ProHoster > Pūnaewele > nūhou pūnaewele > Hoʻokuʻu ʻia o OpenSSH 8.5

Hoʻokuʻu ʻia o OpenSSH 8.5

Ma hope o ʻelima mau mahina o ka hoʻomohala ʻana, hōʻike ʻia ka hoʻokuʻu ʻana o OpenSSH 8.5, kahi hoʻokō wehe o kahi mea kūʻai aku a me kahi kikowaena no ka hana ʻana ma luna o nā protocol SSH 2.0 a me SFTP.

Ua hoʻomanaʻo mai nā mea hoʻomohala OpenSSH iā mākou i ka decommissioning o nā algorithms e hoʻohana ana i nā hashes SHA-1 ma muli o ka hoʻonui ʻia o ka hoʻouka kaua ʻana me kahi prefix i hāʻawi ʻia (ʻo ke kumukūʻai o ke koho ʻana i kahi hui ʻana ua manaʻo ʻia ma kahi o $50 tausani). Ma kekahi o nā hoʻokuʻu e hiki mai ana, hoʻolālā lākou e hoʻopau i ka hiki ke hoʻohana i ka "ssh-rsa" public key digital signature algorithm, i ʻōlelo ʻia ma ka RFC kumu no ka protocol SSH a hoʻomau i ka hoʻomaʻamaʻa.

No ka hoʻāʻo ʻana i ka hoʻohana ʻana i ka ssh-rsa ma kāu mau ʻōnaehana, hiki iā ʻoe ke hoʻāʻo e hoʻopili ma o ssh me ke koho "-oHostKeyAlgorithms=-ssh-rsa". I ka manawa like, ʻo ka hoʻopau ʻana i nā inoa kikohoʻe "ssh-rsa" ma ke ʻano maʻamau, ʻaʻole ia he haʻalele piha i ka hoʻohana ʻana i nā kī RSA, no ka mea ma kahi o SHA-1, hiki i ka protocol SSH ke hoʻohana i nā algorithms helu hash. Ma keʻano, ma kahi o "ssh-rsa", hiki ke hoʻohana i nā pūʻulu "rsa-sha2-256" (RSA / SHA256) a me "rsa-sha2-512" (RSA / SHA512).

No ka hoʻomaʻamaʻa ʻana i ka hoʻololi ʻana i nā algorithms hou, ua loaʻa iā OpenSSH 8.5 ka hoʻonohonoho UpdateHostKeys i hoʻohana ʻia e ka paʻamau, e hiki ai i nā mea kūʻai ke hoʻololi aunoa i nā algorithms hilinaʻi. Ke hoʻohana nei i kēia hoʻonohonoho, hiki ke hoʻonui ʻia kahi protocol kūikawā "[pale ʻia ka leka uila]", e ʻae ana i ke kikowaena, ma hope o ka hōʻoia ʻana, e hoʻomaopopo i ka mea kūʻai aku e pili ana i nā kī hoʻokipa āpau i loaʻa. Hiki i ka mea kūʻai ke noʻonoʻo i kēia mau kī i loko o kāna faila ~/.ssh/known_hosts, kahi e hiki ai i nā kī hoʻokipa ke hoʻonui a maʻalahi hoʻi e hoʻololi i nā kī ma ke kikowaena.

Hoʻohana ʻia ka hoʻohana ʻana o UpdateHostKeys e kekahi mau hōʻailona e hiki ke wehe ʻia i ka wā e hiki mai ana: pono e kuhikuhi ʻia ke kī ma ka UserKnownHostsFile a ʻaʻole hoʻohana ʻia i ka GlobalKnownHostsFile; pono ke kī ma lalo o hoʻokahi inoa; ʻaʻole pono e hoʻohana ʻia kahi palapala kī hoʻokipa; ʻAʻole pono e hoʻohana ʻia nā masks known_hosts ma ka inoa host; pono e pio ka hoʻonohonoho VerifyHostKeyDNS; Pono ke ʻano o ka UserKnownHostsFile.

ʻO nā algorithm i manaʻo ʻia no ka neʻe ʻana he rsa-sha2-256/512 e pili ana i ka RFC8332 RSA SHA-2 (kākoʻo ʻia mai OpenSSH 7.2 a hoʻohana ʻia e ka paʻamau), ssh-ed25519 (kākoʻo ʻia mai OpenSSH 6.5) a me ecdsa-sha2-nistp256/384/521. ma RFC5656 ECDSA (kākoʻo ʻia mai OpenSSH 5.7).

Nā hoʻololi ʻē aʻe:

  • Nā hoʻololi palekana:
    • Ua hoʻopaʻa ʻia kahi haʻahaʻa ma muli o ka hoʻokuʻu hou ʻana i kahi wahi hoʻomanaʻo i hoʻokuʻu ʻia (ʻaʻole pālua) i ssh-agent. Aia ka pilikia mai ka hoʻokuʻu ʻia ʻana o OpenSSH 8.2 a hiki ke hoʻohana ʻia inā hiki i kahi mea hoʻouka ke komo i ke kumu ssh-agent ma ka ʻōnaehana kūloko. ʻO ka mea i ʻoi aku ka paʻakikī o ka hoʻohana ʻana, ʻo ke aʻa wale nō a me ka mea hoʻohana mua ke komo i ke kumu. ʻO ke ʻano o ka hoʻouka kaua ʻana, ʻo ia ka hoʻihoʻi ʻia ʻana o ka ʻelele i kahi moʻokāki i mālama ʻia e ka mea hoʻouka, a i ʻole i kahi pūʻali kahi i loaʻa ai ke aʻa o ka mea hoʻouka.
    • Ua hoʻohui ʻo sshd i ka pale mai ka hoʻolilo ʻana i nā palena nui loa me ka inoa mea hoʻohana i ka subsystem PAM, kahi e hiki ai iā ʻoe ke pale i nā nāwaliwali i loko o nā modules PAM (Pluggable Authentication Module). No ka laʻana, pale ka hoʻololi i ka sshd mai ka hoʻohana ʻia ʻana ma ke ʻano he vector e hoʻohana ai i kahi palupalu aʻa i ʻike hou ʻia ma Solaris (CVE-2020-14871).
  • Hiki ke haki i nā hoʻololi like ʻana:
    • В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо [pale ʻia ka leka uila] метод теперь идентифицируется как [pale ʻia ka leka uila] (ua hoʻololi ʻia ka sntrup4591761 algorithm e sntrup761).
    • Ma ssh a me sshd, ua hoʻololi ʻia ke kauoha i kākoʻo ʻia i nā algorithm signature digital. Hāʻawi mua ʻia ʻo ED25519 ma mua o ECDSA.
    • Ma ssh a me sshd, ke hoʻonohonoho ʻana i ka maikaʻi o TOS/DSCP o nā ʻāpana lawelawe no nā kau kūkākūkā i kēia manawa ma mua o ka hoʻokumu ʻana i kahi pilina TCP.
    • Ua hoʻopau ʻia ke kākoʻo Cipher ma ssh a me sshd [pale ʻia ka leka uila], ua like ia me aes256-cbc a ua hoʻohana ʻia ma mua o ka ʻae ʻia ʻana o RFC-4253.
    • Ma ka maʻamau, ua pio ka ʻāpana CheckHostIP, ʻaʻole pono ka pōmaikaʻi, akā ʻo kona hoʻohana ʻana e hoʻopiʻi nui i ka hoʻololi kī no nā pūʻali ma hope o nā mea kaulike.
  • Ua hoʻohui ʻia nā hoʻonohonoho PerSourceMaxStartups a me PerSourceNetBlockSize i ka sshd e kaupalena i ka ikaika o ka hoʻomaka ʻana i nā mea lawelawe e pili ana i ka helu o ka mea kūʻai aku. Hāʻawi kēia mau ʻāpana iā ʻoe e hoʻomalu maikaʻi i ka palena o ka hoʻomaka ʻana o ke kaʻina hana, i hoʻohālikelike ʻia i ka hoʻonohonoho maʻamau MaxStartups.
  • Ua hoʻohui ʻia kahi hoʻonohonoho LogVerbose hou i ka ssh a me ka sshd, kahi e hiki ai iā ʻoe ke hoʻokiʻekiʻe ikaika i ka pae o ka ʻike debugging i hoʻolei ʻia i loko o ka log, me ka hiki ke kānana e nā templates, nā hana a me nā faila.
  • Ma ssh, i ka wā e ʻae ai i kahi kī hoʻokipa hou, hōʻike ʻia nā inoa inoa āpau a me nā helu IP pili me ke kī.
  • ssh hiki i ka UserKnownHostsFile=ʻaʻohe koho e hoʻopau i ka hoʻohana ʻana i ka file known_hosts i ka wā e ʻike ai i nā kī hoʻokipa.
  • Ua hoʻohui ʻia kahi hoʻonohonoho KnownHostsCommand i ssh_config no ka ssh, e ʻae iā ʻoe e kiʻi i ka ʻikepili known_hosts mai ka hoʻopuka o ke kauoha i kuhikuhi ʻia.
  • Hoʻohui i kahi koho PermitRemoteOpen i ssh_config no ssh e ʻae iā ʻoe e kaupalena i ka huakaʻi i ka wā e hoʻohana ai i ka koho RemoteForward me SOCKS.
  • Ma ssh no nā kī FIDO, hāʻawi ʻia kahi noi PIN hou i ka wā i hāʻule ʻole ka hana pūlima kikohoʻe ma muli o kahi PIN hewa a ʻaʻole i koi ʻia ka mea hoʻohana no kahi PIN (no ka laʻana, ke loaʻa ʻole ka ʻikepili biometric kūpono a ua hāʻule hou ka hāmeʻa i ka hoʻokomo PIN manual).
  • Hoʻohui ʻo sshd i ke kākoʻo no nā kelepona ʻōnaehana hou i ka seccomp-bpf-based kaʻina hana kaʻawale ma Linux.
  • Ua hōʻano hou ʻia ka pono contrib/ssh-copy-id.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka