ProHoster > Blog > nouvèl sou entènèt > Liberasyon OpenSSH 8.7

Liberasyon OpenSSH 8.7

Apre kat mwa nan devlopman, yo te prezante liberasyon OpenSSH 8.7, yon aplikasyon ouvè nan yon kliyan ak sèvè pou travay sou SSH 2.0 ak pwotokòl SFTP.

Chanjman prensipal yo:

  • Yo te ajoute yon mòd transfè done eksperimantal nan scp lè l sèvi avèk pwotokòl SFTP olye de pwotokòl SCP/RCP tradisyonèl la. SFTP itilize metòd manyen non plis previzib epi li pa sèvi ak pwosesis koki nan modèl glob sou bò lòt lame a, ki kreye pwoblèm sekirite. Pou pèmèt SFTP nan scp, drapo "-s" yo te pwopoze, men nan lavni an te planifye pou chanje nan pwotokòl sa a pa default.
  • sftp-server aplike ekstansyon nan pwotokòl SFTP pou elaji chemen ~/ ak ~ itilizatè/, ki nesesè pou scp.
  • Sèvis piblik scp la chanje konpòtman an lè w kopye fichye ant de lame aleka (pa egzanp, "scp host-a:/path host-b:"), ki kounye a fèt pa default atravè yon lame lokal entèmedyè, tankou lè yo espesifye " -3" drapo. Apwòch sa a pèmèt ou evite pase kalifikasyon ki pa nesesè bay premye lame a ak entèpretasyon trip nan non fichye nan koki a (sou sous, destinasyon ak bò sistèm lokal la), epi lè w ap itilize SFTP, li pèmèt ou sèvi ak tout metòd otantifikasyon lè w ap jwenn aksè a distans. gen tout pouvwa a, epi yo pa sèlman metòd ki pa entèaktif. Yo te ajoute opsyon "-R" pou retabli ansyen konpòtman an.
  • Te ajoute paramèt ForkAfterAuthentication nan ssh ki koresponn ak drapo "-f".
  • Te ajoute StdinNull anviwònman ssh, ki koresponn ak drapo "-n".
  • Yo te ajoute yon paramèt SessionType nan ssh, kote ou ka mete mòd ki koresponn ak drapo "-N" (pa gen sesyon) ak "-s" (sous-sistèm).
  • ssh-keygen pèmèt ou presize yon entèval validite kle nan dosye kle yo.
  • Te ajoute drapo "-Oprint-pubkey" nan ssh-keygen pou enprime kle piblik la konplè kòm yon pati nan siyati sshsig la.
  • Nan ssh ak sshd, tou de kliyan ak sèvè yo te deplase yo sèvi ak yon analizeur fichye konfigirasyon ki pi restriksyon ki sèvi ak règ ki sanble ak koki pou manyen quotes, espas, ak karaktè chape. Nouvo analizè a tou pa inyore sipozisyon yo te fè deja, tankou omisyon agiman nan opsyon (pa egzanp, direktiv la DenyUsers pa ka rete vid ankò), quotes ki pa fèmen, ak espesifye plizyè = karaktè.
  • Lè w ap itilize dosye SSHFP DNS lè w ap verifye kle yo, ssh kounye a tcheke tout dosye ki matche yo, pa sèlman sa yo ki gen yon kalite espesifik siyati dijital.
  • Nan ssh-keygen, lè w ap jenere yon kle FIDO ak opsyon -Ochallenge, yo itilize kouch entegre a kounye a pou hachaj, olye ke libfido2, ki pèmèt itilize sekans defi ki pi gwo oswa pi piti pase 32 octets.
  • Nan sshd, lè w ap trete direktiv anviwònman="..." nan fichye authorized_keys, yo aksepte premye match la kounye a epi gen yon limit 1024 non varyab anviwònman an.

Devlopè OpenSSH yo te avèti tou sou dekonpozisyon algorithm lè l sèvi avèk SHA-1 hashes akòz ogmante efikasite nan atak kolizyon ak yon prefiks bay (se pri pou chwazi yon kolizyon estime a apeprè 50 mil dola). Nan pwochen lage a, nou planifye pou enfim pa default kapasite nan sèvi ak kle piblik algorithm siyati dijital "ssh-rsa", ki te mansyone nan RFC orijinal la pou pwotokòl la SSH epi li rete lajman itilize nan pratik.

Pou teste itilizasyon ssh-rsa sou sistèm ou yo, ou ka eseye konekte via ssh ak opsyon "-oHostKeyAlgorithms=-ssh-rsa". An menm tan an, enfimite "ssh-rsa" siyati dijital pa default pa vle di yon abandon konplè nan itilizasyon kle RSA, paske anplis SHA-1, pwotokòl SSH la pèmèt itilizasyon lòt algoritm kalkil hash. An patikilye, nan adisyon a "ssh-rsa", li pral rete posib yo sèvi ak "rsa-sha2-256" (RSA/SHA256) ak "rsa-sha2-512" (RSA/SHA512).

Pou lis tranzisyon an nan nouvo algoritm, OpenSSH te deja mete UpdateHostKeys la aktive pa default, ki pèmèt kliyan yo otomatikman chanje nan algoritm ki pi serye. Sèvi ak anviwònman sa a, yon ekstansyon pwotokòl espesyal pèmèt "[imèl pwoteje]", ki pèmèt sèvè a, apre otantifikasyon, enfòme kliyan an sou tout kle lame ki disponib. Kliyan an ka reflete kle sa yo nan dosye ~/.ssh/known_hosts li yo, ki pèmèt kle lame yo mete ajou epi fè li pi fasil pou chanje kle sou sèvè a.

Itilizasyon UpdateHostKeys limite pa plizyè opozisyon ki ka retire nan tan kap vini an: kle a dwe referans nan UserKnownHostsFile a epi yo pa itilize nan GlobalKnownHostsFile la; kle a dwe prezan anba yon sèl non; pa ta dwe itilize yon sètifika kle lame; nan known_hosts mask pa non lame pa ta dwe itilize; anviwònman an VerifyHostKeyDNS dwe enfim; UserKnownHostsFile paramèt la dwe aktif.

Algoritm yo rekòmande pou migrasyon yo enkli rsa-sha2-256/512 ki baze sou RFC8332 RSA SHA-2 (sipòte depi OpenSSH 7.2 epi itilize pa default), ssh-ed25519 (sipòte depi OpenSSH 6.5) ak ecdsa-sha2-nistp256/384. sou RFC521 ECDSA (sipòte depi OpenSSH 5656).

Sous: opennet.ru

Add nouvo kòmantè