🥇OpenSSH 8.4 מהדורה

לאחר ארבעה חודשים של פיתוח הציג שחרור של OpenSSH 8.4, מימוש לקוח ושרת פתוח לעבודה באמצעות פרוטוקולי SSH 2.0 ו-SFTP.

שינויים עיקריים:

שינויים באבטחה:
- ב-ssh-agent, כאשר משתמשים במפתחות FIDO שלא נוצרו עבור אימות SSH (מזהה המפתח אינו מתחיל במחרוזת "ssh:"), כעת הוא בודק שההודעה תיחתם בשיטות המשמשות בפרוטוקול SSH. השינוי לא יאפשר ניתוב מחדש של ssh-agent למארחים מרוחקים שיש להם מפתחות FIDO כדי לחסום את היכולת להשתמש במפתחות אלה ליצירת חתימות עבור בקשות אימות אינטרנט (המקרה ההפוך, כאשר דפדפן יכול לחתום על בקשת SSH, אינו נכלל בתחילה עקב השימוש בקידומת "ssh:" במזהה המפתח).
- יצירת מפתחות ה-Resident של ssh-keygen כוללת תמיכה בתוסף credProtect המתואר במפרט FIDO 2.1, המספק הגנה נוספת למפתחות על ידי דרישת PIN לפני ביצוע כל פעולה שעלולה לגרום לחילוץ מפתח ה-Resident מהאסימון.
שינויי תאימות שעלולים לשבור:
- כדי לתמוך ב-FIDO/U2F, מומלץ להשתמש בספריית libfido2 לפחות בגרסה 1.5.0. היכולת להשתמש במהדורות ישנות יותר יושמה חלקית, אך במקרה זה, פונקציות כגון מפתחות תושב, בקשת PIN וחיבור מספר אסימונים לא יהיו זמינות.
- ב-ssh-keygen, נתוני המאמת הדרושים לאימות חתימות דיגיטליות המאשרות נוספו לפורמט של מידע האישור, נשמר אופציונלי בעת יצירת מפתח FIDO.
- ה-API המשמש כאשר OpenSSH מקיים אינטראקציה עם השכבה לגישה לאסימוני FIDO השתנה.
- בעת בניית גרסה ניידת של OpenSSH, automake נדרש כעת כדי ליצור את סקריפט התצורה וקבצי ה-build הנלווים (אם בונים מקובץ קוד tar שפורסם, אין צורך ביצירת תצורה מחדש).
נוספה תמיכה במפתחות FIDO הדורשים אימות PIN ב-ssh ו-ssh-keygen. כדי ליצור מפתחות עם PIN, נוספה ל-ssh-keygen אפשרות "אימות-נדרש". אם נעשה שימוש במפתחות כאלה, לפני ביצוע פעולת יצירת החתימה, המשתמש מתבקש לאשר את פעולותיו על ידי הזנת קוד PIN.
ב-sshd, האפשרות "verify-required" מיושמת בהגדרת authorized_keys, המחייבת שימוש ביכולות לאימות נוכחות המשתמש במהלך פעולות עם האסימון. תקן FIDO מספק מספר אפשרויות לאימות שכזה, אך כיום OpenSSH תומך רק באימות מבוסס PIN.
sshd ו-ssh-keygen הוסיפו תמיכה לאימות חתימות דיגיטליות התואמות את תקן FIDO Webauthn, המאפשר שימוש במפתחות FIDO בדפדפני אינטרנט.
ב-ssh בהגדרות CertificateFile,
ControlPath, IdentityAgent, IdentityFile, LocalForward ו
RemoteForward מאפשר החלפה של ערכים ממשתני סביבה שצוינו בפורמט "${ENV}".
ssh ו-ssh-agent הוסיפו תמיכה במשתנה הסביבה $SSH_ASKPASS_REQUIRE, שניתן להשתמש בו כדי להפעיל או להשבית את הקריאה ssh-askpass.
ב-ssh ב-ssh_config בהנחיית AddKeysToAgent, נוספה היכולת להגביל את תקופת התוקף של מפתח. לאחר שהמגבלה שצוינה פג, המפתחות נמחקים אוטומטית מ-ssh-agent.
ב-scp וב-sftp, באמצעות הדגל "-A", אתה יכול כעת לאפשר ניתוב מחדש ל-scp ו-sftp באמצעות ssh-agent (ניתוב מחדש מושבת כברירת מחדל).
נוספה תמיכה בהחלפת '%k' בהגדרות ssh, המציינת את שם מפתח המארח. ניתן להשתמש בתכונה זו כדי להפיץ מפתחות לקבצים נפרדים (לדוגמה, "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
אפשר את השימוש בפעולת "ssh-add -d -" כדי לקרוא מפתחות מ-stdin שאמורים להימחק.
ב-sshd, ההתחלה והסיום של תהליך גיזום החיבור באים לידי ביטוי ביומן, המוסדר באמצעות פרמטר MaxStartups.

מפתחי OpenSSH גם נזכרו בביטול הקרוב של אלגוריתמים המשתמשים ב-hash SHA-1 עקב קידום האפקטיביות של התקפות התנגשות עם קידומת נתונה (עלות בחירת התנגשות נאמדת בכ-45 אלף דולר). באחת המהדורות הקרובות, הם מתכננים להשבית כברירת מחדל את היכולת להשתמש באלגוריתם החתימה הדיגיטלית של מפתח ציבורי "ssh-rsa", המוזכר ב-RFC המקורי עבור פרוטוקול SSH ונשאר נפוץ בפועל (כדי לבדוק את השימוש של ssh-rsa במערכות שלך, אתה יכול לנסות להתחבר באמצעות ssh עם האפשרות "-oHostKeyAlgorithms=-ssh-rsa").

כדי להחליק את המעבר לאלגוריתמים חדשים ב-OpenSSH, המהדורה הבאה תאפשר את הגדרת UpdateHostKeys כברירת מחדל, שתעביר אוטומטית לקוחות לאלגוריתמים אמינים יותר. אלגוריתמים מומלצים להעברה כוללים rsa-sha2-256/512 מבוסס על RFC8332 RSA SHA-2 (נתמך מאז OpenSSH 7.2 ומשמש כברירת מחדל), ssh-ed25519 (נתמך מאז OpenSSH 6.5) ו-ecdsa-sha2-nistp256/384 based על RFC521 ECDSA (נתמך מאז OpenSSH 5656).

מקור: OpenNet.ru

מהדורת OpenSSH 8.4

הוספת תגובה ביטול תגובה