ProHoster > Π‘Π»ΠΎΠ³ > warta internet > OpenSSH 8.7 release

OpenSSH 8.7 release

Sawise patang sasi pembangunan, release OpenSSH 8.7, implementasine mbukak klien lan server kanggo nggarap protokol SSH 2.0 lan SFTP, diwenehi.

Owah-owahan utama:

  • Mode transfer data eksperimen wis ditambahake menyang scp nggunakake protokol SFTP tinimbang protokol SCP/RCP tradisional. SFTP nggunakake cara penanganan jeneng sing luwih bisa diprediksi lan ora nggunakake pangolahan cangkang saka pola glob ing sisih host liyane, sing nggawe masalah keamanan. Kanggo ngaktifake SFTP ing scp, gendera "-s" wis diusulake, nanging ing mangsa ngarep direncanakake ngalih menyang protokol iki kanthi standar.
  • sftp-server ngleksanakake ekstensi menyang protokol SFTP kanggo nggedhekake ~ / lan ~ pangguna / path, sing perlu kanggo scp.
  • Utilitas scp wis ngganti prilaku nalika nyalin file ing antarane rong host remot (contone, "scp host-a:/path host-b:"), sing saiki ditindakake kanthi standar liwat host lokal penengah, kaya nalika nemtokake " -3" flag. Pendekatan iki ngidini sampeyan supaya ora ngirim kredensial sing ora perlu menyang host pisanan lan interpretasi telung jeneng file ing cangkang (ing sisih sumber, tujuan lan sistem lokal), lan nalika nggunakake SFTP, ngidini sampeyan nggunakake kabeh cara otentikasi nalika ngakses remot. host, lan ora mung cara non-interaktif. Opsi "-R" wis ditambahake kanggo mulihake prilaku lawas.
  • Nambahake setelan ForkAfterAuthentication kanggo ssh sing cocog karo gendera "-f".
  • Added StdinNull setelan kanggo ssh, cocog karo flag "-n".
  • Setelan SessionType wis ditambahake menyang ssh, ing ngendi sampeyan bisa nyetel mode sing cocog karo gendera "-N" (ora ana sesi) lan "-s" (subsistem).
  • ssh-keygen ngidini sampeyan nemtokake interval validitas tombol ing file kunci.
  • Added "-Oprint-pubkey" flag kanggo ssh-keygen kanggo print tombol umum lengkap minangka bagΓ©an saka teken sshsig.
  • Ing ssh lan sshd, klien lan server wis dipindhah kanggo nggunakake parser file konfigurasi sing luwih mbatesi sing nggunakake aturan kaya cangkang kanggo nangani kuotasi, spasi, lan karakter uwal. Parser anyar uga ora nglirwakake asumsi sing wis digawe sadurunge, kayata ngilangi argumen ing opsi (contone, arahan DenyUsers ora bisa dikosongake maneh), kuotasi sing ora ditutup, lan nemtokake pirang-pirang = karakter.
  • Nalika nggunakake cathetan DNS SSHFP nalika verifikasi kunci, ssh saiki mriksa kabeh cathetan sing cocog, ora mung sing ngemot jinis tandha digital tartamtu.
  • Ing ssh-keygen, nalika ngasilake tombol FIDO kanthi pilihan -Ochallenge, lapisan sing dibangun saiki digunakake kanggo hashing, tinimbang libfido2, sing ngidini nggunakake urutan tantangan sing luwih gedhe utawa luwih cilik tinimbang 32 bait.
  • Ing sshd, nalika ngolah lingkungan = "..." arahan ing file authorized_keys, pertandhingan pisanan saiki ditampa lan ana watesan 1024 jeneng variabel lingkungan.

Pangembang OpenSSH uga ngelingake babagan dekomposisi algoritma nggunakake hash SHA-1 amarga tambah efisiensi serangan tabrakan kanthi prefiks tartamtu (biaya kanggo milih tabrakan kira-kira udakara 50 ewu dolar). Ing release sabanjurΓ©, kita rencana kanggo mateni kanthi standar kemampuan kanggo nggunakake algoritma teken digital tombol umum "ssh-rsa", kang kasebut ing RFC asli kanggo protokol SSH lan tetep digunakake digunakake ing laku.

Kanggo nguji panggunaan ssh-rsa ing sistem sampeyan, sampeyan bisa nyoba nyambungake liwat ssh nganggo opsi "-oHostKeyAlgorithm=-ssh-rsa". Ing wektu sing padha, mateni tandha digital "ssh-rsa" kanthi standar ora ateges nglirwakake panggunaan tombol RSA, amarga saliyane SHA-1, protokol SSH ngidini nggunakake algoritma pitungan hash liyane. Utamane, saliyane "ssh-rsa", bakal tetep bisa nggunakake bundel "rsa-sha2-256" (RSA / SHA256) lan "rsa-sha2-512" (RSA / SHA512).

Kanggo lancar transisi menyang algoritma anyar, OpenSSH sadurunge wis setelan UpdateHostKeys diaktifake kanthi standar, sing ngidini klien kanthi otomatis ngalih menyang algoritma sing luwih dipercaya. Nggunakake setelan iki, ekstensi protokol khusus diaktifake "[email dilindhungi]", ngidini server, sawise otentikasi, ngandhani klien babagan kabeh kunci host sing kasedhiya. Klien bisa nggambarake kunci kasebut ing file ~/.ssh/known_hosts, sing ngidini kunci host dianyari lan luwih gampang ngganti tombol ing server.

Panggunaan UpdateHostKeys diwatesi dening sawetara caveat sing bisa dibusak ing mangsa ngarep: kunci kasebut kudu dirujuk ing UserKnownHostsFile lan ora digunakake ing GlobalKnownHostsFile; tombol kudu ana mung siji jeneng; sertifikat kunci inang ora kudu digunakake; ing topeng known_hosts kanthi jeneng host ora kudu digunakake; setelan VerifyHostKeyDNS kudu dipateni; Parameter UserKnownHostsFile kudu aktif.

Algoritma sing disaranake kanggo migrasi kalebu rsa-sha2-256/512 adhedhasar RFC8332 RSA SHA-2 (didhukung wiwit OpenSSH 7.2 lan digunakake kanthi standar), ssh-ed25519 (didhukung wiwit OpenSSH 6.5) lan adhedhasar ecdsa-sha2-nistp256/384/521. ing RFC5656 ECDSA (didhukung wiwit OpenSSH 5.7).

Source: opennet.ru

Add a comment