Négy hónapos fejlesztés után
Nagy változások:
- Biztonsági változások:
- Az ssh-agentben olyan FIDO kulcsok használatakor, amelyeket nem SSH-hitelesítéshez hoztak létre (a kulcsazonosító nem az "ssh:" karakterlánccal kezdődik), most ellenőrzi, hogy az üzenet az SSH-protokollban használt módszerekkel lesz-e aláírva. A változtatás nem teszi lehetővé az ssh-agent átirányítását olyan távoli gazdagépekre, amelyek FIDO-kulcsokkal blokkolják azt a képességet, hogy ezeket a kulcsokat webes hitelesítési kérelmek aláírására használják (a fordított eset, amikor a böngésző aláírhat egy SSH-kérést, kezdetben kizárt a kulcsazonosítóban az „ssh:” előtag használata miatt).
- Az ssh-keygen rezidens kulcsgenerálása támogatja a FIDO 2.1 specifikációban leírt credProtect bővítményt, amely további védelmet nyújt a kulcsoknak azáltal, hogy PIN-kódot kér minden olyan művelet előtt, amely a rezidens kulcs kinyerését eredményezheti a tokenből.
- Lehetséges kompatibilitási változások:
- A FIDO/U2F támogatásához ajánlott a libfido2 könyvtár legalább 1.5.0-s verzióját használni. A régebbi kiadások használatának lehetősége részben megvalósult, de ebben az esetben az olyan funkciók, mint a rezidens kulcsok, a PIN-kérés és a több token összekapcsolása, nem lesznek elérhetők.
- Az ssh-keygenben a megerősítő digitális aláírások ellenőrzéséhez szükséges hitelesítő adatok hozzáadásra kerültek a megerősítő információ formátumához, opcionálisan elmentve a FIDO kulcs generálásakor.
- Az OpenSSH és a FIDO-jogkivonatok elérésére szolgáló réteggel való interakció során használt API módosult.
- Az OpenSSH hordozható verziójának összeállításakor az automake-nek mostantól szükség van a konfigurációs szkript és a hozzá tartozó buildfájlok létrehozására (ha közzétett kód tar fájlból építkezik, nincs szükség újrageneráló konfigurációra).
- Hozzáadott támogatás a FIDO kulcsokhoz, amelyek PIN-ellenőrzést igényelnek az ssh-ban és az ssh-keygenben. A PIN-kóddal rendelkező kulcsok generálásához az ssh-keygenhez hozzáadtuk a „Verify-required” opciót. Ha ilyen kulcsokat használ, az aláírás-létrehozási művelet végrehajtása előtt a felhasználó PIN kód megadásával erősítse meg tevékenységét.
- Az sshd-ben a „verify-required” opció az authorised_keys beállításban van megvalósítva, amely képességek használatát igényli a felhasználó jelenlétének ellenőrzéséhez a tokennel végzett műveletek során. A FIDO szabvány számos lehetőséget biztosít az ilyen ellenőrzésre, de jelenleg az OpenSSH csak a PIN-alapú ellenőrzést támogatja.
- Az sshd és az ssh-keygen támogatja a digitális aláírások ellenőrzését, amelyek megfelelnek a FIDO Webauthn szabványnak, amely lehetővé teszi a FIDO kulcsok webböngészőkben való használatát.
- Az ssh-ban a CertificateFile beállításainál,
ControlPath, IdentityAgent, IdentityFile, LocalForward és
A RemoteForward lehetővé teszi az értékek helyettesítését a "${ENV}" formátumban megadott környezeti változókkal. - Az ssh és az ssh-agent támogatja a $SSH_ASKPASS_REQUIRE környezeti változót, amellyel engedélyezhető vagy letiltható az ssh-askpass hívás.
- Az AddKeysToAgent direktíva ssh_config ssh-jában a kulcs érvényességi idejének korlátozásának képessége hozzáadásra került. A megadott korlát lejárta után a kulcsok automatikusan törlődnek az ssh-agentből.
- Az scp-ben és az sftp-ben az "-A" jelző használatával most már kifejezetten engedélyezheti az átirányítást az scp-re és az sftp-re az ssh-agent használatával (az átirányítás alapértelmezés szerint le van tiltva).
- Támogatás hozzáadva a „%k” helyettesítéshez az ssh-beállításokban, amely meghatározza a gazdagép kulcs nevét. Ez a funkció használható a kulcsok külön fájlokba való szétosztására (például „UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
- Engedélyezze az "ssh-add -d -" művelet használatát a törölni kívánt stdin kulcsok olvasásához.
- Az sshd-ben a kapcsolat metszési folyamatának kezdete és vége a MaxStartups paraméterrel szabályozott naplóban jelenik meg.
Az OpenSSH fejlesztői emlékeztettek az SHA-1 hasheket használó algoritmusok közelgő leállítására is, mivel
Az OpenSSH új algoritmusaira való átállás zökkenőmentesítése érdekében a következő kiadás alapértelmezés szerint engedélyezi az UpdateHostKeys beállítást, amely automatikusan átállítja az ügyfeleket megbízhatóbb algoritmusokra. Az áttelepítéshez javasolt algoritmusok közé tartozik az RFC2 RSA SHA-256 alapú rsa-sha512-8332/2 (az OpenSSH 7.2 óta támogatott és alapértelmezés szerint használatos), az ssh-ed25519 (az OpenSSH 6.5 óta támogatott) és az ecdsa-sha2-nistp256/384 alapú 521/5656/5.7 RFCXNUMX ECDSA-n (az OpenSSH XNUMX óta támogatott).
Forrás: opennet.ru