Չորս ամիս մշակումից հետո ներկայացվեց OpenSSH 8.7-ի թողարկումը, որը հաճախորդի և սերվերի բաց ներդրում է SSH 2.0 և SFTP արձանագրությունների վրա աշխատելու համար:
Խոշոր փոփոխություններ.
- Տվյալների փոխանցման փորձնական ռեժիմ է ավելացվել scp-ին՝ օգտագործելով SFTP արձանագրությունը՝ ավանդական SCP/RCP արձանագրության փոխարեն: SFTP-ն օգտագործում է անունների մշակման ավելի կանխատեսելի մեթոդներ և չի օգտագործում մյուս հյուրընկալողի կողմից գլոբային օրինաչափությունների կեղևի մշակումը, ինչը անվտանգության խնդիրներ է ստեղծում: SFTP-ն scp-ում միացնելու համար առաջարկվել է «-s» դրոշը, սակայն ապագայում նախատեսվում է լռելյայն անցնել այս արձանագրությանը։
- sftp-server-ն իրականացնում է SFTP արձանագրության ընդլայնումներ՝ ~/ և ~user/ ուղիները ընդլայնելու համար, որն անհրաժեշտ է scp-ի համար:
- scp կոմունալը փոխել է վարքագիծը երկու հեռավոր հոսթների միջև ֆայլերը պատճենելիս (օրինակ՝ «scp host-a:/path host-b:»), որն այժմ կատարվում է լռելյայնորեն միջանկյալ տեղական հոսթի միջոցով, ինչպես նշելով « -3» դրոշ. Այս մոտեցումը թույլ է տալիս խուսափել անհարկի հավատարմագրերի փոխանցումից առաջին հոսթին և ֆայլերի անունների եռակի մեկնաբանությունը՝ shell-ում (աղբյուրի, նպատակակետի և տեղական համակարգի կողմից), իսկ SFTP-ն օգտագործելիս թույլ է տալիս օգտագործել նույնականացման բոլոր մեթոդները՝ հեռահար մուտք գործելիս։ հյուրընկալողներ, և ոչ միայն ոչ ինտերակտիվ մեթոդներ: Հին վարքագիծը վերականգնելու համար ավելացվել է «-R» տարբերակը:
- Ավելացվեց ForkAfterAuthentication պարամետրը ssh-ին, որը համապատասխանում է «-f» դրոշակին:
- Ավելացվեց StdinNull պարամետրը ssh-ին, որը համապատասխանում է «-n» դրոշին:
- ssh-ին ավելացվել է SessionType պարամետրը, որի միջոցով կարող եք սահմանել «-N» (առանց նստաշրջանի) և «-s» (ենթահամակարգ) դրոշակներին համապատասխան ռեժիմներ:
- ssh-keygen-ը թույլ է տալիս հիմնական ֆայլերում նշել բանալու վավերականության միջակայքը:
- Ավելացվեց «-Oprint-pubkey» դրոշը ssh-keygen-ին` որպես sshsig ստորագրության մաս տպելու ամբողջական հանրային բանալին:
- ssh-ում և sshd-ում և՛ հաճախորդը, և՛ սերվերը տեղափոխվել են ավելի սահմանափակող կազմաձևման ֆայլերի վերլուծիչ օգտագործելու համար, որն օգտագործում է կեղևի նման կանոններ՝ չակերտների, բացատների և փախուստի նիշերի մշակման համար: Նոր վերլուծիչը նաև չի անտեսում նախկինում արված ենթադրությունները, ինչպիսիք են տարբերակներում արգումենտների բացթողումը (օրինակ, DenyUsers հրահանգն այլևս չի կարող դատարկ մնալ), չփակված չակերտները և բազմակի = նիշերի նշումը:
- Բանալների ստուգման ժամանակ SSHFP DNS գրառումներն օգտագործելիս ssh-ն այժմ ստուգում է բոլոր համապատասխան գրառումները, ոչ միայն թվային ստորագրության որոշակի տեսակ պարունակող գրառումները:
