🥇 OpenSSH 8.4 გამოშვება | პროჰოსტერი

განვითარების ოთხი თვის შემდეგ წარმოდგენილია OpenSSH 8.4-ის გამოშვება, ღია კლიენტისა და სერვერის დანერგვა SSH 2.0 და SFTP პროტოკოლების გამოყენებით მუშაობისთვის.

ძირითადი ცვლილებები:

უსაფრთხოების ცვლილებები:
- ssh-agent-ში, როდესაც იყენებთ FIDO კლავიშებს, რომლებიც არ იყო შექმნილი SSH ავთენტიფიკაციისთვის (გასაღების ID არ იწყება "ssh:" სტრიქონით), ის ახლა ამოწმებს, რომ შეტყობინება ხელმოწერილი იქნება SSH პროტოკოლში გამოყენებული მეთოდების გამოყენებით. ცვლილება არ დაუშვებს ssh-აგენტის გადამისამართებას დისტანციურ ჰოსტებზე, რომლებსაც აქვთ FIDO კლავიშები, რათა დაბლოკოს ამ კლავიშების გამოყენების შესაძლებლობა ვებ ავთენტიფიკაციის მოთხოვნებისთვის ხელმოწერების გენერირებისთვის (საპირისპირო შემთხვევა, როდესაც ბრაუზერს შეუძლია ხელი მოაწეროს SSH მოთხოვნას, თავდაპირველად გამორიცხულია გასაღების იდენტიფიკატორში „ssh:“ პრეფიქსის გამოყენების გამო).
- ssh-keygen-ის რეზიდენტი გასაღების გენერაცია მოიცავს FIDO 2.1 სპეციფიკაციაში აღწერილი credProtect დანამატის მხარდაჭერას, რომელიც უზრუნველყოფს დამატებით დაცვას გასაღებებისთვის PIN-ის მოთხოვნით ნებისმიერი ოპერაციის შესრულებამდე, რამაც შეიძლება გამოიწვიოს რეზიდენტი გასაღების ამოღება ტოკენიდან.
თავსებადობის ცვლილებები პოტენციურად არღვევს:
- FIDO/U2F-ის მხარდასაჭერად, რეკომენდებულია libfido2 ბიბლიოთეკის მინიმუმ 1.5.0 ვერსიის გამოყენება. ძველი გამოცემების გამოყენების შესაძლებლობა ნაწილობრივ დანერგილია, მაგრამ ამ შემთხვევაში ფუნქციები, როგორიცაა რეზიდენტის გასაღებები, PIN-ის მოთხოვნა და მრავალი ჟეტონების დაკავშირება, მიუწვდომელი იქნება.
- ssh-keygen-ში, ციფრული ხელმოწერების დადასტურებისთვის საჭირო ავთენტიფიკატორის მონაცემები დაემატა დადასტურების ინფორმაციის ფორმატს, რომელიც არჩევითად შეინახება FIDO გასაღების გენერირებისას.
- API, რომელიც გამოიყენება OpenSSH ფენასთან FIDO ტოკენების წვდომისას, შეიცვალა.
- OpenSSH-ის პორტატული ვერსიის შექმნისას, ავტომატური წარმოება ახლა საჭიროა კონფიგურაციის სკრიპტის და თანმხლები build ფაილების გენერირებისთვის (თუ გამოქვეყნებული კოდის tar ფაილიდან აშენება, რეგენერაციული კონფიგურაცია არ არის საჭირო).
დამატებულია FIDO გასაღებების მხარდაჭერა, რომლებიც საჭიროებენ PIN-ის შემოწმებას ssh და ssh-keygen-ში. PIN-ით გასაღებების გენერირებისთვის, ssh-keygen-ს დაემატა „გადამოწმება-საჭირო“ ვარიანტი. თუ ასეთი კლავიშები გამოიყენება, ხელმოწერის შექმნის ოპერაციის შესრულებამდე მომხმარებელს სთხოვენ დაადასტუროს თავისი ქმედებები PIN კოდის შეყვანით.
sshd-ში, "verify-required" ოფცია დანერგილია ავტორიზებული_გასაღების პარამეტრში, რომელიც მოითხოვს შესაძლებლობების გამოყენებას, რათა გადაამოწმოთ მომხმარებლის ყოფნა ტოკენით ოპერაციების დროს. FIDO სტანდარტი გთავაზობთ რამდენიმე ვარიანტს ასეთი გადამოწმებისთვის, მაგრამ ამჟამად OpenSSH მხარს უჭერს მხოლოდ PIN-ზე დაფუძნებულ შემოწმებას.
sshd-მ და ssh-keygen-მა დაამატეს მხარდაჭერა ციფრული ხელმოწერების გადამოწმებისთვის, რომლებიც შეესაბამება FIDO Webauthn სტანდარტს, რომელიც საშუალებას აძლევს FIDO კლავიშებს გამოიყენონ ვებ ბრაუზერებში.
ssh-ში CertificateFile პარამეტრებში,
ControlPath, IdentityAgent, IdentityFile, LocalForward და
RemoteForward საშუალებას იძლევა მნიშვნელობების ჩანაცვლება გარემოს ცვლადებიდან, რომლებიც მითითებულია ფორმატში "${ENV}".
ssh-მ და ssh-agent-მა დაამატეს მხარდაჭერა $SSH_ASKPASS_REQUIRE გარემოს ცვლადისთვის, რომელიც შეიძლება გამოყენებულ იქნას ssh-askpass ზარის ჩასართავად ან გამორთვისთვის.
ssh-ში ssh_config-ში AddKeysToAgent დირექტივაში დამატებულია გასაღების მოქმედების პერიოდის შეზღუდვის შესაძლებლობა. მითითებული ლიმიტის ამოწურვის შემდეგ, კლავიშები ავტომატურად წაიშლება ssh-agent-დან.
scp-ში და sftp-ში, "-A" დროშის გამოყენებით, ახლა შეგიძლიათ პირდაპირ დაუშვათ გადამისამართება scp-ზე და sftp-ზე ssh-agent-ის გამოყენებით (გადამისამართება გამორთულია ნაგულისხმევად).
დამატებულია მხარდაჭერა '%k' ჩანაცვლებისთვის ssh პარამეტრებში, რომელიც განსაზღვრავს ჰოსტის გასაღების სახელს. ეს ფუნქცია შეიძლება გამოყენებულ იქნას გასაღებების ცალკეულ ფაილებში გასანაწილებლად (მაგალითად, „UserKnownHostsFile ~/.ssh/known_hosts.d/%k“).
ნება მიეცით "ssh-add -d -" ოპერაციის გამოყენება stdin-დან გასაღებების წასაკითხად, რომლებიც უნდა წაიშალოს.
sshd-ში, კავშირის გასხვლის პროცესის დასაწყისი და დასასრული აისახება ჟურნალში, რომელიც რეგულირდება MaxStartups პარამეტრის გამოყენებით.

OpenSSH დეველოპერებმა ასევე გაიხსენეს ალგორითმების მოახლოებული გაუქმება SHA-1 ჰეშების გამოყენებით. დაწინაურება მოცემული პრეფიქსით შეჯახების შეტევების ეფექტურობა (შეჯახების არჩევის ღირებულება დაახლოებით 45 ათასი დოლარია). ერთ-ერთ მომავალ გამოშვებაში, ისინი გეგმავენ ნაგულისხმევად გამორთონ საჯარო გასაღების ციფრული ხელმოწერის ალგორითმის "ssh-rsa" გამოყენების შესაძლებლობა, რომელიც ნახსენებია ორიგინალურ RFC-ში SSH პროტოკოლისთვის და რჩება პრაქტიკაში ფართოდ გავრცელებული (გამოყენების შესამოწმებლად ssh-rsa თქვენს სისტემებში, შეგიძლიათ სცადოთ დაკავშირება ssh-ის საშუალებით ოფციით „-oHostKeyAlgorithms=-ssh-rsa“).

OpenSSH-ში ახალ ალგორითმებზე გადასვლის გასამარტივებლად, შემდეგი გამოშვება ჩართავს UpdateHostKeys პარამეტრს ნაგულისხმევად, რაც ავტომატურად გადაიყვანს კლიენტებს უფრო საიმედო ალგორითმებზე. მიგრაციისთვის რეკომენდებული ალგორითმები მოიცავს rsa-sha2-256/512 RFC8332 RSA SHA-2-ზე დაფუძნებულს (მხარდაჭერილია OpenSSH 7.2-დან და გამოიყენება ნაგულისხმევად), ssh-ed25519 (მხარდაჭერილია OpenSSH 6.5-დან) და ecdsa-sha2-nistp256/384-ზე დაფუძნებული RFC521 ECDSA-ზე (მხარდაჭერილია OpenSSH 5656-დან).

წყარო: opennet.ru

OpenSSH 8.4-ის გამოშვება

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება