ProHoster > Օրագիր > ինտերնետ նորություններ > OpenSSH 8.4-ի թողարկում

OpenSSH 8.4-ի թողարկում

Չորս ամիս զարգացումից հետո ներկայացված OpenSSH 8.4-ի թողարկում՝ բաց հաճախորդի և սերվերի ներդրում՝ SSH 2.0 և SFTP արձանագրություններով աշխատելու համար:

Խոշոր փոփոխություններ.

  • Անվտանգության փոփոխություններ.
    • ssh-agent-ում, երբ օգտագործում եք FIDO ստեղներ, որոնք չեն ստեղծվել SSH նույնականացման համար (բանալու ID-ն չի սկսվում «ssh:» տողով), այն այժմ ստուգում է, որ հաղորդագրությունը ստորագրվի SSH արձանագրության մեջ օգտագործվող մեթոդներով: Փոփոխությունը թույլ չի տա, որ ssh-agent-ը վերաուղղվի դեպի հեռավոր հոսթեր, որոնք ունեն FIDO ստեղներ՝ արգելափակելու այս բանալիների օգտագործման հնարավորությունը՝ վեբ վավերացման հարցումների համար ստորագրություններ ստեղծելու համար (հակառակ դեպքը, երբ դիտարկիչը կարող է ստորագրել SSH հարցումը, սկզբում բացառված է։ բանալու նույնացուցիչում «ssh:» նախածանցի օգտագործման պատճառով):
    • ssh-keygen-ի ռեզիդենտ բանալու ստեղծումը ներառում է աջակցություն credProtect հավելմանը, որը նկարագրված է FIDO 2.1 բնութագրում, որն ապահովում է ստեղների լրացուցիչ պաշտպանություն՝ պահանջելով PIN՝ նախքան որևէ գործողություն կատարելը, որը կարող է հանգեցնել ռեզիդենտ բանալին հանելու նշանից:
  • Համատեղելիության պոտենցիալ խախտումներ.
    • FIDO/U2F-ին աջակցելու համար խորհուրդ է տրվում օգտագործել libfido2 գրադարանը առնվազն 1.5.0 տարբերակը: Ավելի հին հրատարակություններ օգտագործելու հնարավորությունը մասամբ իրականացվել է, սակայն այս դեպքում գործառույթները, ինչպիսիք են ռեզիդենտ ստեղները, PIN-ի հարցումը և մի քանի նշանների միացումը, հասանելի չեն լինի:
    • Ssh-keygen-ում վավերացնողի տվյալները, որոնք անհրաժեշտ են թվային ստորագրությունների հաստատման համար, ավելացվել են հաստատման տեղեկատվության ձևաչափին, որը կամայականորեն պահպանվում է FIDO բանալի ստեղծելու ժամանակ:
    • API-ն, որն օգտագործվում է, երբ OpenSSH-ը շփվում է շերտի հետ՝ FIDO նշաններ մուտք գործելու համար, փոխվել է:
    • OpenSSH-ի շարժական տարբերակ կառուցելիս, այժմ automake-ը պետք է ստեղծի կազմաձևման սկրիպտը և ուղեկցող build ֆայլերը (եթե կառուցվում է հրապարակված ծածկագրի tar ֆայլից, վերագեներացնող կազմաձևումը չի պահանջվում):
  • Ավելացվել է աջակցություն FIDO ստեղների համար, որոնք պահանջում են PIN-ի ստուգում ssh-ում և ssh-keygen-ում: PIN-ով բանալիներ ստեղծելու համար ssh-keygen-ին ավելացվել է «ստուգել-պահանջվող» տարբերակը: Եթե ​​օգտագործվում են նման ստեղներ, նախքան ստորագրության ստեղծման գործողությունը կատարելը, օգտվողին առաջարկվում է հաստատել իրենց գործողությունները՝ մուտքագրելով PIN կոդը:
  • sshd-ում «verify-required» տարբերակը ներդրված է authorized_keys կարգավորումներում, որը պահանջում է հնարավորությունների օգտագործում՝ ստուգելու օգտատիրոջ ներկայությունը նշանով գործողությունների ժամանակ: FIDO ստանդարտը տրամադրում է մի քանի տարբերակներ նման ստուգման համար, սակայն ներկայումս OpenSSH-ն աջակցում է միայն PIN-ի վրա հիմնված ստուգմանը:
  • sshd-ը և ssh-keygen-ն ավելացրել են աջակցություն FIDO Webauthn ստանդարտին համապատասխան թվային ստորագրությունների ստուգման համար, որը թույլ է տալիս FIDO ստեղները օգտագործել վեբ բրաուզերներում:
  • ssh-ում CertificateFile-ի կարգավորումներում,
    ControlPath, IdentityAgent, IdentityFile, LocalForward և
    RemoteForward-ը թույլ է տալիս արժեքների փոխարինում շրջակա միջավայրի փոփոխականներից, որոնք նշված են «${ENV}» ձևաչափով:

  • ssh-ը և ssh-agent-ը աջակցություն են ավելացրել $SSH_ASKPASS_REQUIRE միջավայրի փոփոխականին, որը կարող է օգտագործվել ssh-askpass զանգը միացնելու կամ անջատելու համար:
  • AddKeysToAgent հրահանգի ssh-ում ssh_config-ում ավելացվել է բանալիի վավերականության ժամկետը սահմանափակելու հնարավորությունը: Նշված սահմանաչափի ժամկետը լրանալուց հետո ստեղները ավտոմատ կերպով ջնջվում են ssh-agent-ից:
  • scp-ում և sftp-ում, օգտագործելով «-A» դրոշը, այժմ կարող եք բացահայտորեն թույլատրել վերահղումը դեպի scp և sftp՝ օգտագործելով ssh-agent (վերահղումը լռելյայն անջատված է):
  • Ավելացվել է «%k» փոխարինման աջակցություն ssh կարգավորումներում, որը սահմանում է հյուրընկալող բանալի անունը: Այս հատկությունը կարող է օգտագործվել բանալիները առանձին ֆայլերի մեջ բաշխելու համար (օրինակ՝ «UserKnownHostsFile ~/.ssh/known_hosts.d/%k»):
  • Թույլատրել «ssh-add -d -» գործողության օգտագործումը՝ stdin-ից ջնջվող ստեղները կարդալու համար:
  • Sshd-ում կապի էտման գործընթացի սկիզբը և ավարտը արտացոլվում է մատյանում, որը կարգավորվում է MaxStartups պարամետրի միջոցով:

OpenSSH-ի մշակողները նաև հիշեցրել են SHA-1 հեշերի օգտագործմամբ ալգորիթմների առաջիկա ապամոնտաժման մասին՝ առաջխաղացում տվյալ նախածանցով բախման հարձակումների արդյունավետությունը (բախման ընտրության արժեքը գնահատվում է մոտավորապես 45 հազար դոլար): Առաջիկա թողարկումներից մեկում նրանք նախատեսում են լռելյայն անջատել հանրային բանալին թվային ստորագրության ալգորիթմի «ssh-rsa» օգտագործման հնարավորությունը, որը նշված է սկզբնական RFC-ում SSH արձանագրության համար և մնում է լայնորեն տարածված պրակտիկայում (օգտագործումը փորձարկելու համար ssh-rsa-ի ձեր համակարգերում, կարող եք փորձել միանալ ssh-ի միջոցով «-oHostKeyAlgorithms=-ssh-rsa» տարբերակով):

OpenSSH-ում նոր ալգորիթմների անցումը հարթելու համար հաջորդ թողարկումը թույլ կտա լռելյայնորեն UpdateHostKeys կարգավորումը, որն ավտոմատ կերպով հաճախորդներին կփոխանցի ավելի հուսալի ալգորիթմների: Միգրացիայի համար առաջարկվող ալգորիթմները ներառում են rsa-sha2-256/512-ը՝ հիմնված RFC8332 RSA SHA-2-ի վրա (աջակցվում է OpenSSH 7.2-ից և օգտագործվում է լռելյայն), ssh-ed25519 (աջակցվում է OpenSSH 6.5-ից) և ecdsa-sha2-nistp256/384-ի վրա հիմնված: RFC521 ECDSA-ի վրա (աջակցվում է OpenSSH 5656-ից):

Source: opennet.ru

Добавить комментарий