ProHoster > Blog > nouvèl sou entènèt > Liberasyon OpenSSH 8.0

Liberasyon OpenSSH 8.0

Apre senk mwa nan devlopman prezante lage OpenSSH 8.0, yon aplikasyon kliyan ak sèvè louvri pou travay atravè pwotokòl SSH 2.0 ak SFTP.

Chanjman prensipal yo:

  • Sipò eksperimantal pou yon metòd echanj kle ki rezistan a atak fòs brital sou yon òdinatè pwopòsyon yo te ajoute nan ssh ak sshd. Òdinatè kwantik yo radikalman pi vit nan rezoud pwoblèm nan dekonpoze yon nimewo natirèl nan faktè premye, ki kache algoritm modèn chifreman asimetri epi yo pa ka efektivman rezoud sou processeur klasik. Metòd yo pwopoze a baze sou algorithm la NTRU Premye (fonksyon ntrup4591761), devlope pou sistèm kriptografik pòs-pwopòsyon, ak metòd echanj kle koub eliptik X25519;
  • Nan sshd, direktiv ListenAddress ak PermitOpen pa sipòte eritaj "host/port" sentaks, ki te aplike an 2001 kòm yon altènativ a "host:port" pou senplifye travay ak IPv6. Nan kondisyon modèn, sentaks "[::6]:1" te etabli pou IPv22, epi "lame / pò" souvan konfonn ak endike subnet la (CIDR);
  • ssh, ssh-agent ak ssh-add kounye a sipòte kle yo ECDSA nan marqueur PKCS#11;
  • Nan ssh-keygen, gwosè kle RSA default yo te ogmante a 3072 bit, an akò ak nouvo rekòmandasyon NIST;
  • ssh pèmèt itilizasyon paramèt "PKCS11Provider=none" pou pase sou desizyon direktiv PKCS11Provider ki espesifye nan ssh_config;
  • sshd bay yon ekspozisyon boutèy demi lit nan sitiyasyon lè koneksyon an sispann lè w ap eseye egzekite kòmandman bloke pa restriksyon "ForceCommand=internal-sftp" nan sshd_config;
  • Nan ssh, lè w ap montre yon demann pou konfime akseptasyon yon nouvo kle lame a, olye pou yo repons "wi", yo aksepte anprent kòrèk la nan kle a kounye a (an repons a envitasyon an konfime koneksyon an, itilizatè a ka kopye a. separeman resevwa hash referans atravè clipboard la, se konsa yo pa manyèlman konpare li);
  • ssh-keygen bay ogmantasyon otomatik nimewo sekans sètifika a lè w ap kreye siyati dijital pou plizyè sètifika sou liy lòd la;
  • Yon nouvo opsyon "-J" te ajoute nan scp ak sftp, ekivalan a anviwònman an ProxyJump;
  • Nan ssh-agent, ssh-pkcs11-helper ak ssh-add, yo te ajoute pwosesis opsyon liy kòmand "-v" pou ogmante kontni enfòmasyon pwodiksyon an (lè yo espesifye, opsyon sa a pase nan pwosesis timoun yo, pou egzanp, lè yo rele ssh-pkcs11-helper soti nan ssh-agent );
  • Yo te ajoute opsyon "-T" nan ssh-add pou teste konvnab kle nan ssh-agent pou fè kreyasyon siyati dijital ak operasyon verifikasyon;
  • sftp-server aplike sipò pou ekstansyon pwotokòl "lsetstat at openssh.com", ki ajoute sipò pou operasyon SSH2_FXP_SETSTAT pou SFTP, men san yo pa swiv lyen senbolik;
  • Te ajoute opsyon "-h" nan sftp pou kouri kòmand chown/chgrp/chmod ak demann ki pa sèvi ak lyen senbolik;
  • sshd bay anviwònman varyab anviwònman $SSH_CONNECTION pou PAM;
  • Pou sshd, yo te ajoute yon mòd matche "Match final" nan ssh_config, ki sanble ak "Match canonical", men li pa mande pou nòmalizasyon hostname aktive;
  • Te ajoute sipò pou prefiks '@' nan sftp pou enfim tradiksyon pwodiksyon kòmandman egzekite nan mòd pakèt;
  • Lè ou montre sa ki nan yon sètifika lè l sèvi avèk lòd la
    "ssh-keygen -Lf /path/certificate" kounye a montre algorithm CA a itilize pou valide sètifika a;

  • Amelyore sipò pou anviwònman Cygwin, pou egzanp bay konparezon ka-sansib nan gwoup ak non itilizatè. Pwosesis sshd nan pò Cygwin a te chanje an cygsshd pou evite entèferans ak pò OpenSSH Microsoft te founi a;
  • Te ajoute kapasite nan bati ak eksperimantal OpenSSL 3.x branch lan;
  • Elimine vilnerabilite (CVE-2019-6111) nan aplikasyon sèvis piblik la scp, ki pèmèt dosye abitrè nan anyè sib la dwe ranplase sou bò kliyan lè w ap jwenn aksè nan yon sèvè kontwole pa yon atakè. Pwoblèm lan se ke lè w ap itilize scp, sèvè a deside ki fichye ak repèrtwar yo voye bay kliyan an, epi kliyan an sèlman tcheke kòrèkteman nan non objè yo retounen. Tcheke bò kliyan an limite a sèlman bloke vwayaj pi lwen pase anyè aktyèl la ("../"), men li pa pran an kont transfè a nan dosye ki gen non diferan de sa yo te mande orijinèlman. Nan ka kopye rekursif (-r), anplis non fichye yo, ou ka tou manipile non subdirectory yo menm jan an. Pou egzanp, si itilizatè a kopye fichye yo nan anyè lakay la, sèvè a kontwole pa atakè a ka pwodwi fichye ki gen non .bash_aliases oswa .ssh/authorized_keys olye pou yo fichye yo mande yo, epi yo pral sove pa sèvis piblik la scp nan itilizatè a. anyè lakay.

    Nan nouvo lage a, sèvis piblik scp la te mete ajou pou tcheke korespondans ki genyen ant non fichye yo mande yo ak sa yo voye pa sèvè a, ki fèt sou bò kliyan an. Sa ka lakòz pwoblèm ak pwosesis mask, paske karaktè ekspansyon mask yo ka trete yon fason diferan sou bò sèvè a ak kliyan. Nan ka diferans sa yo lakòz kliyan an sispann aksepte fichye nan scp, opsyon "-T" yo te ajoute pou enfim tcheke bò kliyan an. Pou korije pwoblèm nan konplètman, yo mande yon retravay konseptyèl ekspresyon pwotokòl scp la, ki li menm deja demode, kidonk li rekòmande pou itilize pwotokòl ki pi modèn tankou sftp ak rsync pito.

Sous: opennet.ru

Add nouvo kòmantè