Eftir fjögurra mánaða þróun var útgáfa af OpenSSH 8.7, opinni útfærslu viðskiptavinar og netþjóns til að vinna yfir SSH 2.0 og SFTP samskiptareglur, kynnt.
Helstu breytingar:
- Tilraunaflutningshamur hefur verið bætt við scp með því að nota SFTP samskiptareglur í stað hefðbundinnar SCP/RCP samskiptareglur. SFTP notar fyrirsjáanlegri nafnameðferðaraðferðir og notar ekki skelvinnslu á hnattmynstri hinum megin við hýsilinn, sem skapar öryggisvandamál. Til að virkja SFTP í scp hefur „-s“ flaggið verið lagt til, en í framtíðinni er áætlað að skipta sjálfgefið yfir í þessa samskiptareglu.
- sftp-þjónn útfærir viðbætur við SFTP samskiptareglur til að stækka ~/ og ~user/ slóðirnar, sem er nauðsynlegt fyrir scp.
- scp tólið hefur breytt hegðuninni þegar afritaðar eru skrár á milli tveggja ytri hýsils (til dæmis „scp host-a:/path host-b:“), sem er nú gert sjálfgefið í gegnum staðbundinn millihýsil, eins og þegar tilgreint er „ -3” fáni. Þessi nálgun gerir þér kleift að forðast að senda óþarfa skilríki til fyrsta hýsilsins og þrefalda túlkun á skráarnöfnum í skelinni (á uppruna-, áfangastað og staðbundnu kerfismegin), og þegar þú notar SFTP gerir það þér kleift að nota allar auðkenningaraðferðir þegar þú opnar fjarstýringu vélar, en ekki bara ógagnvirkar aðferðir . „-R“ valkostinum hefur verið bætt við til að endurheimta gamla hegðun.
- Bætti ForkAfterAuthentication stillingunni við ssh sem samsvarar "-f" fánanum.
- Bætti StdinNull stillingunni við ssh, sem samsvarar "-n" fánanum.
- SessionType stillingu hefur verið bætt við ssh, þar sem þú getur stillt stillingar sem samsvara „-N“ (engin lotu) og „-s“ (undirkerfi) fánunum.
- ssh-keygen gerir þér kleift að tilgreina lykilgildisbil í lykilskrám.
- Bætti "-Oprint-pubkey" fánanum við ssh-keygen til að prenta allan almenna lykilinn sem hluta af sshsig undirskriftinni.
- Í ssh og sshd hafa bæði biðlari og þjónn verið færður til að nota takmarkaðri stillingarskráaþáttara sem notar skeljalíkar reglur til að meðhöndla gæsalappir, bil og escape-stafi. Nýi þáttarinn hunsar heldur ekki áður gerðar forsendur, eins og að sleppa rökum í valmöguleikum (til dæmis má ekki lengur skilja DenyUsers tilskipunina eftir tóma), ólokaðar gæsalappir og að tilgreina marga = stafi.
- Þegar SSHFP DNS færslur eru notaðar við staðfestingu á lyklum, athugar ssh nú allar samsvarandi færslur, ekki bara þær sem innihalda ákveðna gerð stafrænnar undirskriftar.
- Í ssh-keygen, þegar búið er til FIDO lykil með valmöguleikanum -Ochallenge, er innbyggða lagið nú notað fyrir hashing, frekar en libfido2, sem gerir kleift að nota áskorunarröð sem eru stærri eða minni en 32 bæti.
- Í sshd, þegar verið er að vinna umhverfis="..." tilskipanir í authorized_keys skrám, er fyrsta samsvörunin nú samþykkt og það er takmörk fyrir 1024 umhverfisbreytuheiti.
OpenSSH forritararnir vöruðu einnig við niðurbroti reiknirita sem nota SHA-1 kjötkássa vegna aukinnar skilvirkni árekstrarárása með tilteknu forskeyti (kostnaður við að velja árekstur er áætlaður um það bil 50 þúsund dollarar). Í næstu útgáfu ætlum við að slökkva sjálfgefið á getu til að nota almenna lykil stafræna undirskriftaralgrímið "ssh-rsa", sem var nefnt í upprunalegu RFC fyrir SSH samskiptareglur og er enn mikið notað í reynd.
Til að prófa hvort ssh-rsa sé notað á kerfum þínum geturðu prófað að tengjast í gegnum ssh með "-oHostKeyAlgorithms=-ssh-rsa" valkostinum. Á sama tíma þýðir það að slökkva á „ssh-rsa“ stafrænum undirskriftum sjálfgefið ekki algera höfnun á notkun RSA lykla, þar sem auk SHA-1 leyfir SSH samskiptareglur notkun annarra reiknirita til að reikna út kjötkássa. Sérstaklega, auk „ssh-rsa“, verður enn hægt að nota „rsa-sha2-256“ (RSA/SHA256) og „rsa-sha2-512“ (RSA/SHA512) búnta.
Til að jafna umskiptin yfir í ný reiknirit hafði OpenSSH áður UpdateHostKeys stillinguna virka sjálfgefið, sem gerir viðskiptavinum kleift að skipta sjálfkrafa yfir í áreiðanlegri reiknirit. Með þessari stillingu er sérstök samskiptaregluviðbót virkjuð “[netvarið]”, sem gerir þjóninum kleift, eftir að hafa staðist auðkenningu, að upplýsa viðskiptavininn um alla tiltæka hýsillykla. Viðskiptavinurinn getur endurspeglað þessa lykla í ~/.ssh/known_hosts skránni sinni, sem gerir þér kleift að skipuleggja uppfærslu á hýsillykla og auðveldar þér að breyta lyklum á þjóninum.
Notkun UpdateHostKeys er háð nokkrum fyrirvörum sem gætu verið hnekkt í framtíðinni: lykillinn verður að birtast í UserKnownHostsFile og ekki vera notaður í GlobalKnownHostsFile; lykillinn verður að vera til staðar undir einu nafni; ekki má nota hýsillykilvottorðið; þekktir_hýsingar mega ekki vera dulbúnir með hýsilheiti; VerifyHostKeyDNS stillingin verður að vera óvirk; UserKnownHostsFile stillingin verður að vera virk.
Ráðlögð reiknirit fyrir flutning eru meðal annars rsa-sha2-256/512 byggt á RFC8332 RSA SHA-2 (studd síðan OpenSSH 7.2 og notað sjálfgefið), ssh-ed25519 (studd síðan OpenSSH 6.5) og ecdsa-sha2-nistp256/384 byggt á RFC521 ECDSA (studd síðan OpenSSH 5656).
Heimild: opennet.ru