ProHoster > Օրագիր > ինտերնետ նորություններ > OpenSSH 8.0-ի թողարկում

OpenSSH 8.0-ի թողարկում

Հինգ ամիս զարգացումից հետո ներկայացված արձակել OpenSSH 8.0, բաց հաճախորդի և սերվերի իրականացում SSH 2.0 և SFTP արձանագրությունների միջոցով աշխատելու համար։

Խոշոր փոփոխություններ.

  • ssh-ին և sshd-ին ավելացվել է փորձարարական աջակցություն բանալիների փոխանակման մեթոդին, որը դիմացկուն է քվանտային համակարգչի վրա բիրտ ուժի հարձակումներին: Քվանտային համակարգիչներն արմատապես ավելի արագ են լուծում բնական թվերը պարզ գործոնների տարրալուծելու խնդիրը, որը ընկած է ժամանակակից ասիմետրիկ գաղտնագրման ալգորիթմների հիմքում և չի կարող արդյունավետորեն լուծվել դասական պրոցեսորների վրա: Առաջարկվող մեթոդը հիմնված է ալգորիթմի վրա NTRU Prime (ntrup4591761 ֆունկցիա), որը մշակվել է հետքվանտային կրիպտոհամակարգերի համար և էլիպսային կորի բանալիների փոխանակման մեթոդ X25519;
  • sshd-ում ListenAddress և PermitOpen հրահանգներն այլևս չեն աջակցում ժառանգական «host/port» շարահյուսությունը, որն իրականացվել է 2001 թվականին որպես «host:port»-ի այլընտրանք՝ IPv6-ի հետ աշխատանքը պարզեցնելու համար: Ժամանակակից պայմաններում «[::6]:1» շարահյուսությունը հաստատվել է IPv22-ի համար, և «հյուրընկալող/պորտը» հաճախ շփոթվում է ենթացանցը (CIDR) նշելու հետ;
  • ssh, ssh-agent և ssh-add now աջակցում են ստեղները ECDSA PKCS # 11 նշաններում;
  • ssh-keygen-ում լռելյայն RSA ստեղնի չափը ավելացվել է մինչև 3072 բիթ՝ համաձայն NIST-ի նոր առաջարկությունների;
  • ssh-ը թույլ է տալիս օգտագործել «PKCS11Provider=none» պարամետրը՝ ssh_config-ում նշված PKCS11Provider հրահանգը վերացնելու համար;
  • sshd-ն ապահովում է իրավիճակների գրանցամատյանների ցուցադրում, երբ կապը դադարեցվում է, երբ փորձում են կատարել հրամաններ, որոնք արգելափակված են «ForceCommand=internal-sftp» սահմանափակմամբ sshd_config;
  • ssh-ում, երբ ցուցադրվում է նոր հյուրընկալող բանալի ընդունումը հաստատելու հարցում, «այո» պատասխանի փոխարեն այժմ ընդունվում է բանալու ճիշտ մատնահետքը (միացումը հաստատելու հրավերին ի պատասխան՝ օգտվողը կարող է պատճենել առանձին-առանձին ստացել է տեղեկատու հաշը clipboard-ի միջոցով, որպեսզի այն ձեռքով չհամեմատվի);
  • ssh-keygen-ն ապահովում է վկայագրի հաջորդականության համարի ավտոմատ ավելացում հրամանի տողում բազմաթիվ վկայագրերի համար թվային ստորագրություններ ստեղծելիս.
  • «-J» նոր տարբերակ է ավելացվել scp-ին և sftp-ին, որը համարժեք է ProxyJump պարամետրին;
  • Ssh-agent-ում, ssh-pkcs11-helper-ում և ssh-add-ում ավելացվել է «-v» հրամանի տողի տարբերակի մշակումը` ելքի տեղեկատվական բովանդակությունը մեծացնելու համար (երբ նշված է, այս տարբերակը փոխանցվում է երեխայի գործընթացներին, Օրինակ, երբ ssh-pkcs11-helper-ը կանչվում է ssh-agent-ից);
  • «-T» տարբերակը ավելացվել է ssh-add-ին՝ ստուգելու համար ssh-agent-ում ստեղների համապատասխանությունը թվային ստորագրության ստեղծման և ստուգման գործողություններ կատարելու համար.
  • sftp-սերվերը ապահովում է «lsetstat at openssh.com» արձանագրության ընդլայնման աջակցությունը, որն ավելացնում է SSH2_FXP_SETSTAT գործողության աջակցությունը SFTP-ի համար, բայց առանց խորհրդանշական հղումներ հետևելու.
  • Ավելացվել է «-h» տարբերակը sftp-ին՝ chown/chgrp/chmod հրամանները գործարկելու համար՝ խորհրդանշական հղումներ չօգտագործող հարցումներով.
  • sshd-ն ապահովում է $SSH_CONNECTION միջավայրի փոփոխականի կարգավորումը PAM-ի համար;
  • sshd-ի համար ssh_config-ին ավելացվել է «Match final» համընկնման ռեժիմ, որը նման է «Match canonical»-ին, սակայն չի պահանջում, որ միացվի հոսթի անվան նորմալացումը.
  • Ավելացվել է sftp-ի «@» նախածանցի աջակցություն՝ խմբաքանակի ռեժիմով կատարված հրամանների ելքի թարգմանությունն անջատելու համար.
  • Երբ ցուցադրում եք վկայագրի բովանդակությունը՝ օգտագործելով հրամանը
    «ssh-keygen -Lf /path/certificate» այժմ ցուցադրում է ալգորիթմը, որն օգտագործվում է CA-ի կողմից վկայագիրը վավերացնելու համար.

