ProHoster > Pūnaewele > nūhou pūnaewele > Hoʻokuʻu ʻia o OpenSSH 8.4

Hoʻokuʻu ʻia o OpenSSH 8.4

Ma hope o ʻehā mahina o ka hoʻomohala ʻana hōʻike ʻia hoʻokuʻu ʻia o OpenSSH 8.4, kahi mea kūʻai wehe a me ka hoʻokō kikowaena no ka hana ʻana me ka hoʻohana ʻana i nā protocol SSH 2.0 a me SFTP.

Nā hoʻololi nui:

  • Nā hoʻololi palekana:
    • Ma ka ssh-agent, i ka wā e hoʻohana ai i nā kī FIDO i hana ʻole ʻia no ka hōʻoia ʻana o SSH (ʻaʻole hoʻomaka ka ID kī me ke kaula "ssh:"), ke nānā nei ʻo ia e kau inoa ʻia ka leka me ka hoʻohana ʻana i nā ʻano i hoʻohana ʻia i ka protocol SSH. ʻAʻole e ʻae ka hoʻololi i ka ssh-agent e hoʻohuli hou ʻia i nā pūʻali mamao i loaʻa nā kī FIDO e ālai i ka hiki ke hoʻohana i kēia mau kī e hana i nā pūlima no nā noi hōʻoia pūnaewele (ʻo ka hihia hope, ke hiki i kahi polokalamu ke hoʻopaʻa inoa i kahi noi SSH, ʻaʻole i hoʻokomo ʻia. ma muli o ka hoʻohana ʻana i ka prefix "ssh:" i ka ʻike kī).
    • Aia ka ssh-keygen's resident key generation i ke kākoʻo no ka credProtect add-on i wehewehe ʻia ma ka FIDO 2.1 kikoʻī, e hāʻawi ana i ka pale hou no nā kī ma ke koi ʻana i kahi PIN ma mua o ka hana ʻana i kekahi hana e hiki ai ke unuhi i ke kī noho mai ka hōʻailona.
  • Hiki ke haki i nā hoʻololi like ʻana:
    • No ke kākoʻo ʻana iā FIDO/U2F, pono e hoʻohana i ka waihona libfido2 ma ka liʻiliʻi loa 1.5.0. Ua hoʻokō ʻia ka hiki ke hoʻohana i nā paʻi kahiko, akā i kēia hihia, ʻaʻole e loaʻa nā hana e like me nā kī noho, noi PIN, a me ka hoʻopili ʻana i nā hōʻailona lehulehu.
    • Ma ssh-keygen, ua hoʻohui ʻia ka ʻikepili authenticator e pono ai no ka hōʻoia ʻana i ka hōʻoia ʻana i nā pūlima kikohoʻe i ke ʻano o ka ʻike hōʻoia, i mālama ʻia i ka wā e hana ai i kahi kī FIDO.
    • Ua hoʻololi ʻia ka API i hoʻohana ʻia i ka wā e launa pū ai ʻo OpenSSH me ka papa no ke komo ʻana i nā hōʻailona FIDO.
    • I ke kūkulu ʻana i kahi mana paʻa o OpenSSH, koi ʻia ʻo automake e hana i ka script configure a me nā faila kūkulu pū ʻana (inā kūkulu ʻia mai kahi faila tar code i paʻi ʻia, ʻaʻole koi ʻia ka hoʻonohonoho hou ʻana).
  • Hoʻohui kākoʻo no nā kī FIDO e koi ana i ka hōʻoia PIN ma ssh a me ssh-keygen. No ka hana ʻana i nā kī me PIN, ua hoʻohui ʻia ke koho "hōʻoia-pono" i ssh-keygen. Inā hoʻohana ʻia kēlā mau kī, ma mua o ka hana ʻana i ka hana hana pūlima, ua koi ʻia ka mea hoʻohana e hōʻoia i kā lākou hana ma ke komo ʻana i kahi code PIN.
  • Ma sshd, ua hoʻokō ʻia ke koho "hōʻoia-koi" i ka hoʻonohonoho authorized_keys, kahi e koi ai i ka hoʻohana ʻana i nā mea hiki ke hōʻoia i ka hele ʻana o ka mea hoʻohana i ka wā o nā hana me ka hōʻailona. Hāʻawi ka FIDO maʻamau i nā koho he nui no ia hōʻoia, akā i kēia manawa kākoʻo wale ʻo OpenSSH i ka hōʻoia pili PIN.
  • Ua hoʻohui ʻo sshd a me ssh-keygen i ke kākoʻo no ka hōʻoia ʻana i nā pūlima kikohoʻe e pili ana i ka maʻamau FIDO Webauthn, e hiki ai ke hoʻohana ʻia nā kī FIDO i nā polokalamu kele pūnaewele.
  • Ma ssh i nā hoʻonohonoho CertificateFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward a me
    Hāʻawi ʻo RemoteForward i ka hoʻololi ʻana i nā waiwai mai nā mea hoʻololi kaiapuni i kuhikuhi ʻia ma ke ʻano "${ENV}".

  • ssh a me ssh-agent ua hoʻohui i ke kākoʻo no ka $SSH_ASKPASS_REQUIRE hoʻololi kaiapuni, hiki ke hoʻohana ʻia e hiki ai a hoʻopau paha i ke kelepona ssh-askpass.
  • Ma ssh ma ssh_config i ka AddKeysToAgent kuhikuhi, ua hoʻohui ʻia ka hiki ke kaupalena i ka manawa kūpono o kahi kī. Ma hope o ka pau ʻana o ka palena i ʻōlelo ʻia, holoi ʻia nā kī mai ka ssh-agent.
  • Ma ka scp a me ka sftp, me ka hoʻohana ʻana i ka hae "-A", hiki iā ʻoe ke ʻae i ka hoʻihoʻi ʻana i ka scp a me ka sftp me ka hoʻohana ʻana i ka ssh-agent (ua pio ka hoʻihoʻi ʻana ma ka paʻamau).
  • Hoʻohui ʻia ke kākoʻo no ka hoʻololi '%k' i nā hoʻonohonoho ssh, e kuhikuhi ana i ka inoa kī host. Hiki ke hoʻohana ʻia kēia hiʻohiʻona e puʻunaue i nā kī i nā faila ʻokoʻa (e laʻa, "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
  • E ʻae i ka hoʻohana ʻana i ka hana "ssh-add -d -" e heluhelu i nā kī mai stdin e holoi ʻia.
  • I ka sshd, ʻike ʻia ka hoʻomaka ʻana a me ka hopena o ke kaʻina hoʻopili pili i ka log, i hoʻoponopono ʻia me ka hoʻohana ʻana i ka palena MaxStartups.

Ua hoʻomanaʻo pū nā mea hoʻomohala OpenSSH i ka wehe ʻana o nā algorithm e hoʻohana ana i nā hashes SHA-1 ma muli o hoʻokiʻekiʻe ka maikaʻi o ka hoʻouka kaua ʻana me kahi prefix i hāʻawi ʻia (ʻo ke kumukūʻai o ke koho ʻana i kahi collision i manaʻo ʻia ma kahi o 45 tausani kālā). Ma kekahi o nā hoʻokuʻu e hiki mai ana, hoʻolālā lākou e hoʻopau i ka hiki ke hoʻohana i ke kī kī kīwī algorithm algorithm "ssh-rsa", i ʻōlelo ʻia ma ka RFC kumu no ka protocol SSH a hoʻomau i ka hoʻomaʻamaʻa (e hoʻāʻo i ka hoʻohana. o ssh-rsa i kāu mau ʻōnaehana, hiki iā ʻoe ke hoʻāʻo e hoʻopili ma o ssh me ke koho "-oHostKeyAlgorithms=-ssh-rsa").

No ka hoʻomaʻamaʻa ʻana i ka hoʻololi ʻana i nā algorithm hou ma OpenSSH, ʻo ka hoʻokuʻu aʻe e hiki ai i ka hoʻonohonoho UpdateHostKeys ma ke ʻano paʻamau, e neʻe koke i nā mea kūʻai aku i nā algorithms hilinaʻi. ʻO nā algorithm i manaʻo ʻia no ka neʻe ʻana he rsa-sha2-256/512 e pili ana i ka RFC8332 RSA SHA-2 (kākoʻo ʻia mai OpenSSH 7.2 a hoʻohana ʻia e ka paʻamau), ssh-ed25519 (kākoʻo ʻia mai OpenSSH 6.5) a me ecdsa-sha2-nistp256/384/521. ma RFC5656 ECDSA (kākoʻo ʻia mai OpenSSH 5.7).

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka