ការចេញផ្សាយ OpenSSH 8.5

បន្ទាប់ពីរយៈពេលប្រាំខែនៃការអភិវឌ្ឍន៍ ការចេញផ្សាយ OpenSSH 8.5 ដែលជាការអនុវត្តបើកចំហរបស់អតិថិជន និងម៉ាស៊ីនមេសម្រាប់ធ្វើការលើពិធីការ SSH 2.0 និង SFTP ត្រូវបានបង្ហាញ។

អ្នកអភិវឌ្ឍន៍ OpenSSH បានរំលឹកយើងអំពីការលុបចោលក្បួនដោះស្រាយនាពេលខាងមុខដោយប្រើសញ្ញា SHA-1 ដោយសារការបង្កើនប្រសិទ្ធភាពនៃការវាយប្រហារដោយការប៉ះទង្គិចជាមួយនឹងបុព្វបទដែលបានផ្តល់ឱ្យ (តម្លៃនៃការជ្រើសរើសការប៉ះទង្គិចគ្នាត្រូវបានប៉ាន់ស្មានប្រហែល $50)។ នៅក្នុងការចេញផ្សាយនាពេលខាងមុខ ពួកគេមានគម្រោងបិទតាមលំនាំដើមនូវលទ្ធភាពប្រើប្រាស់ "ssh-rsa" public key signature algorithm ដែលត្រូវបានលើកឡើងនៅក្នុង RFC ដើមសម្រាប់ពិធីការ SSH ហើយនៅតែរីករាលដាលនៅក្នុងការអនុវត្ត។

ដើម្បីសាកល្បងការប្រើប្រាស់ ssh-rsa នៅលើប្រព័ន្ធរបស់អ្នក អ្នកអាចសាកល្បងភ្ជាប់តាមរយៈ ssh ជាមួយនឹងជម្រើស “-oHostKeyAlgorithms=-ssh-rsa”។ ក្នុងពេលជាមួយគ្នានេះ ការបិទហត្ថលេខាឌីជីថល "ssh-rsa" តាមលំនាំដើមមិនមានន័យថាការបោះបង់ចោលទាំងស្រុងនៃការប្រើប្រាស់គ្រាប់ចុច RSA នោះទេ ចាប់តាំងពីបន្ថែមពីលើ SHA-1 ពិធីការ SSH អនុញ្ញាតឱ្យប្រើក្បួនដោះស្រាយការគណនាសញ្ញាផ្សេងទៀត។ ជាពិសេស បន្ថែមពីលើ “ssh-rsa” វានឹងនៅតែអាចប្រើកញ្ចប់ “rsa-sha2-256” (RSA/SHA256) និង “rsa-sha2-512” (RSA/SHA512)។

ដើម្បីសម្រួលការផ្លាស់ប្តូរទៅកាន់ក្បួនដោះស្រាយថ្មី OpenSSH 8.5 មានការកំណត់ UpdateHostKeys ដែលត្រូវបានបើកតាមលំនាំដើម ដែលអនុញ្ញាតឱ្យអតិថិជនប្តូរដោយស្វ័យប្រវត្តិទៅក្បួនដោះស្រាយដែលអាចទុកចិត្តបាន។ ដោយប្រើការកំណត់នេះ ផ្នែកបន្ថែមពិធីការពិសេសត្រូវបានបើកដំណើរការ “[អ៊ីមែលការពារ]", អនុញ្ញាតឱ្យម៉ាស៊ីនមេ, បន្ទាប់ពីការផ្ទៀងផ្ទាត់, ជូនដំណឹងដល់អតិថិជនអំពីសោម៉ាស៊ីនដែលមានទាំងអស់។ ម៉ាស៊ីនភ្ញៀវអាចឆ្លុះបញ្ចាំងពីសោទាំងនេះនៅក្នុងឯកសារ ~/.ssh/known_hosts របស់វា ដែលអនុញ្ញាតឱ្យធ្វើបច្ចុប្បន្នភាពសោម៉ាស៊ីន និងធ្វើឱ្យវាកាន់តែងាយស្រួលក្នុងការផ្លាស់ប្តូរសោនៅលើម៉ាស៊ីនមេ។

ការប្រើប្រាស់ UpdateHostKeys ត្រូវបានកំណត់ដោយការព្រមានជាច្រើនដែលអាចត្រូវបានដកចេញនៅពេលអនាគត៖ គន្លឹះត្រូវតែត្រូវបានយោងនៅក្នុង UserKnownHostsFile និងមិនត្រូវបានប្រើប្រាស់នៅក្នុង GlobalKnownHostsFile ទេ។ សោត្រូវតែមានវត្តមាននៅក្រោមឈ្មោះតែមួយ។ វិញ្ញាបនបត្រសោម៉ាស៊ីនមិនគួរត្រូវបានប្រើទេ។ នៅក្នុង របាំងដែលគេស្គាល់_hosts តាមឈ្មោះម៉ាស៊ីន មិនគួរត្រូវបានប្រើទេ។ ការកំណត់ VerifyHostKeyDNS ត្រូវតែបិទ។ ប៉ារ៉ាម៉ែត្រ UserKnownHostsFile ត្រូវតែសកម្ម។

