Հինգ ամիս զարգացումից հետո ներկայացված արձակել OpenSSH 8.0, բաց հաճախորդի և սերվերի իրականացում SSH 2.0 և SFTP արձանագրությունների միջոցով աշխատելու համար։
Խոշոր փոփոխություններ.
ssh-ին և sshd-ին ավելացվել է փորձարարական աջակցություն բանալիների փոխանակման մեթոդին, որը դիմացկուն է քվանտային համակարգչի վրա բիրտ ուժի հարձակումներին: Քվանտային համակարգիչներն արմատապես ավելի արագ են լուծում բնական թվերը պարզ գործոնների տարրալուծելու խնդիրը, որը ընկած է ժամանակակից ասիմետրիկ գաղտնագրման ալգորիթմների հիմքում և չի կարող արդյունավետորեն լուծվել դասական պրոցեսորների վրա: Առաջարկվող մեթոդը հիմնված է ալգորիթմի վրա NTRU Prime (ntrup4591761 ֆունկցիա), որը մշակվել է հետքվանտային կրիպտոհամակարգերի համար և էլիպսային կորի բանալիների փոխանակման մեթոդ X25519;
sshd-ում ListenAddress և PermitOpen հրահանգներն այլևս չեն աջակցում ժառանգական «host/port» շարահյուսությունը, որն իրականացվել է 2001 թվականին որպես «host:port»-ի այլընտրանք՝ IPv6-ի հետ աշխատանքը պարզեցնելու համար: Ժամանակակից պայմաններում «[::6]:1» շարահյուսությունը հաստատվել է IPv22-ի համար, և «հյուրընկալող/պորտը» հաճախ շփոթվում է ենթացանցը (CIDR) նշելու հետ;
ssh, ssh-agent և ssh-add now աջակցում են ստեղները ECDSA PKCS # 11 նշաններում;
ssh-keygen-ում լռելյայն RSA ստեղնի չափը ավելացվել է մինչև 3072 բիթ՝ համաձայն NIST-ի նոր առաջարկությունների;
ssh-ը թույլ է տալիս օգտագործել «PKCS11Provider=none» պարամետրը՝ ssh_config-ում նշված PKCS11Provider հրահանգը վերացնելու համար;
sshd-ն ապահովում է իրավիճակների գրանցամատյանների ցուցադրում, երբ կապը դադարեցվում է, երբ փորձում են կատարել հրամաններ, որոնք արգելափակված են «ForceCommand=internal-sftp» սահմանափակմամբ sshd_config;
ssh-ում, երբ ցուցադրվում է նոր հյուրընկալող բանալի ընդունումը հաստատելու հարցում, «այո» պատասխանի փոխարեն այժմ ընդունվում է բանալու ճիշտ մատնահետքը (միացումը հաստատելու հրավերին ի պատասխան՝ օգտվողը կարող է պատճենել առանձին-առանձին ստացել է տեղեկատու հաշը clipboard-ի միջոցով, որպեսզի այն ձեռքով չհամեմատվի);
ssh-keygen-ն ապահովում է վկայագրի հաջորդականության համարի ավտոմատ ավելացում հրամանի տողում բազմաթիվ վկայագրերի համար թվային ստորագրություններ ստեղծելիս.
«-J» նոր տարբերակ է ավելացվել scp-ին և sftp-ին, որը համարժեք է ProxyJump պարամետրին;
Ssh-agent-ում, ssh-pkcs11-helper-ում և ssh-add-ում ավելացվել է «-v» հրամանի տողի տարբերակի մշակումը` ելքի տեղեկատվական բովանդակությունը մեծացնելու համար (երբ նշված է, այս տարբերակը փոխանցվում է երեխայի գործընթացներին, Օրինակ, երբ ssh-pkcs11-helper-ը կանչվում է ssh-agent-ից);
«-T» տարբերակը ավելացվել է ssh-add-ին՝ ստուգելու համար ssh-agent-ում ստեղների համապատասխանությունը թվային ստորագրության ստեղծման և ստուգման գործողություններ կատարելու համար.
sftp-սերվերը ապահովում է «lsetstat at openssh.com» արձանագրության ընդլայնման աջակցությունը, որն ավելացնում է SSH2_FXP_SETSTAT գործողության աջակցությունը SFTP-ի համար, բայց առանց խորհրդանշական հղումներ հետևելու.
Ավելացվել է «-h» տարբերակը sftp-ին՝ chown/chgrp/chmod հրամանները գործարկելու համար՝ խորհրդանշական հղումներ չօգտագործող հարցումներով.
sshd-ն ապահովում է $SSH_CONNECTION միջավայրի փոփոխականի կարգավորումը PAM-ի համար;
sshd-ի համար ssh_config-ին ավելացվել է «Match final» համընկնման ռեժիմ, որը նման է «Match canonical»-ին, սակայն չի պահանջում, որ միացվի հոսթի անվան նորմալացումը.
Ավելացվել է sftp-ի «@» նախածանցի աջակցություն՝ խմբաքանակի ռեժիմով կատարված հրամանների ելքի թարգմանությունն անջատելու համար.
Երբ ցուցադրում եք վկայագրի բովանդակությունը՝ օգտագործելով հրամանը
«ssh-keygen -Lf /path/certificate» այժմ ցուցադրում է ալգորիթմը, որն օգտագործվում է CA-ի կողմից վկայագիրը վավերացնելու համար.
Բարելավված աջակցություն Cygwin միջավայրի համար, օրինակ՝ տրամադրելով խմբային և օգտագործողի անունների համեմատական փոքրատառեր: Cygwin նավահանգստում sshd գործընթացը փոխվել է cygsshd-ի՝ Microsoft-ի կողմից մատակարարված OpenSSH պորտին միջամտությունից խուսափելու համար;
Վերացված խոցելիություն (CVE-2019-6111) scp կոմունալ ծրագրի իրականացման մեջ, որը թույլ է տալիս թիրախային գրացուցակի կամայական ֆայլերը վերագրանցվել հաճախորդի կողմից՝ հարձակվողի կողմից վերահսկվող սերվեր մուտք գործելիս: Խնդիրն այն է, որ scp-ն օգտագործելիս սերվերը որոշում է, թե որ ֆայլերն ու դիրեկտորիաներն ուղարկի հաճախորդին, իսկ հաճախորդը ստուգում է միայն վերադարձված օբյեկտների անունների ճիշտությունը։ Հաճախորդի կողմից ստուգումը սահմանափակվում է միայն ընթացիկ գրացուցակից (../”) այն կողմ ճանապարհորդությունների արգելափակմամբ, սակայն հաշվի չի առնում սկզբնապես պահանջված անուններից տարբեր անուններով ֆայլերի փոխանցումը: Ռեկուրսիվ պատճենման դեպքում (-r), բացի ֆայլերի անուններից, կարող եք նույն կերպ մանիպուլյացիայի ենթարկել ենթատեղեկատուների անունները։ Օրինակ, եթե օգտատերը ֆայլերը պատճենում է հիմնական գրացուցակում, հարձակվողի կողմից վերահսկվող սերվերը կարող է պահանջվող ֆայլերի փոխարեն արտադրել .bash_aliases կամ .ssh/authorized_keys անուններով ֆայլեր, և դրանք կպահվեն scp օգտակար ծառայության կողմից օգտագործողի ծրագրում: տնային գրացուցակ.
Նոր թողարկումում scp կոմունալը թարմացվել է՝ ստուգելու պահանջվող ֆայլերի անունների և սերվերի կողմից ուղարկվածների միջև համապատասխանությունը, որն իրականացվում է հաճախորդի կողմից: Սա կարող է խնդիրներ առաջացնել դիմակի մշակման հետ, քանի որ դիմակի ընդլայնման նիշերը կարող են տարբեր կերպ մշակվել սերվերի և հաճախորդի կողմից: Այն դեպքում, երբ նման տարբերությունները պատճառ են դառնում, որ հաճախորդը դադարեցնի ֆայլերի ընդունումը scp-ում, «-T» տարբերակը ավելացվել է հաճախորդի կողմից ստուգումն անջատելու համար: Խնդիրն ամբողջությամբ շտկելու համար պահանջվում է scp արձանագրության հայեցակարգային վերամշակում, որն ինքնին արդեն հնացած է, ուստի խորհուրդ է տրվում փոխարենը օգտագործել ավելի ժամանակակից արձանագրություններ, ինչպիսիք են sftp և rsync: