ការចេញផ្សាយ OpenSSH 8.7

បន្ទាប់ពីរយៈពេលបួនខែនៃការអភិវឌ្ឍន៍ ការចេញផ្សាយ OpenSSH 8.7 ដែលជាការអនុវត្តបើកចំហរបស់អតិថិជន និងម៉ាស៊ីនមេសម្រាប់ធ្វើការលើពិធីការ SSH 2.0 និង SFTP ត្រូវបានបង្ហាញ។

ការផ្លាស់ប្តូរសំខាន់ៗ៖

• របៀបផ្ទេរទិន្នន័យពិសោធន៍ត្រូវបានបន្ថែមទៅ scp ដោយប្រើពិធីការ SFTP ជំនួសឱ្យពិធីការ SCP/RCP ប្រពៃណី។ SFTP ប្រើវិធីសាស្ត្រគ្រប់គ្រងឈ្មោះដែលអាចព្យាករណ៍បានកាន់តែច្រើន និងមិនប្រើដំណើរការសែលនៃគំរូ glob នៅផ្នែកម្ខាងទៀតរបស់ host ដែលបង្កើតបញ្ហាសុវត្ថិភាព។ ដើម្បីបើក SFTP នៅក្នុង scp ទង់ "-s" ត្រូវបានស្នើឡើង ប៉ុន្តែនៅពេលអនាគត វាត្រូវបានគ្រោងនឹងប្តូរទៅពិធីការនេះតាមលំនាំដើម។
• sftp-server អនុវត្តផ្នែកបន្ថែមទៅពិធីការ SFTP ដើម្បីពង្រីក ~/ និង ~user/ paths ដែលចាំបាច់សម្រាប់ scp ។
• ឧបករណ៍ប្រើប្រាស់ scp បានផ្លាស់ប្តូរឥរិយាបទនៅពេលចម្លងឯកសាររវាងម៉ាស៊ីនពីចម្ងាយពីរ (ឧទាហរណ៍ "scp host-a:/path host-b:") ដែលឥឡូវនេះត្រូវបានធ្វើតាមលំនាំដើមតាមរយៈម៉ាស៊ីនមូលដ្ឋានកម្រិតមធ្យម ដូចជានៅពេលបញ្ជាក់ " - ទង់ជាតិ 3 "។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកជៀសវាងការបញ្ជូនព័ត៌មានដែលមិនចាំបាច់ទៅកាន់ម៉ាស៊ីនទីមួយ និងការបកស្រាយបីដងនៃឈ្មោះឯកសារនៅក្នុងសែល (នៅលើផ្នែកប្រភព ទិសដៅ និងប្រព័ន្ធមូលដ្ឋាន) ហើយនៅពេលប្រើ SFTP វាអនុញ្ញាតឱ្យអ្នកប្រើវិធីសាស្ត្រផ្ទៀងផ្ទាត់ទាំងអស់នៅពេលចូលប្រើពីចម្ងាយ។ hosts និងមិនមែនគ្រាន់តែជាវិធីសាស្រ្តមិនអន្តរកម្មប៉ុណ្ណោះទេ។ ជម្រើស "-R" ត្រូវបានបន្ថែមដើម្បីស្ដារឥរិយាបថចាស់។
• បានបន្ថែមការកំណត់ ForkAfterAuthentication ទៅ ssh ដែលត្រូវនឹងទង់ "-f" ។
• បានបន្ថែមការកំណត់ StdinNull ទៅ ssh ដែលត្រូវនឹងទង់ "-n" ។
• ការ​កំណត់ SessionType ត្រូវ​បាន​បន្ថែម​ទៅ ssh ដែល​តាម​រយៈ​នេះ​អ្នក​អាច​កំណត់​ម៉ូដ​ដែល​ត្រូវ​គ្នា​នឹង​ទង់ “-N” (គ្មាន​សម័យ) និង “-s” (ប្រព័ន្ធ​រង)។
• ssh-keygen អនុញ្ញាតឱ្យអ្នកបញ្ជាក់ចន្លោះពេលសុពលភាពគន្លឹះនៅក្នុងឯកសារគន្លឹះ។
• បានបន្ថែមទង់ "-Oprint-pubkey" ទៅ ssh-keygen ដើម្បីបោះពុម្ពសោសាធារណៈពេញលេញជាផ្នែកនៃហត្ថលេខា sshsig ។
• នៅក្នុង ssh និង sshd ទាំងម៉ាស៊ីនភ្ញៀវ និងម៉ាស៊ីនមេត្រូវបានផ្លាស់ទីទៅប្រើឧបករណ៍ញែកឯកសារកំណត់រចនាសម្ព័ន្ធតឹងរ៉ឹងជាងមុន ដែលប្រើច្បាប់ដូចសែលសម្រាប់ដោះស្រាយសម្រង់ ដកឃ្លា និងតួអក្សរគេច។ ឧបករណ៍ញែកថ្មីក៏មិនព្រងើយកន្តើយនឹងការសន្មត់ដែលបានធ្វើពីមុនដែរ ដូចជាការលុបអំណះអំណាងនៅក្នុងជម្រើស (ឧទាហរណ៍ ការណែនាំ DenyUsers មិនអាចទុកចោលបានទៀតទេ) សម្រង់ដែលមិនបិទជិត និងការបញ្ជាក់ច្រើន = តួអក្សរ។
• នៅពេលប្រើកំណត់ត្រា DNS របស់ SSHFP នៅពេលផ្ទៀងផ្ទាត់សោ ឥឡូវនេះ ssh ពិនិត្យមើលកំណត់ត្រាដែលត្រូវគ្នាទាំងអស់ មិនត្រឹមតែមានប្រភេទជាក់លាក់នៃហត្ថលេខាឌីជីថលប៉ុណ្ណោះទេ។
• នៅក្នុង ssh-keygen នៅពេលបង្កើតកូនសោ FIDO ជាមួយនឹងជម្រើស -Ochallenge ស្រទាប់ដែលភ្ជាប់មកជាមួយឥឡូវនេះត្រូវបានប្រើសម្រាប់ការ hash ជាជាង libfido2 ដែលអនុញ្ញាតឱ្យប្រើលំដាប់បញ្ហាប្រឈមធំជាង ឬតូចជាង 32 បៃ។
• នៅក្នុង sshd នៅពេលដំណើរការបរិស្ថាន = "..." ការណែនាំនៅក្នុងឯកសារ authorized_keys ការផ្គូផ្គងដំបូងត្រូវបានទទួលយកឥឡូវនេះ ហើយមានដែនកំណត់នៃឈ្មោះអថេរបរិស្ថានចំនួន 1024 ។

អ្នកអភិវឌ្ឍន៍ OpenSSH ក៏បានព្រមានអំពីការរលាយនៃក្បួនដោះស្រាយដោយប្រើសញ្ញា SHA-1 ដោយសារតែការបង្កើនប្រសិទ្ធភាពនៃការវាយប្រហារដោយការប៉ះទង្គិចជាមួយនឹងបុព្វបទដែលបានផ្តល់ឱ្យ (តម្លៃនៃការជ្រើសរើសការប៉ះទង្គិចមួយត្រូវបានប៉ាន់ស្មានប្រហែល 50 ពាន់ដុល្លារ) ។ នៅក្នុងការចេញផ្សាយបន្ទាប់ យើងមានគម្រោងបិទតាមលំនាំដើមនូវលទ្ធភាពប្រើប្រាស់ក្បួនដោះស្រាយហត្ថលេខាឌីជីថលសាធារណៈ "ssh-rsa" ដែលត្រូវបានលើកឡើងនៅក្នុង RFC ដើមសម្រាប់ពិធីការ SSH ហើយនៅតែត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយក្នុងការអនុវត្ត។

ដើម្បីសាកល្បងការប្រើប្រាស់ ssh-rsa នៅលើប្រព័ន្ធរបស់អ្នក អ្នកអាចសាកល្បងភ្ជាប់តាមរយៈ ssh ជាមួយនឹងជម្រើស “-oHostKeyAlgorithms=-ssh-rsa”។ ក្នុងពេលជាមួយគ្នានេះ ការបិទហត្ថលេខាឌីជីថល "ssh-rsa" តាមលំនាំដើមមិនមានន័យថាការបោះបង់ចោលទាំងស្រុងនៃការប្រើប្រាស់គ្រាប់ចុច RSA នោះទេ ចាប់តាំងពីបន្ថែមពីលើ SHA-1 ពិធីការ SSH អនុញ្ញាតឱ្យប្រើក្បួនដោះស្រាយការគណនាសញ្ញាផ្សេងទៀត។ ជាពិសេស បន្ថែមពីលើ “ssh-rsa” វានឹងនៅតែអាចប្រើកញ្ចប់ “rsa-sha2-256” (RSA/SHA256) និង “rsa-sha2-512” (RSA/SHA512)។

ដើម្បីសម្រួលការផ្លាស់ប្តូរទៅក្បួនដោះស្រាយថ្មី OpenSSH ពីមុនមានការកំណត់ UpdateHostKeys ត្រូវបានបើកតាមលំនាំដើម ដែលអនុញ្ញាតឱ្យអតិថិជនប្តូរដោយស្វ័យប្រវត្តិទៅក្បួនដោះស្រាយដែលអាចទុកចិត្តបាន។ ដោយប្រើការកំណត់នេះ ផ្នែកបន្ថែមពិធីការពិសេសត្រូវបានបើកដំណើរការ “[អ៊ីមែលការពារ]", អនុញ្ញាតឱ្យម៉ាស៊ីនមេ, បន្ទាប់ពីការផ្ទៀងផ្ទាត់, ជូនដំណឹងដល់អតិថិជនអំពីសោម៉ាស៊ីនដែលមានទាំងអស់។ ម៉ាស៊ីនភ្ញៀវអាចឆ្លុះបញ្ចាំងពីសោទាំងនេះនៅក្នុងឯកសារ ~/.ssh/known_hosts របស់វា ដែលអនុញ្ញាតឱ្យធ្វើបច្ចុប្បន្នភាពសោម៉ាស៊ីន និងធ្វើឱ្យវាកាន់តែងាយស្រួលក្នុងការផ្លាស់ប្តូរសោនៅលើម៉ាស៊ីនមេ។

ការប្រើប្រាស់ UpdateHostKeys ត្រូវបានកំណត់ដោយការព្រមានជាច្រើនដែលអាចត្រូវបានដកចេញនៅពេលអនាគត៖ គន្លឹះត្រូវតែត្រូវបានយោងនៅក្នុង UserKnownHostsFile និងមិនត្រូវបានប្រើប្រាស់នៅក្នុង GlobalKnownHostsFile ទេ។ សោត្រូវតែមានវត្តមាននៅក្រោមឈ្មោះតែមួយ។ វិញ្ញាបនបត្រសោម៉ាស៊ីនមិនគួរត្រូវបានប្រើទេ។ នៅក្នុង របាំងដែលគេស្គាល់_hosts តាមឈ្មោះម៉ាស៊ីន មិនគួរត្រូវបានប្រើទេ។ ការកំណត់ VerifyHostKeyDNS ត្រូវតែបិទ។ ប៉ារ៉ាម៉ែត្រ UserKnownHostsFile ត្រូវតែសកម្ម។

ក្បួនដោះស្រាយដែលបានណែនាំសម្រាប់ការធ្វើចំណាកស្រុករួមមាន rsa-sha2-256/512 ផ្អែកលើ RFC8332 RSA SHA-2 (គាំទ្រតាំងពី OpenSSH 7.2 និងប្រើតាមលំនាំដើម) ssh-ed25519 (គាំទ្រតាំងពី OpenSSH 6.5) និង ecdsa-sha2-nisp256/384/521 នៅលើ RFC5656 ECDSA (គាំទ្រតាំងពី OpenSSH 5.7)។

ប្រភព: opennet.ru