ក្បួនដោះស្រាយដែលបានណែនាំសម្រាប់ការធ្វើចំណាកស្រុករួមមាន rsa-sha2-256/512 ផ្អែកលើ RFC8332 RSA SHA-2 (គាំទ្រតាំងពី OpenSSH 7.2 និងប្រើតាមលំនាំដើម) ssh-ed25519 (គាំទ្រតាំងពី OpenSSH 6.5) និង ecdsa-sha2-nisp256/384/521 នៅលើ RFC5656 ECDSA (គាំទ្រតាំងពី OpenSSH 5.7)។

ការផ្លាស់ប្តូរផ្សេងទៀត៖

• ការផ្លាស់ប្តូរសុវត្ថិភាព៖
  • ភាពងាយរងគ្រោះដែលបណ្តាលមកពីការរំដោះតំបន់អង្គចងចាំដែលបានដោះលែងរួចហើយឡើងវិញ (មិនគិតថ្លៃពីរដង) ត្រូវបានជួសជុលនៅក្នុងភ្នាក់ងារ ssh ។ បញ្ហានេះមានវត្តមានតាំងពីការចេញផ្សាយ OpenSSH 8.2 ហើយអាចត្រូវបានគេកេងប្រវ័ញ្ចប្រសិនបើអ្នកវាយប្រហារមានសិទ្ធិចូលទៅកាន់រន្ធ ssh-agent នៅលើប្រព័ន្ធមូលដ្ឋាន។ អ្វីដែលធ្វើឱ្យការកេងប្រវ័ញ្ចកាន់តែពិបាកនោះគឺមានតែ root និងអ្នកប្រើប្រាស់ដើមប៉ុណ្ណោះដែលមានសិទ្ធិចូលប្រើរន្ធ។ សេណារីយ៉ូនៃការវាយប្រហារដែលទំនងបំផុតគឺថាភ្នាក់ងារត្រូវបានបញ្ជូនបន្តទៅកាន់គណនីដែលត្រូវបានគ្រប់គ្រងដោយអ្នកវាយប្រហារ ឬទៅកាន់ម៉ាស៊ីនដែលអ្នកវាយប្រហារមានសិទ្ធិជា root ។
  • sshd បានបន្ថែមការការពារប្រឆាំងនឹងការឆ្លងកាត់ប៉ារ៉ាម៉ែត្រដ៏ធំបំផុតជាមួយនឹងឈ្មោះអ្នកប្រើប្រាស់ទៅកាន់ប្រព័ន្ធរង PAM ដែលអនុញ្ញាតឱ្យអ្នកទប់ស្កាត់ភាពងាយរងគ្រោះនៅក្នុងម៉ូឌុលប្រព័ន្ធ PAM (Pluggable Authentication Module) ។ ឧទាហរណ៍ ការផ្លាស់ប្តូររារាំង sshd ពីការប្រើប្រាស់ជាវ៉ិចទ័រ ដើម្បីទាញយកភាពងាយរងគ្រោះជា root ដែលបានរកឃើញថ្មីៗនេះនៅក្នុង Solaris (CVE-2020-14871) ។
• ការផ្លាស់ប្តូរភាពឆបគ្នាដែលអាចបំបែកបាន៖
  • នៅក្នុង ssh និង sshd វិធីសាស្ត្រផ្លាស់ប្តូរសោពិសោធន៍មួយត្រូវបានរចនាឡើងវិញ ដែលធន់នឹងការស្មាននៅលើកុំព្យូទ័រ quantum ។ កុំព្យូទ័រ Quantum មានភាពរហ័សរហួនក្នុងការដោះស្រាយបញ្ហានៃការបំប្លែងលេខធម្មជាតិទៅជាកត្តាចម្បង ដែលបង្កប់នូវក្បួនដោះស្រាយការអ៊ិនគ្រីបបែបទំនើប និងមិនអាចដោះស្រាយបានយ៉ាងមានប្រសិទ្ធភាពលើប្រព័ន្ធដំណើរការបុរាណ។ វិធីសាស្រ្តដែលបានប្រើគឺផ្អែកលើក្បួនដោះស្រាយ NTRU Prime ដែលបង្កើតឡើងសម្រាប់ប្រព័ន្ធគ្រីបតូក្រោយឃ្យូថូម និងវិធីសាស្ត្រប្តូរសោខ្សែកោងរាងអេលីប X25519។ ជំនួស​អោយ [អ៊ីមែលការពារ] វិធីសាស្រ្តនេះត្រូវបានកំណត់ថាជា [អ៊ីមែលការពារ] (ក្បួនដោះស្រាយ sntrup4591761 ត្រូវបានជំនួសដោយ sntrup761) ។
  • នៅក្នុង ssh និង sshd លំដាប់ដែលគាំទ្រក្បួនដោះស្រាយហត្ថលេខាឌីជីថលត្រូវបានប្រកាសត្រូវបានផ្លាស់ប្តូរ។ ED25519 ឥឡូវនេះត្រូវបានផ្តល់ជូនជាលើកដំបូងជំនួសឱ្យ ECDSA ។
  • នៅក្នុង ssh និង sshd ការកំណត់គុណភាព TOS/DSCP នៃប៉ារ៉ាម៉ែត្រសេវាកម្មសម្រាប់វគ្គអន្តរកម្មឥឡូវនេះត្រូវបានធ្វើមុនពេលបង្កើតការតភ្ជាប់ TCP ។
  • ការគាំទ្រ Cipher ត្រូវបានបញ្ឈប់នៅក្នុង ssh និង sshd [អ៊ីមែលការពារ]ដែលដូចគ្នាបេះបិទទៅនឹង aes256-cbc ហើយត្រូវបានគេប្រើមុនពេល RFC-4253 ត្រូវបានអនុម័ត។
  • តាមលំនាំដើម ប៉ារ៉ាម៉ែត្រ CheckHostIP ត្រូវបានបិទ អត្ថប្រយោជន៍របស់វាមានសេចក្តីធ្វេសប្រហែស ប៉ុន្តែការប្រើប្រាស់របស់វាធ្វើឱ្យស្មុគស្មាញដល់ការបង្វិលគ្រាប់ចុចសម្រាប់ម៉ាស៊ីនដែលនៅពីក្រោយការផ្ទុកតុល្យភាព។
• ការកំណត់ PerSourceMaxStartups និង PerSourceNetBlockSize ត្រូវបានបន្ថែមទៅ sshd ដើម្បីកំណត់អាំងតង់ស៊ីតេនៃការបើកដំណើរការកម្មវិធីដោះស្រាយដោយផ្អែកលើអាសយដ្ឋានអតិថិជន។ ប៉ារ៉ាម៉ែត្រទាំងនេះអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងដែនកំណត់លើការចាប់ផ្តើមដំណើរការបានយ៉ាងម៉ត់ចត់ បើប្រៀបធៀបទៅនឹងការកំណត់ MaxStartups ទូទៅ។
• ការកំណត់ LogVerbose ថ្មីត្រូវបានបន្ថែមទៅ ssh និង sshd ដែលអនុញ្ញាតឱ្យអ្នកបង្កើនកម្រិតនៃព័ត៌មានបំបាត់កំហុសដែលបានបោះចោលទៅក្នុងកំណត់ហេតុដោយបង្ខំ ដោយមានសមត្ថភាពត្រងតាមគំរូ មុខងារ និងឯកសារ។
• នៅក្នុង ssh នៅពេលទទួលយកសោម៉ាស៊ីនថ្មី ឈ្មោះម៉ាស៊ីន និងអាសយដ្ឋាន IP ទាំងអស់ដែលភ្ជាប់ជាមួយសោត្រូវបានបង្ហាញ។
• ssh អនុញ្ញាតឱ្យជម្រើស UserKnownHostsFile=none ដើម្បីបិទការប្រើប្រាស់ឯកសារ know_hosts នៅពេលកំណត់អត្តសញ្ញាណ host key ។
• ការកំណត់ KnownHostsCommand ត្រូវបានបន្ថែមទៅ ssh_config សម្រាប់ ssh ដែលអនុញ្ញាតឱ្យអ្នកទទួលបានទិន្នន័យ know_hosts ពីលទ្ធផលនៃពាក្យបញ្ជាដែលបានបញ្ជាក់។
• បានបន្ថែមជម្រើស PermitRemoteOpen ទៅ ssh_config សម្រាប់ ssh ដើម្បីអនុញ្ញាតឱ្យអ្នកដាក់កម្រិតគោលដៅនៅពេលប្រើជម្រើស RemoteForward ជាមួយ SOCKS ។
• នៅក្នុង ssh សម្រាប់សោ FIDO សំណើកូដ PIN ម្តងហើយម្តងទៀតត្រូវបានផ្តល់ជូនក្នុងករណីមានការបរាជ័យនៃប្រតិបត្តិការហត្ថលេខាឌីជីថល ដោយសារលេខកូដ PIN មិនត្រឹមត្រូវ ហើយអ្នកប្រើប្រាស់មិនត្រូវបានគេសួររកលេខសម្ងាត់ (ឧទាហរណ៍ នៅពេលដែលទិន្នន័យជីវមាត្រត្រឹមត្រូវមិនអាចទទួលបាន និង ឧបករណ៍បានត្រលប់ទៅការបញ្ចូលលេខសម្ងាត់ដោយដៃ)។
• sshd បន្ថែមការគាំទ្រសម្រាប់ការហៅប្រព័ន្ធបន្ថែមទៅយន្តការឯកោដំណើរការផ្អែកលើ seccomp-bpf នៅលើលីនុច។
• ឧបករណ៍ប្រើប្រាស់ contrib/ssh-copy-id ត្រូវបានធ្វើបច្ចុប្បន្នភាព។

ប្រភព: opennet.ru