αααααΆααααΈαα½αααααααΆαα’αα·αααααα
ααΆααααααα’αααααΉααααα»αααΆαα
ααααααΆα OpenSSH 8.2 ααΊααΆαααααααΆααααα»αααΆαααααΎααααΆααααΆααααααααααΆααααΈααααααΆαααααααΎα§ααααααααααΆαααααα·ααΈααΆα
ααΎααααΈααααΎα’ααααααααααΆαα½αα§αααααααααααααΆααααΈααααααΆαααααα’αααααααΎααααΆαα αααααααααααΉαααααΈ βecdsa-skβ αα·α βed25519-skβ ααααΌαααΆααααααααα
OpenSSH αααααααΎαααα½ααααααααΆαα αααααααΆααΈααΈαα ECDSA αα·α Ed25519 αα½αααααααΆαα½ααααααΆ SHA-256 α ααΈαα·αα·ααΈαααααΆααα’ααααααααααΆαα½ααααααΆαααααΆααααααΌαααΆαααΆαααααα»ααααααΆαααααααα·αααααα αααααααΌαααΆααααα»αααΆαααααααααααααααΆαα
ααΉααααααΆααααααααΆααααΆαααΆαααα PKCS#11 αα·αααΆαααααΆααα»ααα
αααααααΆαααΎαααααααΆαααα
ααΎααααΈαααααααααΆαα αα·ααααααΎαααΌααα α’αααααααΌααααααααΆαααααΆαααΆαααααα "SecurityKeyProvider" αα
αααα»αααΆαααααα α¬αααααα’αααααα·ααααΆα SSH_SK_PROVIDER ααααααα αΆαααααΌααα
ααΆαααααααΆαααααΆααααα
libsk-libfido2.so (ααΆαα
αα SSH_SK_PROVIDER=/path/to/libsk-libfido2α ααΌα
αααα) ααΆα’αΆα
αα
αα½α
αααα»αααΆαααΆαααα openssh αααααΆαααΆαααΆαααααααααααΆααααααΆαα½ααααααΆαααααααΆααααααααΆαα (--with-security-key-builtin) αααα»αααααΈαααα’αααααααΌαααααααααΆαααΆαααααα "SecurityKeyProvider=internal" α
αααααΆααα’αααααααΌαααααΎαααΆα βssh-keygen -t ecdsa-skβ α¬ααααα·αααΎααααααΌαααΆααααααΎα αα·αααααααα
ααΆαααααααααα½α
α αΎα ααΌαααααΆαααα
αααΆαααΈααααααααααΎ βsshβα αα
αααα’αααααααΎαααΆα ssh-keygen ααΌαααααααΆααααααΎαααΉαααααΌαααΆααααααΆαα»ααααα»α β~/.ssh/id_ecdsa_skβ α αΎαα’αΆα
ααααΎααΌα
ααααΆαα
ααΉαααααααααααα
ααααΆααΆααα (id_ecdsa_sk.pub) αα½αααααααΌαααΆαα αααααα αααΆαααΈααααα αααα»αα―αααΆα authorized_keys α αα ααΎααααααααΆαααΈααα ααΆαααα αααααααΆααΈααΈααααα»ααααααααααααΌαααΆααααααααααΆαα α αΎαα’ααααααααααΆαα½ααααααΆαααααΆααααααΌαααΆαα’αα»αααααα ααΆαα’αα·αα·αα (α’ααααα·αα αΆαααΆα αααα‘αΎα libsk-libfido2 αα ααΎαααΆαααΈααααα ααα»αααααααΆαααΈαααααααΌαααααΆαααααααααααα "ecdsa-sk") . ααΌαααα―ααααααααΆααααααΎα (id_ecdsa_sk) ααΊααΆα ααα»α ααΆαααααΆαα αααααΎαααΆαααΆαααα·αααααΆαααααα αααα»αααΆααα½ααααα