ProHoster > Blog > netfréttir > OpenSSH 8.4 útgáfa

OpenSSH 8.4 útgáfa

Eftir fjögurra mánaða þróun fram útgáfa af OpenSSH 8.4, opinni biðlara- og netþjónsútfærslu til að vinna með SSH 2.0 og SFTP samskiptareglum.

Helstu breytingar:

  • Öryggistengdar breytingar:
    • Í ssh-agent, þegar þú notar FIDO lykla sem voru ekki búnir til fyrir SSH auðkenningu (lykilkennið byrjar ekki á strengnum "ssh:"), athugar það nú að skilaboðin verði undirrituð með aðferðunum sem notaðar eru í SSH samskiptareglunum. Breytingin mun ekki leyfa að ssh-agent sé vísað til fjarlægra gestgjafa sem hafa FIDO lykla til að loka fyrir möguleikann á að nota þessa lykla til að búa til undirskriftir fyrir vefauðkenningarbeiðnir (öfugt mál, þegar vafri getur skrifað undir SSH beiðni, er upphaflega útilokað vegna notkunar á „ssh:“ forskeytinu í lykilauðkenni).
    • Búsetulyklaframleiðsla ssh-keygen felur í sér stuðning við credProtect viðbótina sem lýst er í FIDO 2.1 forskriftinni, sem veitir aukna vernd fyrir lykla með því að krefjast PIN-númers áður en aðgerð er framkvæmd sem gæti leitt til þess að heimilislykillinn er tekinn út úr tákninu.
  • Breytingar sem hugsanlega brjóta eindrægni:
    • Til að styðja FIDO/U2F er mælt með því að nota libfido2 bókasafnið að minnsta kosti útgáfu 1.5.0. Möguleikinn á að nota eldri útgáfur hefur verið innleiddur að hluta, en í þessu tilviki verða aðgerðir eins og heimilislyklar, PIN beiðni og tenging margra tákna ekki tiltækar.
    • Í ssh-keygen hefur auðkenningargögnum sem nauðsynleg eru til að staðfesta stafrænar undirskriftir verið bætt við snið staðfestingarupplýsinganna, mögulega vistuð þegar FIDO lykill er búinn til.
    • API sem notað er þegar OpenSSH hefur samskipti við lagið til að fá aðgang að FIDO táknum hefur verið breytt.
    • Þegar þú byggir flytjanlega útgáfu af OpenSSH, þarf automake nú að búa til stillingarhandritið og meðfylgjandi byggingarskrár (ef byggt er upp úr útgefinni kóða tar skrá, er ekki krafist endurnýjunar stillingar).
  • Bætti við stuðningi við FIDO lykla sem krefjast PIN-staðfestingar í ssh og ssh-keygen. Til að búa til lykla með PIN-númeri hefur „staðfesta-nauðsynlegt“ valmöguleikanum verið bætt við ssh-keygen. Ef slíkir lyklar eru notaðir, áður en undirskriftargerðin er framkvæmd, er notandinn beðinn um að staðfesta aðgerðir sínar með því að slá inn PIN-númer.
  • Í sshd er valmöguleikinn „verify-required“ útfærður í authorized_keys stillingunni, sem krefst notkunar á getu til að sannreyna nærveru notandans meðan á aðgerðum stendur með tákninu. FIDO staðallinn býður upp á nokkra möguleika fyrir slíka staðfestingu, en eins og er styður OpenSSH aðeins PIN-byggða sannprófun.
  • sshd og ssh-keygen hafa bætt við stuðningi við að sannreyna stafrænar undirskriftir sem eru í samræmi við FIDO Webauthn staðalinn, sem gerir kleift að nota FIDO lykla í vöfrum.
  • Í ssh í CertificateFile stillingunum,
    ControlPath, IdentityAgent, IdentityFile, LocalForward og
    RemoteForward gerir kleift að skipta út gildum úr umhverfisbreytum sem tilgreindar eru á sniðinu „${ENV}“.

  • ssh og ssh-agent hafa bætt við stuðningi við $SSH_ASKPASS_REQUIRE umhverfisbreytuna, sem hægt er að nota til að virkja eða slökkva á ssh-askpass kallinu.
  • Í ssh í ssh_config í AddKeysToAgent tilskipuninni hefur möguleikanum á að takmarka gildistíma lykils verið bætt við. Eftir að tilgreind mörk hafa runnið út er lyklunum sjálfkrafa eytt úr ssh-agent.
  • Í scp og sftp, með því að nota "-A" fánann, geturðu nú beinlínis leyft tilvísun til scp og sftp með því að nota ssh-agent (endurvísun er sjálfgefið óvirk).
  • Bætti við stuðningi við '%k' skipti í ssh stillingum, sem tilgreinir heiti hýsillykilsins. Hægt er að nota þennan eiginleika til að dreifa lyklum í aðskildar skrár (til dæmis „UserKnownHostsFile ~/.ssh/known_hosts.d/%k“).
  • Leyfa notkun "ssh-add -d -" aðgerðarinnar til að lesa lykla úr stdin sem á að eyða.
  • Í sshd endurspeglast upphaf og lok klippingarferlis tengingar í skránni, stjórnað með MaxStartups færibreytunni.

OpenSSH forritararnir minntust einnig á væntanlegt úreldingu reiknirita sem nota SHA-1 kjötkássa vegna kynningu virkni árekstrarárása með tilteknu forskeyti (kostnaður við að velja árekstur er áætlaður um 45 þúsund dollarar). Í einni af væntanlegum útgáfum ætla þeir að slökkva sjálfgefið á getu til að nota ssh-rsa almenningslykil stafræna undirskriftaralgrím, sem er getið í upprunalegu RFC fyrir SSH samskiptareglur og er enn útbreitt í reynd (til að athuga notkun ssh -rsa í kerfum þínum, þú getur reynt að tengjast í gegnum ssh með "-oHostKeyAlgorithms=-ssh-rsa" valkostinum).

Til að slétta umskipti yfir í ný reiknirit í OpenSSH mun næsta útgáfa virkja UpdateHostKeys stillinguna sjálfgefið, sem mun sjálfkrafa flytja viðskiptavini yfir í áreiðanlegri reiknirit. Ráðlögð reiknirit fyrir flutning eru rsa-sha2-256/512 byggt á RFC8332 RSA SHA-2 (studd síðan OpenSSH 7.2 og notað sjálfgefið), ssh-ed25519 (studd síðan OpenSSH 6.5) og ecdsa-sha2-nistp256/384 byggt á RFC521 ECDSA (studd síðan OpenSSH 5656).

Heimild: opennet.ru

Bæta við athugasemd