🥇ओपनएसएसएच 8.4 रिलीज

चार महीने के विकास के बाद प्रस्तुत ओपनएसएसएच 8.4 का विमोचन, एसएसएच 2.0 और एसएफटीपी प्रोटोकॉल का उपयोग करके काम करने के लिए एक खुला क्लाइंट और सर्वर कार्यान्वयन।

मुख्य परिवर्तन:

सुरक्षा परिवर्तन:
- ssh-एजेंट में, FIDO कुंजियों का उपयोग करते समय जो SSH प्रमाणीकरण के लिए नहीं बनाई गई थीं (कुंजी आईडी स्ट्रिंग "ssh:" से शुरू नहीं होती है), अब यह जांचता है कि संदेश SSH प्रोटोकॉल में उपयोग किए गए तरीकों का उपयोग करके हस्ताक्षरित किया जाएगा। यह परिवर्तन ssh-एजेंट को उन दूरस्थ होस्टों पर पुनर्निर्देशित करने की अनुमति नहीं देगा जिनके पास वेब प्रमाणीकरण अनुरोधों के लिए हस्ताक्षर उत्पन्न करने के लिए इन कुंजियों का उपयोग करने की क्षमता को अवरुद्ध करने के लिए FIDO कुंजियाँ हैं (रिवर्स केस, जब कोई ब्राउज़र SSH अनुरोध पर हस्ताक्षर कर सकता है, तो शुरू में बाहर रखा गया है) कुंजी पहचानकर्ता में "ssh:" उपसर्ग के उपयोग के कारण)।
- ssh-keygen की रेजिडेंट कुंजी पीढ़ी में FIDO 2.1 विनिर्देश में वर्णित क्रेडप्रोटेक्ट ऐड-ऑन के लिए समर्थन शामिल है, जो किसी भी ऑपरेशन को करने से पहले पिन की आवश्यकता के द्वारा कुंजियों के लिए अतिरिक्त सुरक्षा प्रदान करता है जिसके परिणामस्वरूप टोकन से रेजिडेंट कुंजी निकाली जा सकती है।
संभावित रूप से संगतता परिवर्तन को तोड़ना:
- FIDO/U2F का समर्थन करने के लिए, libfido2 लाइब्रेरी का कम से कम संस्करण 1.5.0 का उपयोग करने की अनुशंसा की जाती है। पुराने संस्करणों का उपयोग करने की क्षमता आंशिक रूप से लागू की गई है, लेकिन इस मामले में, निवासी कुंजी, पिन अनुरोध और कई टोकन को जोड़ने जैसे कार्य उपलब्ध नहीं होंगे।
- Ssh-keygen में, डिजिटल हस्ताक्षरों की पुष्टि करने के लिए आवश्यक प्रमाणक डेटा को पुष्टिकरण जानकारी के प्रारूप में जोड़ा गया है, जिसे FIDO कुंजी बनाते समय वैकल्पिक रूप से सहेजा जाता है।
- जब OpenSSH FIDO टोकन तक पहुँचने के लिए परत के साथ इंटरैक्ट करता है तो उपयोग की जाने वाली API को बदल दिया गया है।
- ओपनएसएसएच के पोर्टेबल संस्करण का निर्माण करते समय, ऑटोमेक को अब कॉन्फ़िगर स्क्रिप्ट और साथ में बिल्ड फ़ाइलों को उत्पन्न करने की आवश्यकता होती है (यदि प्रकाशित कोड टार फ़ाइल से निर्माण हो रहा है, तो कॉन्फ़िगरेशन को पुनर्जीवित करने की आवश्यकता नहीं है)।
FIDO कुंजियों के लिए समर्थन जोड़ा गया जिनके लिए ssh और ssh-keygen में पिन सत्यापन की आवश्यकता होती है। पिन के साथ कुंजी उत्पन्न करने के लिए, ssh-keygen में "सत्यापन-आवश्यक" विकल्प जोड़ा गया है। यदि ऐसी कुंजियों का उपयोग किया जाता है, तो हस्ताक्षर निर्माण ऑपरेशन करने से पहले, उपयोगकर्ता को एक पिन कोड दर्ज करके अपने कार्यों की पुष्टि करने के लिए कहा जाता है।
Sshd में, "सत्यापन-आवश्यक" विकल्प अधिकृत_की सेटिंग में लागू किया जाता है, जिसके लिए टोकन के साथ संचालन के दौरान उपयोगकर्ता की उपस्थिति को सत्यापित करने के लिए क्षमताओं के उपयोग की आवश्यकता होती है। FIDO मानक ऐसे सत्यापन के लिए कई विकल्प प्रदान करता है, लेकिन वर्तमान में OpenSSH केवल पिन-आधारित सत्यापन का समर्थन करता है।
sshd और ssh-keygen ने FIDO Webauthn मानक का अनुपालन करने वाले डिजिटल हस्ताक्षरों को सत्यापित करने के लिए समर्थन जोड़ा है, जो वेब ब्राउज़र में FIDO कुंजियों का उपयोग करने की अनुमति देता है।
सर्टिफिकेटफ़ाइल सेटिंग्स में ssh में,
कंट्रोलपाथ, आइडेंटिटीएजेंट, आइडेंटिटीफाइल, लोकलफॉरवर्ड और
रिमोटफॉरवर्ड "${ENV}" प्रारूप में निर्दिष्ट पर्यावरण चर से मूल्यों के प्रतिस्थापन की अनुमति देता है।
ssh और ssh-एजेंट ने $SSH_ASKPASS_REQUIRE पर्यावरण चर के लिए समर्थन जोड़ा है, जिसका उपयोग ssh-askpass कॉल को सक्षम या अक्षम करने के लिए किया जा सकता है।
AddKeysToAgent निर्देश में ssh_config में ssh में, कुंजी की वैधता अवधि को सीमित करने की क्षमता जोड़ी गई है। निर्दिष्ट सीमा समाप्त होने के बाद, कुंजियाँ स्वचालित रूप से ssh-एजेंट से हटा दी जाती हैं।
एससीपी और एसएफटीपी में, "-ए" ध्वज का उपयोग करके, अब आप स्पष्ट रूप से एसएसएच-एजेंट का उपयोग करके एससीपी और एसएफटीपी पर पुनर्निर्देशन की अनुमति दे सकते हैं (पुनर्निर्देशन डिफ़ॉल्ट रूप से अक्षम है)।
एसएसएच सेटिंग्स में '%k' प्रतिस्थापन के लिए समर्थन जोड़ा गया, जो होस्ट कुंजी नाम निर्दिष्ट करता है। इस सुविधा का उपयोग कुंजियों को अलग-अलग फ़ाइलों में वितरित करने के लिए किया जा सकता है (उदाहरण के लिए, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”)।
हटाए जाने वाले स्टड से कुंजियाँ पढ़ने के लिए "ssh-add -d -" ऑपरेशन के उपयोग की अनुमति दें।
एसएसएचडी में, कनेक्शन प्रूनिंग प्रक्रिया की शुरुआत और अंत लॉग में परिलक्षित होता है, जिसे मैक्सस्टार्टअप पैरामीटर का उपयोग करके नियंत्रित किया जाता है।

ओपनएसएसएच डेवलपर्स ने SHA-1 हैश का उपयोग करके एल्गोरिदम के आगामी डीकमीशनिंग को भी याद किया पदोन्नति किसी दिए गए उपसर्ग के साथ टकराव के हमलों की प्रभावशीलता (टकराव के चयन की लागत लगभग 45 हजार डॉलर अनुमानित है)। आगामी रिलीज में से एक में, वे सार्वजनिक कुंजी डिजिटल हस्ताक्षर एल्गोरिदम "एसएसएच-आरएसए" का उपयोग करने की क्षमता को डिफ़ॉल्ट रूप से अक्षम करने की योजना बना रहे हैं, जिसका उल्लेख एसएसएच प्रोटोकॉल के लिए मूल आरएफसी में किया गया है और अभ्यास में व्यापक बना हुआ है (उपयोग का परीक्षण करने के लिए) अपने सिस्टम में ssh-rsa के लिए, आप "-oHostKeyAlgorithms=-ssh-rsa") विकल्प के साथ ssh के माध्यम से कनेक्ट करने का प्रयास कर सकते हैं।

ओपनएसएसएच में नए एल्गोरिदम में संक्रमण को सुचारू बनाने के लिए, अगली रिलीज डिफ़ॉल्ट रूप से अपडेटहोस्टकीज़ सेटिंग को सक्षम करेगी, जो स्वचालित रूप से ग्राहकों को अधिक विश्वसनीय एल्गोरिदम में स्थानांतरित कर देगी। माइग्रेशन के लिए अनुशंसित एल्गोरिदम में RFC2 RSA SHA-256 पर आधारित rsa-sha512-8332/2 (OpenSSH 7.2 के बाद से समर्थित और डिफ़ॉल्ट रूप से उपयोग किया जाता है), ssh-ed25519 (OpenSSH 6.5 के बाद से समर्थित) और ecdsa-sha2-nistp256/384/521 आधारित शामिल हैं। RFC5656 ECDSA पर (OpenSSH 5.7 के बाद से समर्थित)।

स्रोत: opennet.ru

ओपनएसएसएच 8.4 का विमोचन

एक टिप्पणी जोड़ें उत्तर रद्द