ืืืืจ ืืืืฉื ืืืืฉืื ืฉื ืคืืชืื, ืืืฆืืช ืืืคืฆื ืฉื OpenSSH 8.5, ืืืฉืื ืคืชืื ืฉื ืืงืื ืืฉืจืช ืืขืืืื ืขื ืคืจืืืืงืืื SSH 2.0 ื-SFTP.
ืืคืชืื OpenSSH ืืืืืจื ืื ื ืืช ืืืฉืืชื ืืงืจืืื ืฉื ืืืืืจืืชืืื ืืืืฆืขืืช hashes SHA-1 ืขืงื ืืืขืืืืช ืืืืืืจืช ืฉื ืืชืงืคืืช ืืชื ืืฉืืช ืขื ืงืืืืืช ื ืชืื ื (ืขืืืช ืืืืจืช ืืชื ืืฉืืช ืืืขืจืืช ืื-50 ืืืฃ ืืืืจ). ืืืืช ืืืืืืจืืช ืืงืจืืืืช, ืื ืืชืื ื ืื ืืืฉืืืช ืืืจืืจืช ืืืื ืืช ืืืืืืช ืืืฉืชืืฉ ืืืืืืจืืชื ืืืชืืื ืืืืืืืืืช ืฉื ืืืคืชื ืืฆืืืืจื "ssh-rsa", ืืืืืืจ ื-RFC ืืืงืืจื ืขืืืจ ืคืจืืืืงืื SSH ืื ืฉืืจ ื ืคืืฅ ืืคืืขื.
ืืื ืืืืืง ืืช ืืฉืืืืฉ ื-ssh-rsa ืืืขืจืืืช ืฉืื, ืืชื ืืืื ืื ืกืืช ืืืชืืืจ ืืืืฆืขืืช ssh ืขื ืืืคืฉืจืืช "-oHostKeyAlgorithms=-ssh-rsa". ืืื ืขื ืืืช, ืืฉืืชืช ืืชืืืืช ืืืืืืืืืช "ssh-rsa" ืืืจืืจืช ืืืื, ืืื ื ืคืืจืืฉื ื ืืืฉื ืืืืืืช ืฉื ืืฉืืืืฉ ืืืคืชืืืช RSA, ืฉืื ืื ืืกืฃ ื-SHA-1, ืคืจืืืืงืื SSH ืืืคืฉืจ ืฉืืืืฉ ืืืืืืจืืชืืื ืืืจืื ืฉื ืืืฉืื ืืืืื. ืืคืจื, ืื ืืกืฃ ื-"ssh-rsa", ืืืฉืืจ ืืคืฉืจื ืืืฉืชืืฉ ืืืืืืืช "rsa-sha2-256" (RSA/SHA256) ื-"rsa-sha2-512" (RSA/SHA512).
ืืื ืืืืืืง ืืช ืืืขืืจ ืืืืืืจืืชืืื ืืืฉืื, ื-OpenSSH 8.5 ืืืคืขืืช ืืืจืืจืช ืืืื ืืช ืืืืจืช UpdateHostKeys, ืืืืคืฉืจืช ืืืงืืืืช ืืขืืืจ ืืืืืืืืช ืืืืืืจืืชืืื ืืืื ืื ืืืชืจ. ืืืืฆืขืืช ืืืืจื ืื, ืืจืืืช ืคืจืืืืงืื ืืืืืืช ืืืคืขืืช "[ืืืื ืืืื"ื]", ืืืืคืฉืจ ืืฉืจืช, ืืืืจ ืืืืืช, ืืืืืข ืืช ืืืงืื ืขื ืื ืืคืชืืืช ืืืืจื ืืืืื ืื. ืืืงืื ืืืื ืืฉืงืฃ ืืคืชืืืช ืืื ืืงืืืฅ ~/.ssh/known_hosts ืฉืื, ืื ืฉืืืคืฉืจ ืืขืืื ืืช ืืคืชืืืช ืืืืจื ืืืงื ืขื ืฉืื ืื ืืืคืชืืืช ืืฉืจืช.
ืืฉืืืืฉ ื-UpdateHostKeys ืืืืื ืขื ืืื ืืื ืืืืจืืช ืฉืขืฉืืืืช ืืืืืช ืืืกืจืืช ืืขืชืื: ืืฉ ืืืคื ืืช ืืืคืชื ื-UserKnownHostsFile ืืื ืืืฉืชืืฉ ื-GlobalKnownHostsFile; ืืืคืชื ืืืื ืืืืืช ืงืืื ืชืืช ืฉื ืืื ืืืื; ืืื ืืืฉืชืืฉ ืืืืฉืืจ ืืคืชื ืืืจื; ื-known_hosts ืืื ืืืฉืชืืฉ ืืืกืืืช ืืคื ืฉื ืืืจื; ืืฉ ืืืฉืืืช ืืช ืืืืจืช VerifyHostKeyDNS; ืืคืจืืืจ UserKnownHostsFile ืืืื ืืืืืช ืคืขืื.
ืืืืืจืืชืืื ืืืืืฆืื ืืืขืืจื ืืืืืื rsa-sha2-256/512 ืืืืกืก ืขื RFC8332 RSA SHA-2 (ื ืชืื ืืื OpenSSH 7.2 ืืืฉืืฉ ืืืจืืจืช ืืืื), ssh-ed25519 (ื ืชืื ืืื OpenSSH 6.5) ื-ecdsa-sha2-nistp256/384 based ืขื RFC521 ECDSA (ื ืชืื ืืื OpenSSH 5656).
ืฉืื ืืืื ื ืืกืคืื:
- ืฉืื ืืืื ืืืืืื:
- ืคืืืขืืช ืฉื ืืจืื ืขื ืืื ืฉืืจืืจ ืืืืฉ ืฉื ืืืืจ ืืืืจืื ืฉืืืจ ืฉืืืจืจ (ืืื ืืคืื) ืชืืงื ื ื-ssh-agent. ืืืขืื ืงืืืืช ืืื ืฉืืจืืจื ืฉื OpenSSH 8.2 ืืืคืฉืจ ืื ืฆื ืืืชื ืื ืืชืืงืฃ ืืฉ ืืืฉื ืืฉืงืข ssh-agent ืืืขืจืืช ืืืงืืืืช. ืื ืฉืืงืฉื ืขื ืื ืืฆืื ืืื ืฉืจืง ืืฉืืจืฉ ืืืืฉืชืืฉ ืืืงืืจื ืืฉ ืืืฉื ืืฉืงืข. ืชืจืืืฉ ืืืชืงืคื ืืกืืืจ ืืืืชืจ ืืื ืฉืืกืืื ืื ืืชื ืืืฉืืื ืฉื ืฉืื ืขื ืืื ืืชืืงืฃ, ืื ืืืืจื ืฉืื ืืชืืงืฃ ืืฉ ืืืฉืช ืฉืืจืฉ.
- sshd ืืืกืืคื ืืื ื ืืคื ื ืืขืืจืช ืคืจืืืจืื ืืืืืื ืืืื ืขื ืฉื ืืืฉืชืืฉ ืืืขืจืืช ืืืฉื ื PAM, ืื ืฉืืืคืฉืจ ืืืกืื ื ืงืืืืช ืชืืจืคื ืืืืืืื ืืขืจืืช PAM (Pluggable Authentication Module). ืืืืืื, ืืฉืื ืื ืืื ืข ื-sshd ืืฉืืฉ ืืืืงืืืจ ืื ืืฆืื ืคืืืขืืช ืฉืืจืฉ ืฉืืชืืืชื ืืืืจืื ื ื- Solaris (CVE-2020-14871).
- ืฉืื ืืื ืชืืืืืช ืฉืขืืืืื ืืฉืืืจ:
- ื-ssh ื-sshd, ืขืืฆืื ืืืืฉ ืฉืืืช ืืืืคืช ืืคืชืืืช ื ืืกืืื ืืช ืฉืขืืืื ืืคื ื ื ืืืืฉืื ืืืืฉื ืงืืื ืื. ืืืฉืืื ืงืืื ืืืื ืืืืจืื ืืืชืจ ืืืืคื ืงืืฆืื ื ืืคืชืจืื ืืืขืื ืฉื ืคืืจืืง ืืกืคืจ ืืืขื ืืืืจืืื ืจืืฉืื ืืื, ืืฉืจ ืขืืืืช ืืืกืืก ืืืืืจืืชืื ืืฆืคื ื ื-ืกืืืืจืืื ืืืืจื ืืื ืืืื ื ื ืืชื ืื ืืคืชืจืื ืืขืื ืืืขืืืื ืงืืืกืืื. ืืฉืืื ืื ื ืขืฉื ืฉืืืืฉ ืืืืกืกืช ืขื ืืืืืจืืชื NTRU Prime, ืฉืคืืชื ืขืืืจ ืืขืจืืืช ืืฆืคื ื ืคืืกื-ืงืืื ืืืืช, ืืฉืืืช X25519 ืืืืคืช ืืคืชืืืช ืขืงืืื ืืืืคืืืช. ืืืงืื [ืืืื ืืืื"ื] ืืฉืืื ืืืืื ืืขืช ื [ืืืื ืืืื"ื] (ืืืืืจืืชื sntrup4591761 ืืืืืฃ ื-sntrup761).
- ื-ssh ื-sshd, ืืกืืจ ืฉืื ืืืืจืื ืืืืืจืืชืื ืืชืืื ืืืืืืืืช ื ืชืืืื ืืฉืชื ื. ED25519 ืืืฆืข ืืขืช ืจืืฉืื ืืืงืื ECDSA.
- ื-ssh ืื-sshd, ืืืืจืช ืคืจืืืจื ืืืืืช ืืฉืืจืืช ืฉื TOS/DSCP ืขืืืจ ืืคืขืืืช ืืื ืืจืืงืืืืืืช ืืชืืฆืขืช ืืขืช ืืคื ื ืืฆืืจืช ืืืืืจ TCP.
- ืชืืืืช ืฆืืคื ืืืคืกืงื ื-ssh ืื-sshd [ืืืื ืืืื"ื], ืืื ื-aes256-cbc ืืืื ืืฉืืืืฉ ืืคื ื ืืืฉืืจ RFC-4253.
- ืืืจืืจืช ืืืื, ืืคืจืืืจ CheckHostIP ืืืฉืืช, ืฉืืชืืขืืช ืื ืื ืืื, ืื ืืฉืืืืฉ ืื ืืกืื ืืฉืืขืืชืืช ืืช ืกืืืื ืืืคืชืืืช ืขืืืจ ืืืจืืื ืืืืืจื ืืืื ื ืขืืืกืื.
- ืืืืจืืช PerSourceMaxStartups ื- PerSourceNetBlockSize ื ืืกืคื ื-sshd ืืื ืืืืืื ืืช ืขืืฆืืช ืืืฉืงื ืฉื ืืืคืืื ืืืชืืกืก ืขื ืืชืืืช ืืืงืื. ืคืจืืืจืื ืืื ืืืคืฉืจืื ืื ืืฉืืื ืืฆืืจื ืขืืื ื ืืืชืจ ืืืืืื ืขื ืืฉืงืืช ืชืืืืืื, ืืืฉืืืื ืืืืืจื ืืืืืืช ืฉื MaxStartups.
- ื ืืกืคื ืืืืจื ืืืฉื ืฉื LogVerbose ื-ssh ืื-sshd, ืืืืคืฉืจืช ืืืขืืืช ืืืื ืืช ืจืืช ืืืืืข ืืืืื ืืืืืจื ืืืืื, ืขื ืืืืืช ืกืื ืื ืืคื ืชืื ืืืช, ืคืื ืงืฆืืืช ืืงืืฆืื.
- ื-ssh, ืืขืช ืงืืืช ืืคืชื ืืืจื ืืืฉ, ืืืฆืืื ืื ืฉืืืช ืืืืจืืื ืืืชืืืืช ื-IP ืืืฉืืืืืช ืืืคืชื.
- ssh ืืืคืฉืจ ืืืคืฉืจืืช UserKnownHostsFile=none ืืืฉืืืช ืืช ืืฉืืืืฉ ืืงืืืฅ ื-known_hosts ืืขืช ืืืืื ืืคืชืืืช ืืืจื.
- ืืืืจืช KnownHostsCommand ื ืืกืคื ื-ssh_config ืขืืืจ ssh, ืืืืคืฉืจืช ืื ืืงืื ื ืชืื ื known_hosts ืืืคืื ืฉื ืืคืงืืื ืฉืฆืืื ื.
- ื ืืกืคื ืืคืฉืจืืช PermitRemoteOpen ื-ssh_config ืขืืืจ ssh ืืื ืืืคืฉืจ ืื ืืืืืื ืืช ืืืขื ืืขืช ืฉืืืืฉ ืืืคืฉืจืืช RemoteForward ืขื SOCKS.
- ื-ssh ืขืืืจ ืืคืชืืืช FIDO, ืืงืฉืช PIN ืืืืจืช ืืกืืคืงืช ืืืงืจื ืฉื ืืฉื ืืคืขืืืช ืืืชืืื ืืืืืืืืืช ืขืงื PIN ืฉืืื ืืืืฉืชืืฉ ืื ืืชืืงืฉ ืืืืื PIN (ืืืืืื, ืืืฉืจ ืื ื ืืชื ืืื ืืืฉืื ืืช ืื ืชืื ืื ืืืืืืืจืืื ืื ืืื ืื ืื ืืืืฉืืจ ืืืจ ืืืื ืช PIN ืืื ื).
- sshd ืืืกืืฃ ืชืืืื ืืงืจืืืืช ืืขืจืืช ื ืืกืคืืช ืืื ืื ืื ืืืืื ืชืืืืืื ืืืืกืก seccomp-bpf ืืืื ืืงืก.
- ืืื ืืฉืืจืืช contrib/ssh-copy-id ืขืืืื.
ืืงืืจ: OpenNet.ru