αΌαααααΆααΆαα½αααΉαααααΆαααααααΆααααααααααΆαα»ααα αααααααΆααα·αα·ααααααααΆ U2F ααα»αααααα ααααα·αααΎαα id_ecdsa_sk ααααΆααα αΌααα αααα»αααα’αααααΆααααα αΆα ααΎααααΈααααααΆααααΆααααααααααΆααααα ααΆααααααΉαααααΌαααΆαα αΌαααααΎ hardware token ααααα αααααααΆαααα―αααααααααααΆαα»ααααα»αα―αααΆα id_ecdsa_sk ααΊααααΆαααααααααααα
ααΎαααΈαααααα ααΆαααααΆαααΎα αα αααα’αα»ααααααααα·ααααα·ααΆαααΆαα½ααααααααΎαα (ααΆααααα‘α»αααααααααΎα αα·αααα‘α»αααααααααααααΆαα) ααΆααααααΆαααααα»ααααααα’αααΈααααααΆαααΆαααΆαααααα’αααααααΎααααΆααααΊααααΌαααΆαααΆαααΆα ααΆα§ααΆα ααα ααΆααααΌαααΆαααααΎα±αααααα§αααααα αΆαααααααΆαα ααΎαααααΆαααααΆαα αααααααΎα±ααααΆαα·ααΆααααα»αααΆα α’αα»ααααααΆαααΆααααα αΆαααΈα ααααΆαααΎαααααααααααααΆααααααΆαααααΆααααααΆααα αααα»αααΆαααΆααααααΆαααΆααα½ααααααααα ααΆααααααααΆααααα’αΆα ααααΌαααΆααααααΆαααααα»αα’αα‘α»ααααα αΆααααααΎααα ssh-keygen ααΎααααΈα αΌαααααΎα―αααΆαααα
ααααααααΈαααα OpenSSH ααααΆααααααΆαααΈααΆαααα·αααααΆαααααΆααα»ααααααα½ααααααααΆααααααααΎαααααΆ SHA-1 αααααΆα
ααΎααααΈααααΎα±ααααΆαααααΆααααααΌααα ααΆαααα½ααααααααΆαααααΈαα αααα»α OpenSSH αααΌα αα αααα»αααΆαα ααααααΆαααΆαααααΆααα»α ααΆαααααα UpdateHostKeys ααΉαααααΌαααΆαααΎαααΆαααααΆαααΎα αααααΉααααααα’αα·αα·αααααααααααααααααα·αα αααα½ααααααααΆααααα’αΆα αα»αα α·αααααΆαααΆααααα αααΎαα αααα½ααααααααΆααααααΆαααααΆααααααΆααααΆαααααΎα αααΆααααα»ααα½αααΆα rsa-sha2-256/512 ααα’ααααΎ RFC8332 RSA SHA-2 (ααΆααααααΆααααΈ OpenSSH 7.2 αα·αααααΎααΆαααααΆαααΎα) ssh-ed25519 (ααΆααααααΆααααΈ OpenSSH 6.5) αα·α ecdsa-sha2-nisp256/384/521 αα ααΎ RFC5656 ECDSA (ααΆααααααΆααααΈ OpenSSH 5.7)α
αα αααα»α OpenSSH 8.2 ααααααΆαααααΆααααααΆαααααααααΎ βssh-rsaβ αα ααααΆα ααα»αααααααα½ααααααααΆααααααααΌαααΆαααα ααααΈαααααΈ CASignatureAlgorithms αααααααααααα½ααααααααΆααααα’αα»ααααΆααααααΆααααΆαα α»αα αααααααΆααΎαα·ααααΆααααααααααΈααΆααΈααΈααα ααααααααααΆαααααα αααα½ααααααααΆα diffie-hellman-group14-sha1 ααααΌαααΆαααα ααααΈαααα½ααααααααΆαααΆαααααΆααααααΌαααααααΆαααΎααααααΆαααΆααααα ααΆααααΌαααΆαααααααααΆααααΆααΆαααααΎααααΆαα SHA-1 αα αααα»ααα·ααααΆααααααααααΌαααΆαααααΆαααααΆααααΆαα½αααΉαα αΆαα·ααααααααα α αΆααααΆααααΈα’αααααΆααααα αΆαααΆααααααααΆααααΆαααααααααααΎααααΈαααααααααΆααααααααα·α ααααΆαααααΆαααα·ααααΆαααααααααααΆαααααΆαα ααααααααααααααααΆααααΆαααΆααααα αΆαααΎαααααΆαααΈαααααΌαααΆαααααααααααΆαα’αααααααααΆααααααΆαα (LoginGraceTime )
ααΆαααααΎαααΆα ssh-keygen α₯α‘αΌαααααααααααααΆαααΎααα rsa-sha2-512 algorithm αααααααΌαααΆαααΆααααα αΆααααΆααααΈ OpenSSH 7.2 αααα’αΆα αααααΎααααα αΆαααααααΌαααααΆαα αααααααΆααΆαααααΎαααΆααα·ααααΆαααααααααααΆαα α»αα αααααααΆαααα»α OpenSSH 8.2 αα ααΎαααααααααααααααΎαααΆαααΆαα ααααααΆα OpenSSH α αΆαα (ααΎααααΈαααααααΆααααα αΆαα ααα ααΆααααααΎαα αααααααΆ α’αααα’αΆα αααααΆαααααΆαα αααΆααααΆ βssh-keygen -t ssh-rsaβ α¬ααααΎ ecdsa-sha2-nistp256/384/521 algorithms αααααΆααααααΆααααΈ OpenSSH 5.7)α
ααΆαααααΆααααααΌαααααααααα
- ααΆαααααΆααα½ααααα αΌαααααΌαααΆααααααααα sshd_config αααα’αα»ααααΆαα±ααα’ααααααα αΌαααΆαα·ααΆααα―αααΆααααααααααα ααΈααΆαααα αα α»ααααααααα―αααΆαααααααα ααΆαααααααα (αααΆαα glob α’αΆα ααααΌαααΆαααααΎαα ααααααααΆαααααααα―αααΆα);
- αααααΎα "αα·αα αΆαααΆα αααα" ααααΌαααΆααααααααα ssh-keygen ααααα·ααααααΌαααΆαααΎααααΈαααααΆααααΆαα αΌαααααΎ token αα ααααααααΎαααα
- ααΆαααααΆα PubkeyAuthOptions ααααΌαααΆααααααααα sshd_config ααααα½ααααα αΌαααααΆααΌααααααΎαααααααααΆααααααΉαααΆααααααααααΆααααααΆααΆαααα αα αα α»αααααα ααΆαααααα "αα·αα αΆαααΆα αααα" ααα»ααααααααααααΌαααΆαααΆααααααΎααααΈααααααΆααααα½ααα·αα·αααααααααΆαααΆαααΆααααααΆααααΆααααααααααΆαααααααΆαααααΆααα αααααΆαααααααααααΆ αααααΎα "αα·αα αΆαααΆα αααα" ααααΌαααΆααααααααα α―αααΆα authorized_keys;
- ααΆααααααααααααΎα "-O write-attestation=/path" αα ssh-keygen ααΎααααΈα’αα»ααααΆαα±αααα·ααααΆαααααααααααΆαα FIDO ααααααααααΌαααΆαααααααα ααααααααΎαααα OpenSSH αα·αβααΆααβααααΎβαα·ααααΆααααααβααΆααβαααβαα βα‘αΎαβαα ααα»ααααβαααααβααβαα½αβααΆβα’αΆα βααααΌαβααΆαβααααΎβααΎααααΈβαααααααααΆααβααΆβααβααααΌαβααΆαβααΆααβαα βαααα»αβα αΆα hardware αααβααΏβαα»αβα α·αααα
- αα
αααα»αααΆαααααα ssh αα·α sshd α₯α‘αΌααααααΆα’αΆα
ααααΎαα
ααΆαααΎααααΈαααααααααα’αΆαα·ααΆαα
ααΆα
αααααΆααααααΆαααααΆα IPQoS
LE DSCP α₯αα·ααΆαα α§ααααΆααααα· ααΈααααα· αα·ααΆα ααααα·α - αα
αααα»α ssh αα
ααααααααααααα βAddKeysToAgent=yesβ ααααα·αααΎαααα·αααΆαααΆαααα·ααααα ααΆααΉαααααΌαααΆααααααααα
ααααΆααααΆα ssh ααααααα αΆαααΈααααΌααα
ααΆααααααΆααα·αααααα IN
ssh-keygen αα·α ssh-agent α₯α‘αΌααααααααααΎααααΆα PKCS#11 αα·αααααααααααΆααα X.509 αααα½αα±ααααααΌααααααΆαααααΆααα·ααααααα αααα»αααα - ααΆααααααααααααααΆααααα»αααΆαααΆαα αα PEM αααααΆαα DSA αα·α ECDSA keys αα ssh-keygen;
- ααΆααααααααααααα·ααΈ ssh-sk-helper αααα’αΆα ααααα·ααααα·ααΆαααααΈ αααααααΎααΎααααΈααααααααΆαααα αΌαααααΎαα·αα·ααααααααΆ FIDO/U2F ααΆα ααααα‘ααα
- ααΆααααααααααααΎαααααΆαααΆ "--with-zlib" αα ssh αα·α sshd αααααΆααααΆαα αααααααΆαα½αααΆαααΆαααααααααΆααα zlib α
- αααα’αα»αααααΆααααααΌαααΆααα RFC4253 ααΆααααααΆαα’αααΈααΆααααααααΆααααΆαα αΌαααααΎαααΆααααααΆαααααΎαααΈαααααααα MaxStartups ααααΌαααΆααααααααΌααα αααα»αααααΆαααααΆααααααα αΆαα’αα‘α»ααααααααΆααα ααΎααααΈααααα½αααΆααα·αα·α αααα ααααααΆααααΎαααΆα sshd αααα’αΆα ααΎαααΎααα αααααααΎα§αααααααααΎααααΆαα ps α₯α‘αΌαααααααα αΆαα ααα½αααααΆααααααΆαααααααΆααααααααααΆαααα αα α»αααααα αα·αααααΆαααΆααααααααααα MaxStartups α
- αα αααα»α ssh αα·α ssh-agent αα αααα α αααααα·ααΈααΎααααΈαααα αΆαααΆαα’ααααΎααα ααΎα’αααααα αααααΆααααααΆααααΆαααα $SSH_ASKPASS ααααααααΆαααααααααααΆαα’ααααΎαα₯α‘αΌααααααααΌαααΆααααααΌαααααααα "αααααΆαα" - αααα’αααααααΆαα (ααΆα/α αΆα) "ααααΆα " - ααΆαααααααΆα "ααα" - ααααΎααΆααααααααΆαα;
- ααΆαααααααααααα·ααααα·ααΆαα αααααααΆααΈααΈααααααΈ "find-principals" αα ssh-keygen ααΎααααΈαααααααα―αααΆαα’αααα α»αα αααααααΆαααααΆαα’αα»ααααΆααααααΆααα’αααααααΎααααΆαααααααααΆααααΆαα½αα αααααααΆααΈααΈαααααααΆααααααΆααα
- ααααΎα±αααααααΎαα‘αΎαααΌαααΆαααΆαααααααααΆααααΆαα―ααααααΎαααΆα sshd αα ααΎ Linux αααααααΎααααααΆα seccompα αα·αααΆαα α ααΆααααααααα IPC α’αα»ααααΆαα±αα clock_gettime64(), clock_nanosleep_time64 αα·α clock_nanosleep()α
ααααα: opennet.ru