ការចេញផ្សាយ OpenSSH 8.0

បន្ទាប់ពីប្រាំខែនៃការអភិវឌ្ឍន៍ បង្ហាញ ការដោះលែង អូផឹនស៊ូស៊ី ៧.៦ការអនុវត្តម៉ាស៊ីនភ្ញៀវបើកចំហ និងម៉ាស៊ីនមេសម្រាប់ធ្វើការតាមរយៈពិធីការ SSH 2.0 និង SFTP ។

ការផ្លាស់ប្តូរសំខាន់ៗ៖

• ការគាំទ្រសាកល្បងសម្រាប់វិធីសាស្ត្រផ្លាស់ប្តូរគន្លឹះដែលធន់នឹងការវាយប្រហារដោយកម្លាំង brute-force នៅលើកុំព្យូទ័រ quantum ត្រូវបានបន្ថែមទៅ ssh និង sshd ។ កុំព្យូទ័រ Quantum មានភាពរហ័សរហួនក្នុងការដោះស្រាយបញ្ហានៃការបំប្លែងលេខធម្មជាតិទៅជាកត្តាចម្បង ដែលបង្កប់នូវក្បួនដោះស្រាយការអ៊ិនគ្រីបបែបទំនើប និងមិនអាចដោះស្រាយបានយ៉ាងមានប្រសិទ្ធភាពលើប្រព័ន្ធដំណើរការបុរាណ។ វិធីសាស្រ្តដែលបានស្នើឡើងគឺផ្អែកលើក្បួនដោះស្រាយ NTRU Prime (មុខងារ ntrup4591761) ដែលត្រូវបានបង្កើតឡើងសម្រាប់ប្រព័ន្ធគ្រីបតូក្រោយគីណូ និងវិធីសាស្ត្រផ្លាស់ប្តូរសោខ្សែកោងរាងអេលីប X25519;
• នៅក្នុង sshd ការណែនាំ ListenAddress និង PermitOpen លែងគាំទ្រវាក្យសម្ព័ន្ធ "host/port" ដែលត្រូវបានអនុវត្តន៍ក្នុងឆ្នាំ 2001 ជាជម្រើសមួយសម្រាប់ "host:port" ដើម្បីងាយស្រួលក្នុងការធ្វើការជាមួយ IPv6។ នៅក្នុងលក្ខខណ្ឌទំនើប វាក្យសម្ព័ន្ធ “[:6]:1” ត្រូវបានបង្កើតឡើងសម្រាប់ IPv22 ហើយ “ម៉ាស៊ីន/ច្រក” ជារឿយៗមានការភាន់ច្រឡំជាមួយនឹងការចង្អុលបង្ហាញបណ្តាញរង (CIDR);
• ssh, ssh-agent និង ssh-add ឥឡូវនេះគាំទ្រគ្រាប់ចុច អេឌីស៊ីស៊ី នៅក្នុង PKCS#11 tokens;
• នៅក្នុង ssh-keygen ទំហំសោ RSA លំនាំដើមត្រូវបានកើនឡើងដល់ 3072 ប៊ីត ស្របតាមការណែនាំថ្មីរបស់ NIST ។
• ssh អនុញ្ញាតឱ្យប្រើការកំណត់ "PKCS11Provider=none" ដើម្បីបដិសេធការណែនាំ PKCS11Provider ដែលបានបញ្ជាក់នៅក្នុង ssh_config;
• sshd ផ្តល់នូវការបង្ហាញកំណត់ហេតុនៃស្ថានភាពនៅពេលដែលការតភ្ជាប់ត្រូវបានបិទនៅពេលព្យាយាមប្រតិបត្តិពាក្យបញ្ជាដែលរារាំងដោយការដាក់កម្រិត "ForceCommand=internal-sftp" នៅក្នុង sshd_config;
• នៅក្នុង ssh នៅពេលបង្ហាញសំណើដើម្បីបញ្ជាក់ការទទួលយកសោម៉ាស៊ីនថ្មីជំនួសឱ្យការឆ្លើយតប "បាទ" ស្នាមម្រាមដៃត្រឹមត្រូវនៃសោត្រូវបានទទួលយកឥឡូវនេះ (ជាការឆ្លើយតបទៅនឹងការអញ្ជើញដើម្បីបញ្ជាក់ការតភ្ជាប់ អ្នកប្រើប្រាស់អាចចម្លងឯកសារ បានទទួលដោយឡែកពីគ្នានូវសញ្ញាយោងតាមរយៈក្តារតម្បៀតខ្ទាស់ ដើម្បីកុំឱ្យប្រៀបធៀបវាដោយដៃ);
• ssh-keygen ផ្តល់នូវការបង្កើនដោយស្វ័យប្រវត្តិនៃលេខលំដាប់វិញ្ញាបនបត្រ នៅពេលបង្កើតហត្ថលេខាឌីជីថលសម្រាប់វិញ្ញាបនបត្រច្រើននៅលើបន្ទាត់ពាក្យបញ្ជា។
• ជម្រើសថ្មី "-J" ត្រូវបានបន្ថែមទៅ scp និង sftp ដែលស្មើនឹងការកំណត់ ProxyJump ។
• នៅក្នុង ssh-agent, ssh-pkcs11-helper និង ssh-add ដំណើរការនៃជម្រើសបន្ទាត់ពាក្យបញ្ជា "-v" ត្រូវបានបន្ថែម ដើម្បីបង្កើនមាតិកាព័ត៌មាននៃលទ្ធផល (នៅពេលបានបញ្ជាក់ ជម្រើសនេះត្រូវបានបញ្ជូនទៅដំណើរការកុមារ សម្រាប់ ឧទាហរណ៍ នៅពេលដែល ssh-pkcs11-helper ត្រូវបានហៅពី ssh-agent );
• ជម្រើស “-T” ត្រូវបានបន្ថែមទៅ ssh-add ដើម្បីសាកល្បងភាពសមស្របនៃគ្រាប់ចុចនៅក្នុងភ្នាក់ងារ ssh សម្រាប់ដំណើរការបង្កើតហត្ថលេខាឌីជីថល និងប្រតិបត្តិការផ្ទៀងផ្ទាត់។
• sftp-server អនុវត្តការគាំទ្រសម្រាប់ផ្នែកបន្ថែមពិធីការ “lsetstat at openssh.com” ដែលបន្ថែមការគាំទ្រសម្រាប់ប្រតិបត្តិការ SSH2_FXP_SETSTAT សម្រាប់ SFTP ប៉ុន្តែដោយគ្មានតំណភ្ជាប់និមិត្តសញ្ញា។
• បានបន្ថែមជម្រើស "-h" ទៅ sftp ដើម្បីដំណើរការពាក្យបញ្ជា chown/chgrp/chmod ជាមួយនឹងសំណើដែលមិនប្រើតំណភ្ជាប់និមិត្តសញ្ញា។
• sshd ផ្តល់នូវការកំណត់នៃអថេរបរិស្ថាន $SSH_CONNECTION សម្រាប់ PAM;
• សម្រាប់ sshd របៀបផ្គូផ្គង "ការប្រកួតចុងក្រោយ" ត្រូវបានបន្ថែមទៅ ssh_config ដែលស្រដៀងទៅនឹង "Match canonical" ប៉ុន្តែមិនតម្រូវឱ្យបើកដំណើរការឈ្មោះម៉ាស៊ីនធម្មតាទេ។
• បានបន្ថែមការគាំទ្រសម្រាប់បុព្វបទ '@' ទៅ sftp ដើម្បីបិទការបកប្រែលទ្ធផលនៃពាក្យបញ្ជាដែលបានប្រតិបត្តិក្នុងរបៀបបាច់។
• នៅពេលអ្នកបង្ហាញមាតិកានៃវិញ្ញាបនបត្រដោយប្រើពាក្យបញ្ជា
  "ssh-keygen -Lf /path/certificate" ឥឡូវនេះបង្ហាញក្បួនដោះស្រាយដែលប្រើដោយ CA ដើម្បីធ្វើសុពលភាពវិញ្ញាបនបត្រ។

• ការគាំទ្រប្រសើរឡើងសម្រាប់បរិស្ថាន Cygwin ឧទាហរណ៍ផ្តល់នូវការប្រៀបធៀបដែលមិនប្រកាន់អក្សរតូចធំនៃក្រុម និងឈ្មោះអ្នកប្រើប្រាស់។ ដំណើរការ sshd នៅក្នុងច្រក Cygwin ត្រូវបានប្តូរទៅជា cygsshd ដើម្បីជៀសវាងការជ្រៀតជ្រែកជាមួយច្រក OpenSSH ដែលផ្គត់ផ្គង់ដោយ Microsoft ។
• បានបន្ថែមសមត្ថភាពក្នុងការបង្កើតជាមួយសាខា OpenSSL 3.x ពិសោធន៍;
• លុបចោល ភាពងាយរងគ្រោះ (CVE-2019-6111) ក្នុងការអនុវត្តឧបករណ៍ប្រើប្រាស់ scp ដែលអនុញ្ញាតឱ្យឯកសារបំពាននៅក្នុងថតគោលដៅត្រូវបានសរសេរជាន់លើផ្នែកអតិថិជននៅពេលចូលប្រើម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ បញ្ហាគឺថានៅពេលប្រើ scp ម៉ាស៊ីនមេសម្រេចចិត្តថាតើឯកសារនិងថតឯកសារណាដែលត្រូវផ្ញើទៅម៉ាស៊ីនភ្ញៀវហើយម៉ាស៊ីនភ្ញៀវគ្រាន់តែពិនិត្យមើលភាពត្រឹមត្រូវនៃឈ្មោះវត្ថុដែលបានត្រឡប់មកវិញ។ ការត្រួតពិនិត្យផ្នែកអតិថិជនត្រូវបានកំណត់ត្រឹមតែការទប់ស្កាត់ការធ្វើដំណើរហួសពីថតបច្ចុប្បន្ន (“../”) ប៉ុន្តែមិនគិតពីការផ្ទេរឯកសារដែលមានឈ្មោះខុសពីឯកសារដែលបានស្នើសុំដំបូងឡើយ។ ក្នុងករណីនៃការចម្លងឡើងវិញ (-r) បន្ថែមពីលើឈ្មោះឯកសារ អ្នកក៏អាចរៀបចំឈ្មោះនៃថតរងតាមវិធីស្រដៀងគ្នាដែរ។ ឧទាហរណ៍ ប្រសិនបើអ្នកប្រើប្រាស់ចម្លងឯកសារទៅថតផ្ទះ នោះម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារអាចបង្កើតឯកសារដែលមានឈ្មោះ .bash_aliases ឬ .ssh/authorized_keys ជំនួសឱ្យឯកសារដែលបានស្នើសុំ ហើយពួកវានឹងត្រូវបានរក្សាទុកដោយឧបករណ៍ប្រើប្រាស់ scp នៅក្នុងរបស់អ្នកប្រើប្រាស់។ ថតផ្ទះ។

  នៅក្នុងការចេញផ្សាយថ្មី ឧបករណ៍ប្រើប្រាស់ scp ត្រូវបានធ្វើបច្ចុប្បន្នភាពដើម្បីពិនិត្យមើលការឆ្លើយឆ្លងរវាងឈ្មោះឯកសារដែលបានស្នើសុំ និងឯកសារដែលផ្ញើដោយម៉ាស៊ីនមេ ដែលត្រូវបានអនុវត្តនៅផ្នែកអតិថិជន។ វាអាចបណ្តាលឱ្យមានបញ្ហាជាមួយនឹងដំណើរការរបាំង ដោយសារតួអក្សរពង្រីករបាំងអាចត្រូវបានដំណើរការខុសគ្នានៅលើផ្នែកម៉ាស៊ីនមេ និងម៉ាស៊ីនភ្ញៀវ។ ក្នុងករណីដែលភាពខុសគ្នាបែបនេះបណ្តាលឱ្យអតិថិជនឈប់ទទួលយកឯកសារនៅក្នុង scp ជម្រើស "-T" ត្រូវបានបន្ថែមដើម្បីបិទការត្រួតពិនិត្យផ្នែកអតិថិជន។ ដើម្បីកែបញ្ហាឱ្យបានពេញលេញ ដំណើរការឡើងវិញតាមគំនិតនៃពិធីការ scp គឺត្រូវបានទាមទារ ដែលខ្លួនវាហួសសម័យទៅហើយ ដូច្នេះវាត្រូវបានណែនាំឱ្យប្រើពិធីការទំនើបបន្ថែមទៀតដូចជា sftp និង rsync ជំនួសវិញ។

ប្រភព: opennet.ru