ProHoster > Блог > интернет жаңалықтары > OpenSSH 8.0 шығарылымы

OpenSSH 8.0 шығарылымы

Бес айлық дамудан кейін ұсынылды босату OpenSSH 8.0, SSH 2.0 және SFTP протоколдары арқылы жұмыс істеуге арналған ашық клиент пен серверді іске асыру.

Негізгі өзгерістер:

  • ssh және sshd файлдарына кванттық компьютердегі өрескел күш шабуылдарына төзімді кілт алмасу әдісіне эксперименттік қолдау қосылды. Кванттық компьютерлер натурал санды жай факторларға ыдырату мәселесін шешуде түбегейлі жылдамырақ, бұл қазіргі асимметриялық шифрлау алгоритмдерінің негізінде жатыр және классикалық процессорларда тиімді шешілмейді. Ұсынылған әдіс алгоритмге негізделген NTRU Prime (ntrup4591761 функциясы), посткванттық криптожүйелер үшін әзірленген және эллиптикалық қисық кілт алмасу әдісі X25519;
  • Sshd жүйесінде ListenAddress және PermitOpen директивалары бұдан былай IPv2001-мен жұмыс істеуді жеңілдету үшін «хост: портқа» балама ретінде 6 жылы енгізілген бұрынғы «хост/порт» синтаксисін қолдамайды. Қазіргі жағдайларда IPv6 үшін «[::1]:22» синтаксисі орнатылған және «хост/порт» ішкі желіні (CIDR) көрсетумен жиі шатастырылады;
  • ssh, ssh-agent және ssh-add енді кілттерді қолдайды ECDSA PKCS#11 токендерінде;
  • ssh-keygen жүйесінде әдепкі RSA кілтінің өлшемі жаңа NIST ұсыныстарына сәйкес 3072 битке дейін ұлғайтылды;
  • ssh ssh_config ішінде көрсетілген PKCS11Provider директивасын қайта анықтау үшін "PKCS11Provider=жоқ" параметрін пайдалануға мүмкіндік береді;
  • sshd sshd_config ішіндегі “ForceCommand=internal-sftp” шектеуімен блокталған пәрмендерді орындау әрекеті кезінде қосылым тоқтатылған жағдайлардың журналын көрсетуді қамтамасыз етеді;
  • ssh-де жаңа хост кілтін қабылдауды растау сұрауын көрсету кезінде «иә» жауабының орнына енді кілттің дұрыс саусақ ізі қабылданады (қосылымды растауға шақыруға жауап ретінде пайдаланушы оны қолмен салыстырмау үшін алмасу буфері арқылы бөлек алынған анықтамалық хэш);
  • ssh-keygen пәрмен жолында бірнеше сертификаттар үшін ЭЦҚ құру кезінде сертификат реттік нөмірін автоматты түрде арттыруды қамтамасыз етеді;
  • Жаңа опция "-J" scp және sftp файлдарына ProxyJump параметріне баламалы қосылды;
  • ssh-agent, ssh-pkcs11-helper және ssh-add нұсқаларында шығыстың ақпараттық мазмұнын арттыру үшін «-v» пәрмен жолы опциясын өңдеу қосылды (көрсетілген кезде бұл опция еншілес процестерге беріледі, мысалы, ssh-pkcs11-анықтамашы ssh-agent арқылы шақырылғанда);
  • ЭЦҚ жасау және тексеру операцияларын орындау үшін ssh-агентіндегі кілттердің жарамдылығын тексеру үшін ssh-add файлына «-T» опциясы қосылды;
  • sftp-сервері SFTP үшін SSH2_FXP_SETSTAT әрекетін қолдауды қосатын, бірақ символдық сілтемелерсіз қосылатын “lsetstat at openssh.com” протокол кеңейтімін қолдауды жүзеге асырады;
  • Символдық сілтемелерді пайдаланбайтын сұраулары бар chown/chgrp/chmod пәрмендерін іске қосу үшін sftp файлына "-h" опциясы қосылды;
  • sshd PAM үшін $SSH_CONNECTION ортасының айнымалы мәнін орнатуды қамтамасыз етеді;
  • sshd үшін ssh_config файлына "Сәйкестік соңғы" сәйкестік режимі қосылды, ол "Сәйкестік канондық" режиміне ұқсас, бірақ хост атауын қалыпқа келтіруді қосуды қажет етпейді;
  • Пакеттік режимде орындалатын пәрмендердің шығысын аударуды өшіру үшін sftp файлына '@' префиксіне қолдау қосылды;
  • Пәрменді пайдаланып сертификат мазмұнын көрсеткенде
    "ssh-keygen -Lf /path/certificate" енді сертификатты тексеру үшін CA пайдаланатын алгоритмді көрсетеді;

  • Cygwin ортасы үшін жақсартылған қолдау, мысалы, топ пен пайдаланушы атын регистрді ескермейтін салыстыруды қамтамасыз ету. Cygwin портындағы sshd процесі Microsoft қамтамасыз ететін OpenSSH портына кедергі жасамау үшін cygsshd болып өзгертілді;
  • Эксперименттік OpenSSL 3.x тармағымен құру мүмкіндігі қосылды;
  • Жойылған осалдық (CVE-2019-6111) шабуылдаушы басқаратын серверге қатынасу кезінде мақсатты каталогтағы ерікті файлдарды клиент жағында қайта жазуға мүмкіндік беретін scp утилитасын іске асыруда. Мәселе мынада, scp пайдалану кезінде сервер клиентке қандай файлдар мен каталогтарды жіберу керектігін шешеді, ал клиент тек қайтарылған нысан атауларының дұрыстығын тексереді. Клиенттік тексеру тек ағымдағы каталогтан тыс саяхатты блоктаумен шектеледі («../»), бірақ бастапқыда сұралғандардан басқа атаулары бар файлдарды тасымалдауды есепке алмайды. Рекурсивті көшіру (-r) жағдайында файл атауларынан басқа ішкі каталогтардың атауларын да ұқсас жолмен өңдеуге болады. Мысалы, егер пайдаланушы файлдарды үй каталогына көшірсе, шабуылдаушы басқаратын сервер сұралған файлдардың орнына .bash_aliases немесе .ssh/authorized_keys атаулары бар файлдарды жасай алады және олар scp утилитасы арқылы пайдаланушының каталогында сақталады. үй каталогы.

    Жаңа шығарылымда scp утилитасы сұралған файл атаулары мен сервер жібергендер арасындағы сәйкестікті тексеру үшін жаңартылды, ол клиент жағында орындалады. Бұл масканы өңдеу кезінде қиындықтар тудыруы мүмкін, себебі масканы кеңейту таңбалары сервер мен клиент жағында басқаша өңделуі мүмкін. Мұндай айырмашылықтар клиенттің scp файлдарын қабылдауды тоқтатуына себеп болған жағдайда, клиенттік тексеруді өшіру үшін «-T» опциясы қосылды. Мәселені толығымен түзету үшін scp хаттамасының тұжырымдамалық қайта өңдеуі қажет, оның өзі әлдеқашан ескірген, сондықтан оның орнына sftp және rsync сияқты заманауи хаттамаларды пайдалану ұсынылады.

Ақпарат көзі: opennet.ru

пікір қалдыру