ProHoster > Blog > internetske vijesti > Izdanje OpenSSH 8.7

Izdanje OpenSSH 8.7

Nakon četiri mjeseca razvoja, predstavljeno je izdanje OpenSSH 8.7, otvorene implementacije klijenta i poslužitelja za rad preko SSH 2.0 i SFTP protokola.

Velike promjene:

  • Eksperimentalni način prijenosa podataka dodan je u scp korištenjem SFTP protokola umjesto tradicionalnog SCP/RCP protokola. SFTP koristi predvidljivije metode rukovanja imenima i ne koristi shell obradu glob uzoraka na strani drugog hosta, što stvara sigurnosne probleme. Da biste omogućili SFTP u scp-u, predložena je zastavica "-s", ali u budućnosti se planira prebaciti na ovaj protokol prema zadanim postavkama.
  • sftp-poslužitelj implementira proširenja SFTP protokola za proširenje ~/ i ~user/ staza, što je neophodno za scp.
  • Uslužni program scp promijenio je ponašanje prilikom kopiranja datoteka između dva udaljena računala (na primjer, "scp host-a:/path host-b:"), što se sada prema zadanim postavkama obavlja putem srednjeg lokalnog računala, kao kada se navodi " -3” zastava. Ovaj pristup vam omogućuje da izbjegnete prosljeđivanje nepotrebnih vjerodajnica prvom glavnom računalu i trostruko tumačenje naziva datoteka u ljusci (na strani izvora, odredišta i lokalnog sustava), a kada koristite SFTP, omogućuje vam korištenje svih metoda provjere autentičnosti prilikom pristupa udaljenom hostovi, a ne samo neinteraktivne metode. Dodana je opcija "-R" za vraćanje starog ponašanja.
  • Dodana postavka ForkAfterAuthentication za ssh koja odgovara zastavici "-f".
  • Dodana postavka StdinNull za ssh, koja odgovara zastavici "-n".
  • Postavka SessionType dodana je u ssh, putem koje možete postaviti načine koji odgovaraju oznakama "-N" (bez sesije) i "-s" (podsustav).
  • ssh-keygen vam omogućuje određivanje intervala valjanosti ključa u datotekama ključeva.
  • Dodana je zastavica "-Oprint-pubkey" u ssh-keygen za ispis punog javnog ključa kao dijela sshsig potpisa.
  • U ssh i sshd, i klijent i poslužitelj su premješteni na korištenje restriktivnijeg parsera konfiguracijske datoteke koji koristi pravila slična ljusci za rukovanje navodnicima, razmacima i znakovima za izlaz. Novi parser također ne zanemaruje prethodno postavljene pretpostavke, kao što je izostavljanje argumenata u opcijama (na primjer, direktiva DenyUsers više ne može ostati prazna), nezatvoreni navodnici i navođenje više znakova =.
  • Kada koristite SSHFP DNS zapise prilikom provjere ključeva, ssh sada provjerava sve podudarne zapise, a ne samo one koji sadrže određenu vrstu digitalnog potpisa.
  • U ssh-keygenu, prilikom generiranja FIDO ključa s opcijom -Ochallenge, ugrađeni sloj se sada koristi za raspršivanje, umjesto libfido2, koji dopušta upotrebu sekvenci izazova većih ili manjih od 32 bajta.
  • U sshd-u, prilikom obrade direktiva environment="..." u datotekama authorized_keys, prvo podudaranje je sada prihvaćeno i postoji ograničenje od 1024 naziva varijabli okruženja.

Programeri OpenSSH-a također su upozorili na dekompoziciju algoritama koji koriste SHA-1 hashove zbog povećane učinkovitosti napada kolizije s danim prefiksom (cijena odabira kolizije procjenjuje se na oko 50 tisuća dolara). U sljedećem izdanju planiramo prema zadanim postavkama onemogućiti mogućnost korištenja algoritma digitalnog potpisa s javnim ključem "ssh-rsa", koji je spomenut u izvornom RFC-u za SSH protokol i koji se i dalje široko koristi u praksi.

Za testiranje upotrebe ssh-rsa na vašim sustavima, možete se pokušati povezati putem ssh s opcijom “-oHostKeyAlgorithms=-ssh-rsa”. Istodobno, onemogućavanje “ssh-rsa” digitalnih potpisa prema zadanim postavkama ne znači potpuno odustajanje od uporabe RSA ključeva, budući da osim SHA-1, SSH protokol omogućuje korištenje drugih algoritama za izračunavanje hash-a. Konkretno, uz "ssh-rsa", i dalje će biti moguće koristiti pakete "rsa-sha2-256" (RSA/SHA256) i "rsa-sha2-512" (RSA/SHA512).

Kako bi se olakšao prijelaz na nove algoritme, OpenSSH je prethodno prema zadanim postavkama imao omogućenu postavku UpdateHostKeys, koja klijentima omogućuje automatski prijelaz na pouzdanije algoritme. Pomoću ove postavke omogućeno je posebno proširenje protokola "[e-pošta zaštićena]“, omogućujući poslužitelju da nakon autentifikacije obavijesti klijenta o svim dostupnim ključevima hosta. Klijent može prikazati ove ključeve u svojoj datoteci ~/.ssh/known_hosts, što omogućuje ažuriranje ključeva hosta i olakšava promjenu ključeva na poslužitelju.

Korištenje UpdateHostKeys ograničeno je s nekoliko upozorenja koja bi se mogla ukloniti u budućnosti: ključ mora biti naveden u UserKnownHostsFile, a ne korišten u GlobalKnownHostsFile; ključ mora biti prisutan samo pod jednim imenom; ne bi se trebao koristiti certifikat ključa glavnog računala; u unknown_hosts ne bi se trebale koristiti maske po imenu hosta; postavka VerifyHostKeyDNS mora biti onemogućena; Parametar UserKnownHostsFile mora biti aktivan.

Preporučeni algoritmi za migraciju uključuju rsa-sha2-256/512 temeljen na RFC8332 RSA SHA-2 (podržan od OpenSSH 7.2 i koristi se prema zadanim postavkama), ssh-ed25519 (podržan od OpenSSH 6.5) i ecdsa-sha2-nistp256/384/521 temeljen na RFC5656 ECDSA (podržano od OpenSSH 5.7).

Izvor: opennet.ru

Dodajte komentar