  • Բարելավված աջակցություն Cygwin միջավայրի համար, օրինակ՝ տրամադրելով խմբային և օգտագործողի անունների համեմատական ​​փոքրատառեր: Cygwin նավահանգստում sshd գործընթացը փոխվել է cygsshd-ի՝ Microsoft-ի կողմից մատակարարված OpenSSH պորտին միջամտությունից խուսափելու համար;
  • Ավելացվեց փորձնական OpenSSL 3.x ճյուղով կառուցելու հնարավորությունը;
  • Վերացված խոցելիություն (CVE-2019-6111) scp կոմունալ ծրագրի իրականացման մեջ, որը թույլ է տալիս թիրախային գրացուցակի կամայական ֆայլերը վերագրանցվել հաճախորդի կողմից՝ հարձակվողի կողմից վերահսկվող սերվեր մուտք գործելիս: Խնդիրն այն է, որ scp-ն օգտագործելիս սերվերը որոշում է, թե որ ֆայլերն ու դիրեկտորիաներն ուղարկի հաճախորդին, իսկ հաճախորդը ստուգում է միայն վերադարձված օբյեկտների անունների ճիշտությունը։ Հաճախորդի կողմից ստուգումը սահմանափակվում է միայն ընթացիկ գրացուցակից (../”) այն կողմ ճանապարհորդությունների արգելափակմամբ, սակայն հաշվի չի առնում սկզբնապես պահանջված անուններից տարբեր անուններով ֆայլերի փոխանցումը: Ռեկուրսիվ պատճենման դեպքում (-r), բացի ֆայլերի անուններից, կարող եք նույն կերպ մանիպուլյացիայի ենթարկել ենթատեղեկատուների անունները։ Օրինակ, եթե օգտատերը ֆայլերը պատճենում է հիմնական գրացուցակում, հարձակվողի կողմից վերահսկվող սերվերը կարող է պահանջվող ֆայլերի փոխարեն արտադրել .bash_aliases կամ .ssh/authorized_keys անուններով ֆայլեր, և դրանք կպահվեն scp օգտակար ծառայության կողմից օգտագործողի ծրագրում: տնային գրացուցակ.

    Նոր թողարկումում scp կոմունալը թարմացվել է՝ ստուգելու պահանջվող ֆայլերի անունների և սերվերի կողմից ուղարկվածների միջև համապատասխանությունը, որն իրականացվում է հաճախորդի կողմից: Սա կարող է խնդիրներ առաջացնել դիմակի մշակման հետ, քանի որ դիմակի ընդլայնման նիշերը կարող են տարբեր կերպ մշակվել սերվերի և հաճախորդի կողմից: Այն դեպքում, երբ նման տարբերությունները պատճառ են դառնում, որ հաճախորդը դադարեցնի ֆայլերի ընդունումը scp-ում, «-T» տարբերակը ավելացվել է հաճախորդի կողմից ստուգումն անջատելու համար: Խնդիրն ամբողջությամբ շտկելու համար պահանջվում է scp արձանագրության հայեցակարգային վերամշակում, որն ինքնին արդեն հնացած է, ուստի խորհուրդ է տրվում փոխարենը օգտագործել ավելի ժամանակակից արձանագրություններ, ինչպիսիք են sftp և rsync:

Source: opennet.ru

Добавить комментарий