ProHoster > Π‘Π»ΠΎΠ³ > warta internet > OpenSSH 8.4 release

OpenSSH 8.4 release

Sawise patang sasi pembangunan diwenehi release saka OpenSSH 8.4, klien mbukak lan implementasine server kanggo digunakake nggunakake protokol SSH 2.0 lan SFTP.

Owah-owahan utama:

  • Owah-owahan keamanan:
    • Ing ssh-agent, nalika nggunakake tombol FIDO sing ora digawe kanggo otentikasi SSH (ID tombol ora diwiwiti kanthi senar "ssh:"), saiki mriksa manawa pesen kasebut bakal ditandatangani nggunakake metode sing digunakake ing protokol SSH. Owah-owahan ora bakal ngidini ssh-agen dialihake menyang host remot sing duwe kunci FIDO kanggo mblokir kemampuan nggunakake tombol kasebut kanggo ngasilake tanda tangan kanggo panjaluk otentikasi web (kasus mbalikke, nalika browser bisa mlebu panjaluk SSH, wiwitane ora kalebu amarga nggunakake awalan "ssh:" ing pengenal kunci).
    • Generasi kunci penduduk ssh-keygen kalebu dhukungan kanggo tambahan credProtect sing diterangake ing spesifikasi FIDO 2.1, sing menehi proteksi tambahan kanggo kunci kanthi mbutuhake PIN sadurunge nindakake operasi apa wae sing bisa nyebabake ngekstrak kunci penduduk saka token.
  • Owah-owahan kompatibilitas sing bisa rusak:
    • Kanggo ndhukung FIDO / U2F, dianjurake kanggo nggunakake perpustakaan libfido2 paling versi 1.5.0. Kemampuan kanggo nggunakake edisi lawas wis dileksanakake sebagian, nanging ing kasus iki, fungsi kayata kunci penduduk, panjalukan PIN, lan nyambungake pirang-pirang token ora bakal kasedhiya.
    • Ing ssh-keygen, data authenticator sing perlu kanggo verifikasi tandha digital wis ditambahake menyang format informasi konfirmasi, kanthi opsional disimpen nalika ngasilake tombol FIDO.
    • API sing digunakake nalika OpenSSH sesambungan karo lapisan kanggo ngakses token FIDO wis diganti.
    • Nalika mbangun versi portabel OpenSSH, automake saiki dibutuhake kanggo ngasilake skrip konfigurasi lan file mbangun sing diiringi (yen mbangun saka file tar kode sing diterbitake, konfigurasi regenerasi ora dibutuhake).
  • Dhukungan tambahan kanggo tombol FIDO sing mbutuhake verifikasi PIN ing ssh lan ssh-keygen. Kanggo ngasilake kunci nganggo PIN, pilihan "verifikasi-dibutuhake" wis ditambahake menyang ssh-keygen. Yen tombol kasebut digunakake, sadurunge nindakake operasi nggawe teken, pangguna dijaluk konfirmasi tumindak kasebut kanthi ngetik kode PIN.
  • Ing sshd, opsi "verifikasi-dibutuhake" dileksanakake ing setelan authorized_keys, sing mbutuhake panggunaan kapabilitas kanggo verifikasi anane pangguna sajrone operasi nganggo token. Standar FIDO nyedhiyakake sawetara opsi kanggo verifikasi kasebut, nanging saiki OpenSSH mung ndhukung verifikasi adhedhasar PIN.
  • sshd lan ssh-keygen wis nambah dhukungan kanggo verifikasi tandha digital sing tundhuk karo standar FIDO Webauthn, sing ngidini tombol FIDO digunakake ing browser web.
  • Ing ssh ing setelan CertificateFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward lan
    RemoteForward ngidini substitusi nilai saka variabel lingkungan sing ditemtokake ing format "${ENV}".

  • ssh lan ssh-agent wis nambahake dhukungan kanggo variabel lingkungan $SSH_ASKPASS_REQUIRE, sing bisa digunakake kanggo ngaktifake utawa mateni telpon ssh-askpass.
  • Ing ssh ing ssh_config ing arahan AddKeysToAgent, kemampuan kanggo matesi periode validitas kunci wis ditambahake. Sawise watesan sing ditemtokake wis kadaluwarsa, tombol kasebut kanthi otomatis dibusak saka ssh-agent.
  • Ing scp lan sftp, nggunakake gendera "-A", sampeyan saiki bisa kanthi jelas ngidini pangalihan menyang scp lan sftp nggunakake ssh-agent (redirection dipateni kanthi standar).
  • Dhukungan tambahan kanggo substitusi '%k' ing setelan ssh, sing nemtokake jeneng kunci host. Fitur iki bisa digunakake kanggo nyebarake kunci menyang file sing kapisah (contone, "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
  • Ngidini panggunaan operasi "ssh-add -d -" kanggo maca kunci saka stdin sing bakal dibusak.
  • Ing sshd, wiwitan lan pungkasan proses pruning sambungan dibayangke ing log, diatur nggunakake parameter MaxStartups.

Pangembang OpenSSH uga ngelingi decommissioning algoritma sing bakal teka nggunakake hash SHA-1 amarga promosi efektifitas serangan tabrakan kanthi prefiks tartamtu (biaya kanggo milih tabrakan kira-kira udakara 45 ewu dolar). Ing salah sawijining rilis sing bakal teka, dheweke ngrancang mateni kanthi standar kemampuan kanggo nggunakake algoritma tandha digital kunci umum "ssh-rsa", sing kasebut ing RFC asli kanggo protokol SSH lan tetep nyebar ing praktik (kanggo nyoba panggunaan. saka ssh-rsa ing sistem sampeyan, sampeyan bisa nyoba nyambungake liwat ssh kanthi pilihan "-oHostKeyAlgorithm = -ssh-rsa").

Kanggo lancar transisi menyang algoritma anyar ing OpenSSH, rilis sabanjure bakal ngaktifake setelan UpdateHostKeys kanthi standar, sing bakal kanthi otomatis migrasi klien menyang algoritma sing luwih dipercaya. Algoritma sing disaranake kanggo migrasi kalebu rsa-sha2-256/512 adhedhasar RFC8332 RSA SHA-2 (didhukung wiwit OpenSSH 7.2 lan digunakake kanthi standar), ssh-ed25519 (didhukung wiwit OpenSSH 6.5) lan adhedhasar ecdsa-sha2-nistp256/384/521 ing RFC5656 ECDSA (didhukung wiwit OpenSSH 5.7).

Source: opennet.ru

Add a comment