ProHoster > Блог > интернет жаңалықтары > OpenSSH 8.4 шығарылымы

OpenSSH 8.4 шығарылымы

Төрт айлық дамудан кейін ұсынылды OpenSSH 8.4 шығарылымы, SSH 2.0 және SFTP хаттамалары арқылы жұмыс істеуге арналған ашық клиент пен серверді іске асыру.

Негізгі өзгерістер:

  • Қауіпсіздік өзгерістері:
    • ssh-агентінде SSH аутентификациясы үшін жасалмаған FIDO кілттерін пайдаланған кезде (кілт идентификаторы «ssh:» жолымен басталмайды), ол енді SSH хаттамасында қолданылатын әдістер арқылы хабарға қол қойылатынын тексереді. Өзгеріс ssh-агентінің веб-аутентификация сұрауларына қолтаңбаларды жасау үшін осы кілттерді пайдалану мүмкіндігін бұғаттау үшін FIDO кілттері бар қашықтағы хосттарға қайта бағытталуына мүмкіндік бермейді (браузер SSH сұрауына қол қоя алатын кері жағдай бастапқыда алынып тасталады) кілт идентификаторында «ssh:» префиксін қолдануға байланысты).
    • ssh-keygen резидентті кілтін генерациялау FIDO 2.1 спецификациясында сипатталған credProtect қондырмасына қолдауды қамтиды, ол таңбалауыштан резиденттік кілтті шығаруға әкелуі мүмкін кез келген әрекетті орындау алдында PIN кодын талап ету арқылы кілттерді қосымша қорғауды қамтамасыз етеді.
  • Ықтимал үйлесімділік өзгерістерін бұзу:
    • FIDO/U2F қолдауы үшін libfido2 кітапханасын кем дегенде 1.5.0 нұсқасын пайдалану ұсынылады. Ескі басылымдарды пайдалану мүмкіндігі ішінара іске асырылды, бірақ бұл жағдайда резиденттік кілттер, PIN сұрауы және бірнеше таңбалауыштарды қосу сияқты функциялар қол жетімді болмайды.
    • ssh-keygen жүйесінде растаушы цифрлық қолтаңбаларды тексеру үшін қажетті аутентификация деректері растау ақпаратының пішіміне қосылды, FIDO кілтін жасау кезінде міндетті түрде сақталады.
    • OpenSSH FIDO таңбалауыштарына қол жеткізу қабатымен әрекеттескенде пайдаланылатын API өзгертілді.
    • OpenSSH портативті нұсқасын құрастырған кезде, конфигурациялау сценарийін және ілеспе құрастыру файлдарын жасау үшін енді automake қажет (жарияланған код tar файлынан құрастыру, конфигурацияны қалпына келтіру қажет емес).
  • ssh және ssh-keygen жүйелерінде PIN кодын растауды қажет ететін FIDO кілттеріне қолдау қосылды. PIN коды бар кілттерді жасау үшін ssh-keygen файлына «тексеру қажет» опциясы қосылды. Егер мұндай кілттер пайдаланылса, қолтаңбаны жасау әрекетін орындамас бұрын пайдаланушыға PIN кодын енгізу арқылы өз әрекеттерін растау ұсынылады.
  • sshd ішінде «тексеру қажет» опциясы авторизацияланған_кілттер параметрінде жүзеге асырылады, ол таңбалауышпен операциялар кезінде пайдаланушының бар екенін тексеру үшін мүмкіндіктерді пайдалануды талап етеді. FIDO стандарты мұндай тексерудің бірнеше нұсқасын ұсынады, бірақ қазіргі уақытта OpenSSH тек PIN кодына негізделген тексеруді қолдайды.
  • sshd және ssh-keygen веб-браузерлерде FIDO кілттерін пайдалануға мүмкіндік беретін FIDO Webauthn стандартына сәйкес келетін сандық қолтаңбаларды тексеруге қолдауды қосты.
  • CertificateFile параметрлерінде ssh ішінде,
    ControlPath, IdentityAgent, IdentityFile, LocalForward және
    RemoteForward "${ENV}" пішімінде көрсетілген ортаның айнымалы мәндерінен мәндерді ауыстыруға мүмкіндік береді.

  • ssh және ssh-agent ssh-askpass қоңырауын қосу немесе өшіру үшін пайдаланылуы мүмкін $SSH_ASKPASS_REQUIRE айнымалы ортасына қолдауды қосты.
  • AddKeysToAgent директивасында ssh_config ішіндегі ssh ішінде кілттің жарамдылық мерзімін шектеу мүмкіндігі қосылды. Көрсетілген шектеу мерзімі өткеннен кейін кілттер ssh-агенттен автоматты түрде жойылады.
  • scp және sftp ішінде "-A" жалаушасын пайдаланып, енді ssh-agent арқылы scp және sftp-ге қайта бағыттауға рұқсат бере аласыз (қайта бағыттау әдепкі бойынша өшірілген).
  • Хост кілтінің атауын көрсететін ssh параметрлерінде "%k" ауыстыруға қолдау қосылды. Бұл мүмкіндікті кілттерді бөлек файлдарға тарату үшін пайдалануға болады (мысалы, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • Жойылатын stdin пернелерін оқу үшін "ssh-add -d -" операциясын пайдалануға рұқсат етіңіз.
  • Sshd жүйесінде қосылымды кесу процесінің басталуы және аяқталуы MaxStartups параметрі арқылы реттелетін журналда көрсетіледі.

Сондай-ақ OpenSSH әзірлеушілері SHA-1 хэштерін пайдаланатын алгоритмдердің алдағы тоқтатылуын еске алды жылжыту берілген префикспен соқтығысқан шабуылдардың тиімділігі (соқтығысты таңдау құны шамамен 45 мың долларға бағаланады). Алдағы шығарылымдардың бірінде олар SSH хаттамасы үшін бастапқы RFC-де айтылған және практикада кеңінен таралған (пайдалануды тексеру үшін) «ssh-rsa» сандық қолтаңбасының ашық кілтін пайдалану мүмкіндігін әдепкі бойынша өшіруді жоспарлап отыр. Жүйелеріңізде ssh-rsa файлын пайдалансаңыз, «-oHostKeyAlgorithms=-ssh-rsa» опциясымен ssh арқылы қосылуға болады).

OpenSSH жүйесінде жаңа алгоритмдерге ауысуды тегістеу үшін келесі шығарылым әдепкі бойынша UpdateHostKeys параметрін қосады, ол клиенттерді сенімдірек алгоритмдерге автоматты түрде көшіреді. Тасымалдау үшін ұсынылған алгоритмдерге RFC2 RSA SHA-256 негізіндегі rsa-sha512-8332/2 (OpenSSH 7.2 нұсқасынан бері қолдау көрсетіледі және әдепкі бойынша пайдаланылады), ssh-ed25519 (OpenSSH 6.5 нұсқасынан бері қолдау көрсетіледі) және ecdsa-sha2-nistp256/384 негізіндегі алгоритмдер кіреді. RFC521 ECDSA (OpenSSH 5656 нұсқасынан бері қолдау көрсетіледі).

Ақпарат көзі: opennet.ru

пікір қалдыру