke hoʻopau ʻia ka pilina i ka wā e hoʻāʻo ai e hoʻokō i nā kauoha i kāohi ʻia e ka palena "ForceCommand = internal-sftp" ma sshd_config;
  • Ma ssh, i ka wā e hōʻike ana i kahi noi e hōʻoia i ka ʻae ʻana i kahi kī hoʻokipa hou, ma kahi o ka pane "yes", ua ʻae ʻia ka manamana lima pololei o ke kī (i ka pane ʻana i ke kono e hōʻoia i ka pilina, hiki i ka mea hoʻohana ke kope i ka Ua loaʻa kaʻawale ka hash kuhikuhi ma o ka clipboard, i ʻole e hoʻohālikelike lima ʻia);
  • Hāʻawi ka ssh-keygen i ka hoʻonui ʻana i ka helu kaʻina palapala i ka wā e hana ai i nā pūlima kikohoʻe no nā palapala he nui ma ka laina kauoha;
  • Ua hoʻohui ʻia kahi koho hou "-J" i scp a me sftp, e like me ka hoʻonohonoho ProxyJump;
  • Ma ka ssh-agent, ssh-pkcs11-helper a me ssh-add, ua hoʻohui ʻia ka hana ʻana o ke koho laina kauoha "-v" e hoʻonui i ka ʻike ʻike o ka hoʻopuka (i ka manawa i kuhikuhi ʻia, hāʻawi ʻia kēia koho i nā kaʻina keiki, no ka mea. laʻana, ke kāhea ʻia ʻo ssh-pkcs11-helper mai ssh-agent );
  • Ua hoʻohui ʻia ke koho "-T" i ka ssh-add e hoʻāʻo i ke kūpono o nā kī i loko o ka ssh-agent no ka hana ʻana i ka hana hōʻailona kikohoʻe a me nā hana hōʻoia;
  • Hoʻokomo ka sftp-server i ke kākoʻo no ka hoʻonui protocol "lsetstat at openssh.com", e hoʻohui i ke kākoʻo no ka hana SSH2_FXP_SETSTAT no SFTP, akā me ka ʻole o ka hahai ʻana i nā loulou hōʻailona;
  • Hoʻohui ʻia ke koho "-h" i sftp e holo i nā kauoha chown/chgrp/chmod me nā noi i hoʻohana ʻole i nā loulou hōʻailona;
  • Hāʻawi ka sshd i ka hoʻonohonoho ʻana o ka $ SSH_CONNECTION hoʻololi kaiapuni no PAM;
  • No ka sshd, ua hoʻohui ʻia kahi ʻano hoʻohālikelike "Match final" i ssh_config, e like me ka "Match canonical", akā ʻaʻole pono e hoʻohana ʻia ka hostname normalization;
  • Hoʻohui ʻia ke kākoʻo no ka '@' prefix i sftp e hoʻopau i ka unuhi ʻana o ka hoʻopuka o nā kauoha i hoʻokō ʻia ma ke ʻano hui;
  • Ke hōʻike ʻoe i nā ʻike o kahi palapala e hoʻohana ana i ke kauoha
    "ssh-keygen -Lf /path/certificate" hōʻike i kēia manawa i ka algorithm i hoʻohana ʻia e CA e hōʻoia i ka palapala;

  • Hoʻonui i ke kākoʻo no ke kaiapuni Cygwin, no ka laʻana hāʻawi ʻana i ka hoʻohālikelike case-insensitive o nā hui a me nā inoa mea hoʻohana. Ua hoʻololi ʻia ke kaʻina hana sshd ma ke awa Cygwin i cygsshd e pale aku i ka hoʻopilikia ʻana i ke awa OpenSSH i hoʻolako ʻia e Microsoft;
  • Hoʻohui i ka hiki ke kūkulu me ka lālā hoʻokolohua OpenSSL 3.x;
  • Hoʻopau ʻia palupalu (CVE-2019-6111) i ka hoʻokō ʻana i ka pono scp, ka mea e ʻae ai i nā faila arbitrary i ka papa kuhikuhi i hoʻopaʻa ʻia e kākau ʻia ma ka ʻaoʻao o ka mea kūʻai aku i ka wā e komo ai i kahi kikowaena i mālama ʻia e ka mea hoʻouka. ʻO ka pilikia, ʻo ka hoʻohana ʻana i ka scp, hoʻoholo ke kikowaena i nā faila a me nā papa kuhikuhi e hoʻouna ai i ka mea kūʻai aku, a nānā wale ka mea kūʻai aku i ka pololei o nā inoa mea i hoʻihoʻi ʻia. Ua kaupalena ʻia ka nānā ʻana i ka ʻaoʻao o nā mea kūʻai aku i ka pale wale ʻana i ka huakaʻi ma waho o ka papa kuhikuhi o kēia manawa (“../”), akā ʻaʻole ia e noʻonoʻo i ka hoʻoili ʻana o nā faila me nā inoa ʻokoʻa mai nā mea i noi mua ʻia. I ka hihia o ke kope kope ʻana (-r), ma kahi o nā inoa faila, hiki iā ʻoe ke hoʻololi i nā inoa o nā subdirectories ma ke ʻano like. No ka laʻana, inā kope ka mea hoʻohana i nā faila i ka papa kuhikuhi home, hiki i ke kikowaena mālama ʻia e ka mea hoʻouka ke hana i nā faila me nā inoa .bash_aliases a i ʻole .ssh/authorized_keys ma kahi o nā faila i noi ʻia, a e mālama ʻia lākou e ka scp utility i ka mea hoʻohana. papa kuhikuhi home.

    Ma ka hoʻokuʻu hou, ua hōʻano hou ʻia ka pono scp e nānā i ka pilina ma waena o nā inoa faila i noi ʻia a me nā mea i hoʻouna ʻia e ke kikowaena, i hana ʻia ma ka ʻaoʻao o ka mea kūʻai aku. Hiki paha kēia i nā pilikia me ka hoʻoponopono mask, no ka mea, hiki ke hana ʻokoʻa ʻia nā huaʻōlelo hoʻonui mask ma nā ʻaoʻao kikowaena a me nā mea kūʻai aku. I ka hihia o ia mau ʻokoʻa e hoʻōki ai ka mea kūʻai aku i ka ʻae ʻana i nā faila ma scp, ua hoʻohui ʻia ke koho "-T" e hoʻopau i ka nānā ʻaoʻao ʻaoʻao. No ka hoʻoponopono piha ʻana i ka pilikia, pono ka hana hou ʻana i ka manaʻo o ka protocol scp, ʻo ia ka mea i hala mua, no laila ua ʻōlelo ʻia e hoʻohana i nā protocol hou e like me sftp a me rsync ma kahi.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka