ProHoster > Blog > internetes hírek > Az OpenSSH 8.4 kiadása

Az OpenSSH 8.4 kiadása

Négy hónapos fejlesztés után bemutatott Az OpenSSH 8.4 kiadása, egy nyílt kliens és szerver megvalósítás az SSH 2.0 és SFTP protokollok használatával történő munkavégzéshez.

Nagy változások:

  • Biztonsági változások:
    • Az ssh-agentben olyan FIDO kulcsok használatakor, amelyeket nem SSH-hitelesítéshez hoztak létre (a kulcsazonosító nem az "ssh:" karakterlánccal kezdődik), most ellenőrzi, hogy az üzenet az SSH-protokollban használt módszerekkel lesz-e aláírva. A változtatás nem teszi lehetővé az ssh-agent átirányítását olyan távoli gazdagépekre, amelyek FIDO-kulcsokkal blokkolják azt a képességet, hogy ezeket a kulcsokat webes hitelesítési kérelmek aláírására használják (a fordított eset, amikor a böngésző aláírhat egy SSH-kérést, kezdetben kizárt a kulcsazonosítóban az „ssh:” előtag használata miatt).
    • Az ssh-keygen rezidens kulcsgenerálása támogatja a FIDO 2.1 specifikációban leírt credProtect bővítményt, amely további védelmet nyújt a kulcsoknak azáltal, hogy PIN-kódot kér minden olyan művelet előtt, amely a rezidens kulcs kinyerését eredményezheti a tokenből.
  • Lehetséges kompatibilitási változások:
    • A FIDO/U2F támogatásához ajánlott a libfido2 könyvtár legalább 1.5.0-s verzióját használni. A régebbi kiadások használatának lehetősége részben megvalósult, de ebben az esetben az olyan funkciók, mint a rezidens kulcsok, a PIN-kérés és a több token összekapcsolása, nem lesznek elérhetők.
    • Az ssh-keygenben a megerősítő digitális aláírások ellenőrzéséhez szükséges hitelesítő adatok hozzáadásra kerültek a megerősítő információ formátumához, opcionálisan elmentve a FIDO kulcs generálásakor.
    • Az OpenSSH és a FIDO-jogkivonatok elérésére szolgáló réteggel való interakció során használt API módosult.
    • Az OpenSSH hordozható verziójának összeállításakor az automake-nek mostantól szükség van a konfigurációs szkript és a hozzá tartozó buildfájlok létrehozására (ha közzétett kód tar fájlból építkezik, nincs szükség újrageneráló konfigurációra).
  • Hozzáadott támogatás a FIDO kulcsokhoz, amelyek PIN-ellenőrzést igényelnek az ssh-ban és az ssh-keygenben. A PIN-kóddal rendelkező kulcsok generálásához az ssh-keygenhez hozzáadtuk a „Verify-required” opciót. Ha ilyen kulcsokat használ, az aláírás-létrehozási művelet végrehajtása előtt a felhasználó PIN kód megadásával erősítse meg tevékenységét.
  • Az sshd-ben a „verify-required” opció az authorised_keys beállításban van megvalósítva, amely képességek használatát igényli a felhasználó jelenlétének ellenőrzéséhez a tokennel végzett műveletek során. A FIDO szabvány számos lehetőséget biztosít az ilyen ellenőrzésre, de jelenleg az OpenSSH csak a PIN-alapú ellenőrzést támogatja.
  • Az sshd és az ssh-keygen támogatja a digitális aláírások ellenőrzését, amelyek megfelelnek a FIDO Webauthn szabványnak, amely lehetővé teszi a FIDO kulcsok webböngészőkben való használatát.
  • Az ssh-ban a CertificateFile beállításainál,
    ControlPath, IdentityAgent, IdentityFile, LocalForward és
    A RemoteForward lehetővé teszi az értékek helyettesítését a "${ENV}" formátumban megadott környezeti változókkal.

  • Az ssh és az ssh-agent támogatja a $SSH_ASKPASS_REQUIRE környezeti változót, amellyel engedélyezhető vagy letiltható az ssh-askpass hívás.
  • Az AddKeysToAgent direktíva ssh_config ssh-jában a kulcs érvényességi idejének korlátozásának képessége hozzáadásra került. A megadott korlát lejárta után a kulcsok automatikusan törlődnek az ssh-agentből.
  • Az scp-ben és az sftp-ben az "-A" jelző használatával most már kifejezetten engedélyezheti az átirányítást az scp-re és az sftp-re az ssh-agent használatával (az átirányítás alapértelmezés szerint le van tiltva).
  • Támogatás hozzáadva a „%k” helyettesítéshez az ssh-beállításokban, amely meghatározza a gazdagép kulcs nevét. Ez a funkció használható a kulcsok külön fájlokba való szétosztására (például „UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • Engedélyezze az "ssh-add -d -" művelet használatát a törölni kívánt stdin kulcsok olvasásához.
  • Az sshd-ben a kapcsolat metszési folyamatának kezdete és vége a MaxStartups paraméterrel szabályozott naplóban jelenik meg.

Az OpenSSH fejlesztői emlékeztettek az SHA-1 hasheket használó algoritmusok közelgő leállítására is, mivel promóció az ütközési támadások hatékonysága adott előtaggal (az ütközés kiválasztásának költségét körülbelül 45 ezer dollárra becsülik). Az egyik közelgő kiadásban azt tervezik, hogy alapértelmezés szerint letiltják az „ssh-rsa” nyilvános kulcsú digitális aláírási algoritmus használatát, amely az eredeti RFC-ben szerepel az SSH protokollhoz, és a gyakorlatban továbbra is széles körben elterjedt (a használat tesztelése érdekében ssh-rsa a rendszereiben, megpróbálhat csatlakozni az ssh-n keresztül a „-oHostKeyAlgorithms=-ssh-rsa” opcióval.

Az OpenSSH új algoritmusaira való átállás zökkenőmentesítése érdekében a következő kiadás alapértelmezés szerint engedélyezi az UpdateHostKeys beállítást, amely automatikusan átállítja az ügyfeleket megbízhatóbb algoritmusokra. Az áttelepítéshez javasolt algoritmusok közé tartozik az RFC2 RSA SHA-256 alapú rsa-sha512-8332/2 (az OpenSSH 7.2 óta támogatott és alapértelmezés szerint használatos), az ssh-ed25519 (az OpenSSH 6.5 óta támogatott) és az ecdsa-sha2-nistp256/384 alapú 521/5656/5.7 RFCXNUMX ECDSA-n (az OpenSSH XNUMX óta támogatott).

Forrás: opennet.ru

Hozzászólás