αααααΆααααΈααααααααααΆαααααααΆαα’αα·αααααα ααΆαα ααααααΆα OpenSSH 8.5 αααααΆααΆαα’αα»ααααααΎαα αα ααααα’αα·αα·αα αα·ααααΆαααΈααααααααΆααααααΎααΆαααΎαα·ααΈααΆα SSH 2.0 αα·α SFTP ααααΌαααΆααααα αΆαα
α’αααα’αα·αααααα OpenSSH ααΆαααααΉαααΎαα’αααΈααΆααα»αα αααααα½ααααααααΆαααΆαααααΆααα»ααααααααΎαααααΆ SHA-1 αααααΆαααΆααααααΎαααααα·αααααΆαααααΆαααΆααααα αΆααααααΆααααααααα·α ααΆαα½αααΉααα»ααααααααααΆααααααα±αα (αααααααααΆαααααΎαααΎαααΆααααααααα·α ααααΆααααΌαααΆααααΆααααααΆααααα αα $50)α αα αααα»αααΆαα ααααααΆαααΆαααααΆααα»α αα½αααααΆααααααααα·αααΆαααααΆαααΎαααΌαααααααΆαααααΎααααΆαα "ssh-rsa" public key signature algorithm αααααααΌαααΆαααΎαα‘αΎααα αααα»α RFC ααΎααααααΆαααα·ααΈααΆα SSH α αΎααα ααααΈαααΆαααΆααα αααα»αααΆαα’αα»ααααα
ααΎααααΈααΆαααααααΆαααααΎααααΆαα ssh-rsa αα ααΎααααααααααααα’ααα α’αααα’αΆα ααΆαααααααααΆααααΆαααα ssh ααΆαα½αααΉααααααΎα β-oHostKeyAlgorithms=-ssh-rsaβα αααα»ααααααΆαα½αααααΆααα ααΆααα·αα αααααααΆααΈααΈαα "ssh-rsa" ααΆαααααΆαααΎααα·αααΆααααααΆααΆαααααααα ααααΆαααααα»αααααΆαααααΎααααΆααααααΆααα α»α RSA ααααα α αΆααααΆααααΈααααααααΈααΎ SHA-1 αα·ααΈααΆα SSH α’αα»ααααΆαα±ααααααΎαααα½ααααααααΆαααΆαααααΆαααααΆααααααααα ααΆαα·ααα ααααααααΈααΎ βssh-rsaβ ααΆααΉααα ααα’αΆα ααααΎαααα αα βrsa-sha2-256β (RSA/SHA256) αα·α βrsa-sha2-512β (RSA/SHA512)α
ααΎααααΈααααα½αααΆαααααΆααααααΌααα ααΆαααααα½ααααααααΆαααααΈ OpenSSH 8.5 ααΆαααΆαααααα UpdateHostKeys αααααααΌαααΆαααΎαααΆαααααΆαααΎα αααα’αα»ααααΆαα±ααα’αα·αα·ααααααΌααααααααααααααααα·αα αααα½ααααααααΆααααα’αΆα αα»αα α·αααααΆαα αααααααΎααΆααααααααα ααααααααααααα·ααΈααΆααα·αααααααΌαααΆαααΎαααααΎαααΆα β[α’ααΈαααααΆαααΆα]", α’αα»ααααΆαα±αααααΆαααΈααα, αααααΆααααΈααΆααααααααααΆαα, ααΌαααααΉααααα’αα·αα·ααα’αααΈαααααΆαααΈααααααΆαααΆααα’ααα αααΆαααΈααααααα’αΆα αααα»ααααα αΆααααΈααααΆααααααα αααα»αα―αααΆα ~/.ssh/known_hosts ααααααΆ αααα’αα»ααααΆαα±ααααααΎαα αα α»ααααααααΆααααααΆαααΈα αα·αααααΎα±ααααΆααΆααααααΆααααα½ααααα»αααΆαααααΆααααααΌααααα ααΎαααΆαααΈαααα
ααΆαααααΎααααΆαα UpdateHostKeys ααααΌαααΆαααααααααααΆααααααΆαααΆα αααΎααααα’αΆα ααααΌαααΆαααα αααα αααα’ααΆααα αααααΉαααααΌαααααααΌαααΆαααααα αααα»α UserKnownHostsFile αα·ααα·αααααΌαααΆαααααΎααααΆαααα αααα»α GlobalKnownHostsFile ααα ααααααΌαααααΆαααααααΆααα αααααααααααααα½αα αα·ααααΆαααααααααααΆαααΈααα·ααα½αααααΌαααΆαααααΎααα αα αααα»α αααΆαααααααααααΆαα_hosts ααΆαααααααααΆαααΈα αα·ααα½αααααΌαααΆαααααΎααα ααΆαααααα VerifyHostKeyDNS ααααΌααααα·αα αααΆαααΆαααααα UserKnownHostsFile ααααΌααααααααα
αααα½ααααααααΆααααααΆαααααΆααααααΆααααΆαααααΎα αααΆααααα»ααα½αααΆα rsa-sha2-256/512 ααα’ααααΎ RFC8332 RSA SHA-2 (ααΆααααααΆααααΈ OpenSSH 7.2 αα·αααααΎααΆαααααΆαααΎα) ssh-ed25519 (ααΆααααααΆααααΈ OpenSSH 6.5) αα·α ecdsa-sha2-nisp256/384/521 αα ααΎ RFC5656 ECDSA (ααΆααααααΆααααΈ OpenSSH 5.7)α
ααΆαααααΆααααααΌαααααααααα
- ααΆαααααΆααααααΌααα»ααααα·ααΆαα
- ααΆαααΆααααααααααααααααΆαααααΈααΆαααααααααααα’αααα αα αΆααααααΆααααααααα½α α αΎαα‘αΎααα·α (αα·ααα·αααααααΈααα) ααααΌαααΆααα½ααα»ααα αααα»αααααΆααααΆα ssh α αααα αΆαααααΆαααααααΆαααΆααααΈααΆαα ααααααΆα OpenSSH 8.2 α αΎαα’αΆα ααααΌαααΆαααααααααααααα ααααα·αααΎα’αααααΆααααα αΆαααΆααα·αααα·α αΌααα ααΆαααααα ssh-agent αα ααΎααααααααααΌαααααΆαα α’αααΈαααααααΎα±ααααΆαααααααααααα ααΆαααααα·ααΆααααααΊααΆααα root αα·αα’αααααααΎααααΆααααΎαααα»ααααααααααΆααα·αααα·α αΌαααααΎααααα ααααΆααΈαααΌααααΆαααΆααααα αΆαααααααααααα»αααΊααΆααααΆααααΆαααααΌαααΆααααααΌααααααα ααΆααααααΈαααααααΌαααΆαααααααααααααα’αααααΆααααα αΆα α¬αα ααΆαααααΆαααΈααααα’αααααΆααααα αΆαααΆααα·αααα·ααΆ root α
- sshd ααΆαααααααααΆαααΆαααΆααααααΆααααΉαααΆαααααααΆαααααΆαααΆαααααααααααααα»αααΆαα½αααΉααααααα’αααααααΎααααΆαααα ααΆαααααααααααα PAM αααα’αα»ααααΆαα±ααα’ααααααααααΆααααΆαααΆαααααααααα αααα»ααααΌαα»ααααααααα PAM (Pluggable Authentication Module) α α§ααΆα ααα ααΆαααααΆααααααΌαααΆααΆαα sshd ααΈααΆαααααΎααααΆααααΆααα·α ααα ααΎααααΈααΆαααααΆαααΆααααααααααΆ root αααααΆαααααΎαααααΈαααααα αααα»α Solaris (CVE-2020-14871) α
- ααΆαααααΆααααααΌαααΆαααααααΆαααα’αΆα
αααααααΆαα
- αα αααα»α ssh αα·α sshd αα·ααΈααΆαααααααααΆααααααΌααααα·ααααααα½αααααΌαααΆααα ααΆα‘αΎααα·α ααααααααΉαααΆαααααΆααα ααΎαα»αααααΌααα quantum α αα»αααααΌααα Quantum ααΆαααΆααα αααα α½ααααα»αααΆααααααααΆααααα αΆααααΆαααααααααααααααααΆαα·αα ααΆαααααΆα αααα αααααααααααΌααααα½ααααααααΆαααΆαα’αα·αααααΈααααααααΎα αα·ααα·αα’αΆα αααααααΆαααΆααααΆαααΆαααααα·αααααΆαααΎααααααααααααΎαααΆααα»ααΆαα αα·ααΈααΆααααααααααΆαααααΎααΊααα’ααααΎαααα½ααααααααΆα NTRU Prime ααααααααΎαα‘αΎααααααΆααααααααααααααΈαααΌαααααααααΌααΌα αα·ααα·ααΈααΆαααααααααΌααααααααααααΆαα’αααΈα X25519α αααα½αβα’αα [α’ααΈαααααΆαααΆα] αα·ααΈααΆααααααααααααΌαααΆααααααααΆααΆ [α’ααΈαααααΆαααΆα] (αααα½ααααααααΆα sntrup4591761 ααααΌαααΆααααα½αααα sntrup761) α
- αα αααα»α ssh αα·α sshd ααααΆαααααααΆαααααααα½ααααααααΆαα αααααααΆααΈααΈααααααΌαααΆααααααΆαααααΌαααΆαααααΆααααααΌαα ED25519 α₯α‘αΌααααααααΌαααΆααααααααΌαααΆααΎαααααΌααααα½αα±αα ECDSA α
- αα αααα»α ssh αα·α sshd ααΆαααααααα»αααΆα TOS/DSCP αααααΆαααΆααααααααααΆαααααααααΆααααααα’ααααααααα₯α‘αΌααααααααΌαααΆαααααΎαα»αααααααααΎαααΆααααααΆαα TCP α
- ααΆαααΆαααα Cipher ααααΌαααΆααααααααα αααα»α ssh αα·α sshd [α’ααΈαααααΆαααΆα]αααααΌα ααααΆααααα·ααα ααΉα aes256-cbc α αΎαααααΌαααΆαααααααΎαα»αααα RFC-4253 ααααΌαααΆαα’αα»αααα
- ααΆαααααΆαααΎα αααΆαααΆαααααα CheckHostIP ααααΌαααΆααα·α α’αααααααααααααααααΆααΆαααα ααααΈααααααααα αα ααα»ααααααΆαααααΎααααΆααααααααΆααααΎα±αααααα»αααααΆααααααΆαααααα·αααααΆααα α»α αααααΆαααααΆαααΈαααααα ααΈαααααααΆααααα»ααα»αααααΆαα
- ααΆαααααα PerSourceMaxStartups αα·α PerSourceNetBlockSize ααααΌαααΆααααααααα sshd ααΎααααΈαααααα’αΆααααααααΈααααααΆαααΎαααααΎαααΆααααααα·ααΈαααααααΆααααααα’ααααΎα’αΆααααααΆαα’αα·αα·ααα αααΆαααΆααααααααΆαααααα’αα»ααααΆαα±ααα’ααααααααααααααααααααααΎααΆαα αΆααααααΎαααααΎαααΆαααΆααααΆαααααα αα ααΎαααααααααα ααΉαααΆαααααα MaxStartups ααΌαα α
- ααΆαααααα LogVerbose ααααΈααααΌαααΆααααααααα ssh αα·α sshd αααα’αα»ααααΆαα±ααα’ααααααααΎαααααα·αααααααααΆαααααΆααααα α»ααααααΆααααα αααα αααα»ααααααα ααα»αααααααα αααααΆααααααααΆαααααααΆαααααΌ αα»αααΆα αα·αα―αααΆαα
- αα αααα»α ssh αα αααααα½ααααααααΆαααΈαααααΈ ααααααααΆαααΈα αα·αα’αΆααααααΆα IP ααΆααα’αααααααααΆααααΆαα½αααααααΌαααΆααααα αΆαα
- ssh α’αα»ααααΆαα±αααααααΎα UserKnownHostsFile=none ααΎααααΈαα·αααΆαααααΎααααΆααα―αααΆα know_hosts αα ααααααααα’ααααααααΆα host key α
- ααΆαααααα KnownHostsCommand ααααΌαααΆααααααααα ssh_config αααααΆαα ssh αααα’αα»ααααΆαα±ααα’αααααα½αααΆααα·αααααα know_hosts ααΈααααααααααΆααααααααΆαααααΆααααααΆααα
- ααΆααααααααααααΎα PermitRemoteOpen αα ssh_config αααααΆαα ssh ααΎααααΈα’αα»ααααΆαα±ααα’αααααΆααααααα·αααααα αα αααααααΎαααααΎα RemoteForward ααΆαα½α SOCKS α
- αα αααα»α ssh αααααΆαααα FIDO ααααΎααΌα PIN ααααα αΎααααααααααααΌαααΆααααααααΌααααα»αααααΈααΆαααΆααααΆαααααααααα·ααααα·ααΆαα αααααααΆααΈααΈαα αααααΆααααααΌα PIN αα·αααααΉαααααΌα α αΎαα’αααααααΎααααΆαααα·αααααΌαααΆααααα½αααααααααααΆαα (α§ααΆα ααα αα αααααααα·ααααααααΈαααΆαααααααΉαααααΌααα·αα’αΆα ααα½αααΆα αα·α α§αααααααΆααααααααα ααΆααααα αΌαααααααααΆααααααα)α
- sshd ααααααααΆαααΆαααααααααΆααααΆαα α αααααααααααααααα ααααααΆαα―ααααααΎαααΆαααα’ααααΎ seccomp-bpf αα ααΎααΈαα»α α
- α§αααααααααΎααααΆαα contrib/ssh-copy-id ααααΌαααΆαααααΎαα αα α»ααααααααΆαα
ααααα: opennet.ru