- ssh-keygen-ում, երբ FIDO ստեղն ստեղծվում է -Ochallenge տարբերակով, ներկառուցված շերտն այժմ օգտագործվում է հեշինգի համար, այլ ոչ թե libfido2, որը թույլ է տալիս օգտագործել 32 բայթից ավելի մեծ կամ փոքր մարտահրավերների հաջորդականություն:
- SSHD- ում, երբ շրջակա միջավայրը վերամշակում է, «...» հրահանգները լիազորված_Keys ֆայլերում, առաջին հանդիպումը այժմ ընդունվում է, եւ կա 1024 միջավայրի փոփոխական անունների սահման:
OpenSSH-ի մշակողները նաև զգուշացրել են SHA-1 հեշերի օգտագործմամբ ալգորիթմների քայքայման մասին՝ պայմանավորված տվյալ նախածանցով բախման գրոհների արդյունավետության բարձրացման պատճառով (բախման ընտրության արժեքը գնահատվում է մոտավորապես 50 հազար դոլար): Հաջորդ թողարկումում մենք նախատեսում ենք լռելյայն անջատել հանրային բանալին թվային ստորագրության «ssh-rsa» ալգորիթմի օգտագործման հնարավորությունը, որը նշված էր սկզբնական RFC-ում SSH արձանագրության համար և շարունակում է լայնորեն կիրառվել պրակտիկայում:
Ձեր համակարգերում ssh-rsa-ի օգտագործումը ստուգելու համար կարող եք փորձել միանալ ssh-ի միջոցով «-oHostKeyAlgorithms=-ssh-rsa» տարբերակով: Միևնույն ժամանակ, «ssh-rsa» թվային ստորագրությունների անջատումը լռելյայն չի նշանակում RSA ստեղների օգտագործման ամբողջական հրաժարում, քանի որ SHA-1-ից բացի, SSH արձանագրությունը թույլ է տալիս օգտագործել հեշի հաշվարկման այլ ալգորիթմներ: Մասնավորապես, բացի «ssh-rsa»-ից, հնարավոր կլինի օգտագործել «rsa-sha2-256» (RSA/SHA256) և «rsa-sha2-512» (RSA/SHA512) փաթեթները:
Նոր ալգորիթմների անցումը հարթելու համար OpenSSH-ը նախկինում ուներ լռելյայն միացված UpdateHostKeys կարգավորումը, որը թույլ է տալիս հաճախորդներին ավտոմատ կերպով անցնել ավելի հուսալի ալգորիթմների: Օգտագործելով այս կարգավորումը, միացված է հատուկ արձանագրության ընդլայնում «[էլեկտրոնային փոստով պաշտպանված]«, թույլ տալով սերվերին նույնականացումից հետո հաճախորդին տեղեկացնել բոլոր հասանելի հոսթ բանալիների մասին: Հաճախորդը կարող է արտացոլել այս բանալիները իր ~/.ssh/known_hosts ֆայլում, որը թույլ է տալիս թարմացնել հյուրընկալող ստեղները և հեշտացնում է սերվերի բանալիների փոփոխությունը:
UpdateHostKeys-ի օգտագործումը սահմանափակված է մի քանի նախազգուշացումներով, որոնք կարող են հեռացվել ապագայում. բանալին պետք է հղում կատարվի UserKnownHostsFile-ում և չօգտագործվի GlobalKnownHostsFile-ում; բանալին պետք է լինի միայն մեկ անվան տակ. հյուրընկալող բանալի վկայականը չպետք է օգտագործվի. know_hosts-ում հյուրընկալողի անունով դիմակները չպետք է օգտագործվեն. VerifyHostKeyDNS պարամետրը պետք է անջատված լինի; UserKnownHostsFile պարամետրը պետք է ակտիվ լինի:
Միգրացիայի համար առաջարկվող ալգորիթմները ներառում են rsa-sha2-256/512-ը՝ հիմնված RFC8332 RSA SHA-2-ի վրա (աջակցվում է OpenSSH 7.2-ից և օգտագործվում է լռելյայն), ssh-ed25519 (աջակցվում է OpenSSH 6.5-ից) և ecdsa-sha2-nistp256/384-ի վրա հիմնված: RFC521 ECDSA-ի վրա (աջակցվում է OpenSSH 5656-ից):
Source: opennet.ru