ProHoster > Pūnaewele > nūhou pūnaewele > Hoʻokuʻu ʻia o OpenSSH 8.7

Hoʻokuʻu ʻia o OpenSSH 8.7

Ma hope o ʻehā mau mahina o ka hoʻomohala ʻana, ua hōʻike ʻia ka hoʻokuʻu ʻana o OpenSSH 8.7, kahi hoʻokō wehe o kahi mea kūʻai aku a me kahi kikowaena no ka hana ʻana ma luna o nā protocols SSH 2.0 a me SFTP.

Nā hoʻololi nui:

  • Ua hoʻohui ʻia kahi ʻano hoʻoili ʻikepili hoʻokolohua i ka scp me ka hoʻohana ʻana i ka protocol SFTP ma kahi o ka protocol SCP/RCP kuʻuna. Hoʻohana ʻo SFTP i nā ʻano hana hoʻopaʻa inoa ʻoi aku ka wānana a ʻaʻole hoʻohana i ka hoʻoili ʻana i ka pūpū o nā ʻano glob ma ka ʻaoʻao o ka mea hoʻokipa, e hana ana i nā pilikia palekana. I mea e hiki ai iā SFTP ma scp, ua hoʻolālā ʻia ka hae "-s", akā i ka wā e hiki mai ana ua hoʻolālā ʻia e hoʻololi i kēia protocol ma ke ʻano maʻamau.
  • Hoʻokomo ka sftp-server i nā hoʻonui i ka protocol SFTP e hoʻonui i nā ala ~ / a me ~ mea hoʻohana /, pono no ka scp.
  • Ua hoʻololi ka pono scp i ke ʻano ke kope ʻana i nā faila ma waena o ʻelua mau pūʻali mamao (no ka laʻana, "scp host-a:/path host-b:"), i hana ʻia i kēia manawa ma o ka mea hoʻokipa kūloko waena, e like me ke kuhikuhi ʻana i ka " -3” hae. ʻO kēia ala e hiki ai iā ʻoe ke pale i ka hāʻawi ʻana i nā hōʻoia pono ʻole i ka mea hoʻokipa mua a me ka wehewehe ʻekolu o nā inoa faila i loko o ka pūpū (ma ke kumu, kahi e hele ai a me ka ʻaoʻao ʻōnaehana kūloko), a i ka wā e hoʻohana ai i ka SFTP, hiki iā ʻoe ke hoʻohana i nā ala hōʻoia āpau i ke komo ʻana i kahi mamao. nā pūʻali koa, ʻaʻole wale nā ​​ala pili ʻole . Ua hoʻohui ʻia ke koho "-R" e hoʻihoʻi i ka hana kahiko.
  • Hoʻohui ʻia ka hoʻonohonoho ForkAfterAuthentication i ssh e pili ana i ka hae "-f".
  • Hoʻohui ʻia ʻo StdinNull i ka ssh, e pili ana i ka hae "-n".
  • Ua hoʻohui ʻia kahi hoʻonohonoho SessionType i ka ssh, kahi e hiki ai iā ʻoe ke hoʻonohonoho i nā ʻano e pili ana i nā hae "-N" (ʻaʻohe hālāwai) a me "-s" (subsystem).
  • ssh-keygen hiki iā ʻoe ke kuhikuhi i kahi kikowaena kūpono kī i nā faila kī.
  • Hoʻohui ʻia ka hae "-Oprint-pubkey" i ka ssh-keygen e paʻi i ke kī ākea piha ma ke ʻano o ka pūlima sshsig.
  • Ma ssh a me sshd, ua hoʻoneʻe ʻia ka mea kūʻai aku a me ke kikowaena e hoʻohana i kahi parser file hoʻonohonoho paʻa e hoʻohana ana i nā lula e like me ka shell no ka mālama ʻana i nā huaʻōlelo, nā hakahaka, a me nā mea pakele. ʻAʻole hoʻowahāwahā ka parser hou i nā manaʻo i hana mua ʻia, e like me ka haʻalele ʻana i nā hoʻopaʻapaʻa i nā koho (no ka laʻana, ʻaʻole hiki ke waiho ʻia ke kuhikuhi DenyUsers me ka nele), nā huaʻōlelo i wehe ʻole ʻia, a me ka wehewehe ʻana i nā helu = nui.
  • Ke hoʻohana nei i nā moʻolelo DNS SSHFP i ka wā e hōʻoia ai i nā kī, nānā ʻo ssh i kēia manawa i nā moʻolelo like ʻole, ʻaʻole wale nā ​​mea i loaʻa i kahi ʻano kikoʻī o ka pūlima kikohoʻe.
  • Ma ssh-keygen, i ka wā e hana ai i kahi kī FIDO me ke koho -Ochallenge, ua hoʻohana ʻia ka papa i kūkulu ʻia no ka hashing, ma mua o ka libfido2, e ʻae ai i ka hoʻohana ʻana i nā kaʻina hoʻokūkū nui a liʻiliʻi paha ma mua o 32 bytes.
  • Ma sshd, i ka wā e hoʻoponopono ai i ka environment="..." nā kuhikuhi i nā faila authorized_keys, ua ʻae ʻia ka pāʻani mua a aia ka palena o 1024 mau inoa hoʻololi.

Ua aʻo aku nā mea hoʻomohala OpenSSH e pili ana i ka decomposition o nā algorithms me ka hoʻohana ʻana i nā hashes SHA-1 ma muli o ka hoʻonui ʻana i ka pono o ka hoʻouka kaua ʻana me kahi prefix i hāʻawi ʻia (ʻo ke kumukūʻai o ke koho ʻana i kahi hui ʻana ma kahi o 50 tausani kālā). Ma ka hoʻokuʻu hou aʻe, hoʻolālā mākou e hoʻopau i ka hiki ke hoʻohana i ka algorithm signature digital key public "ssh-rsa", i ʻōlelo ʻia ma ka RFC kumu no ka protocol SSH a hoʻohana nui ʻia i ka hana.

No ka hoʻāʻo ʻana i ka hoʻohana ʻana i ka ssh-rsa ma kāu mau ʻōnaehana, hiki iā ʻoe ke hoʻāʻo e hoʻopili ma o ssh me ke koho "-oHostKeyAlgorithms=-ssh-rsa". I ka manawa like, ʻo ka hoʻopau ʻana i nā inoa kikohoʻe "ssh-rsa" ma ke ʻano maʻamau, ʻaʻole ia he haʻalele piha i ka hoʻohana ʻana i nā kī RSA, no ka mea ma kahi o SHA-1, hiki i ka protocol SSH ke hoʻohana i nā algorithms helu hash. Ma keʻano, ma kahi o "ssh-rsa", hiki ke hoʻohana i nā pūʻulu "rsa-sha2-256" (RSA / SHA256) a me "rsa-sha2-512" (RSA / SHA512).

No ka hoʻomaʻamaʻa ʻana i ka hoʻololi ʻana i nā algorithms hou, ua loaʻa mua iā OpenSSH ka hoʻonohonoho UpdateHostKeys i hoʻohana ʻia e ka paʻamau, e hiki ai i nā mea kūʻai ke hoʻololi i nā algorithms hilinaʻi. Ke hoʻohana nei i kēia hoʻonohonoho, hiki ke hoʻonui ʻia kahi protocol kūikawā "[pale ʻia ka leka uila]", e ʻae ana i ke kikowaena, ma hope o ka hōʻoia ʻana, e hoʻomaopopo i ka mea kūʻai aku e pili ana i nā kī hoʻokipa āpau i loaʻa. Hiki i ka mea kūʻai ke noʻonoʻo i kēia mau kī i loko o kāna faila ~/.ssh/known_hosts, kahi e hiki ai i nā kī hoʻokipa ke hoʻonui a maʻalahi hoʻi e hoʻololi i nā kī ma ke kikowaena.

Hoʻohana ʻia ka hoʻohana ʻana o UpdateHostKeys e kekahi mau hōʻailona e hiki ke wehe ʻia i ka wā e hiki mai ana: pono e kuhikuhi ʻia ke kī ma ka UserKnownHostsFile a ʻaʻole hoʻohana ʻia i ka GlobalKnownHostsFile; pono ke kī ma lalo o hoʻokahi inoa; ʻaʻole pono e hoʻohana ʻia kahi palapala kī hoʻokipa; ʻAʻole pono e hoʻohana ʻia nā masks known_hosts ma ka inoa host; pono e pio ka hoʻonohonoho VerifyHostKeyDNS; Pono ke ʻano o ka UserKnownHostsFile.

ʻO nā algorithm i manaʻo ʻia no ka neʻe ʻana he rsa-sha2-256/512 e pili ana i ka RFC8332 RSA SHA-2 (kākoʻo ʻia mai OpenSSH 7.2 a hoʻohana ʻia e ka paʻamau), ssh-ed25519 (kākoʻo ʻia mai OpenSSH 6.5) a me ecdsa-sha2-nistp256/384/521. ma RFC5656 ECDSA (kākoʻo ʻia mai OpenSSH 5.7).

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka