ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > OpenSSH 8.0 ಬಿಡುಗಡೆ

OpenSSH 8.0 ಬಿಡುಗಡೆ

ಐದು ತಿಂಗಳ ಅಭಿವೃದ್ಧಿಯ ನಂತರ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ ಬಿಡುಗಡೆ OpenSSH 8.0, SSH 2.0 ಮತ್ತು SFTP ಪ್ರೋಟೋಕಾಲ್‌ಗಳ ಮೂಲಕ ಕೆಲಸ ಮಾಡಲು ಮುಕ್ತ ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ಅನುಷ್ಠಾನ.

ಪ್ರಮುಖ ಬದಲಾವಣೆಗಳು:

  • ಕ್ವಾಂಟಮ್ ಕಂಪ್ಯೂಟರ್‌ನಲ್ಲಿ ಬ್ರೂಟ್-ಫೋರ್ಸ್ ದಾಳಿಗಳಿಗೆ ನಿರೋಧಕವಾದ ಪ್ರಮುಖ ವಿನಿಮಯ ವಿಧಾನಕ್ಕೆ ಪ್ರಾಯೋಗಿಕ ಬೆಂಬಲವನ್ನು ssh ಮತ್ತು sshd ಗೆ ಸೇರಿಸಲಾಗಿದೆ. ಕ್ವಾಂಟಮ್ ಕಂಪ್ಯೂಟರ್‌ಗಳು ನೈಸರ್ಗಿಕ ಸಂಖ್ಯೆಯನ್ನು ಅವಿಭಾಜ್ಯ ಅಂಶಗಳಾಗಿ ವಿಭಜಿಸುವ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸುವಲ್ಲಿ ಆಮೂಲಾಗ್ರವಾಗಿ ವೇಗವಾಗಿವೆ, ಇದು ಆಧುನಿಕ ಅಸಮಪಾರ್ಶ್ವದ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳಿಗೆ ಆಧಾರವಾಗಿದೆ ಮತ್ತು ಶಾಸ್ತ್ರೀಯ ಪ್ರೊಸೆಸರ್‌ಗಳಲ್ಲಿ ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಪರಿಹರಿಸಲಾಗುವುದಿಲ್ಲ. ಪ್ರಸ್ತಾವಿತ ವಿಧಾನವು ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಆಧರಿಸಿದೆ NTRU ಪ್ರಧಾನ (ಫಂಕ್ಷನ್ ntrup4591761), ಪೋಸ್ಟ್-ಕ್ವಾಂಟಮ್ ಕ್ರಿಪ್ಟೋಸಿಸ್ಟಮ್‌ಗಳಿಗಾಗಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ ಮತ್ತು ಎಲಿಪ್ಟಿಕ್ ಕರ್ವ್ ಕೀ ವಿನಿಮಯ ವಿಧಾನ X25519;
  • sshd ನಲ್ಲಿ, ListenAddress ಮತ್ತು PermitOpen ನಿರ್ದೇಶನಗಳು ಪರಂಪರೆಯ "ಹೋಸ್ಟ್/ಪೋರ್ಟ್" ಸಿಂಟ್ಯಾಕ್ಸ್ ಅನ್ನು ಇನ್ನು ಮುಂದೆ ಬೆಂಬಲಿಸುವುದಿಲ್ಲ, ಇದನ್ನು IPv2001 ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವುದನ್ನು ಸರಳಗೊಳಿಸಲು "host:port" ಗೆ ಪರ್ಯಾಯವಾಗಿ 6 ರಲ್ಲಿ ಅಳವಡಿಸಲಾಯಿತು. ಆಧುನಿಕ ಪರಿಸ್ಥಿತಿಗಳಲ್ಲಿ, "[::6]:1" ಸಿಂಟ್ಯಾಕ್ಸ್ ಅನ್ನು IPv22 ಗಾಗಿ ಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಮತ್ತು "ಹೋಸ್ಟ್/ಪೋರ್ಟ್" ಸಾಮಾನ್ಯವಾಗಿ ಸಬ್ನೆಟ್ (CIDR) ಅನ್ನು ಸೂಚಿಸುವುದರೊಂದಿಗೆ ಗೊಂದಲಕ್ಕೊಳಗಾಗುತ್ತದೆ;
  • ssh, ssh-agent ಮತ್ತು ssh-add ಈಗ ಬೆಂಬಲ ಕೀಗಳನ್ನು ಬೆಂಬಲಿಸಿ ಇಸಿಡಿಎಸ್ಎ PKCS#11 ಟೋಕನ್‌ಗಳಲ್ಲಿ;
  • ssh-keygen ನಲ್ಲಿ, ಹೊಸ NIST ಶಿಫಾರಸುಗಳಿಗೆ ಅನುಗುಣವಾಗಿ ಡೀಫಾಲ್ಟ್ RSA ಕೀ ಗಾತ್ರವನ್ನು 3072 ಬಿಟ್‌ಗಳಿಗೆ ಹೆಚ್ಚಿಸಲಾಗಿದೆ;
  • ssh_config ನಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ PKCS11Provider ನಿರ್ದೇಶನವನ್ನು ಅತಿಕ್ರಮಿಸಲು "PKCS11Provider=none" ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಬಳಸಲು ssh ಅನುಮತಿಸುತ್ತದೆ;
  • sshd_config ನಲ್ಲಿ "ForceCommand=internal-sftp" ನಿರ್ಬಂಧದಿಂದ ನಿರ್ಬಂಧಿಸಲಾದ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಪ್ರಯತ್ನಿಸುವಾಗ ಸಂಪರ್ಕವನ್ನು ಕೊನೆಗೊಳಿಸಿದಾಗ sshd ಸಂದರ್ಭಗಳ ಲಾಗ್ ಪ್ರದರ್ಶನವನ್ನು ಒದಗಿಸುತ್ತದೆ;
  • ssh ನಲ್ಲಿ, ಹೊಸ ಹೋಸ್ಟ್ ಕೀಯ ಸ್ವೀಕಾರವನ್ನು ದೃಢೀಕರಿಸಲು ವಿನಂತಿಯನ್ನು ಪ್ರದರ್ಶಿಸುವಾಗ, "ಹೌದು" ಪ್ರತಿಕ್ರಿಯೆಯ ಬದಲಿಗೆ, ಕೀಲಿಯ ಸರಿಯಾದ ಫಿಂಗರ್‌ಪ್ರಿಂಟ್ ಅನ್ನು ಈಗ ಸ್ವೀಕರಿಸಲಾಗಿದೆ (ಸಂಪರ್ಕವನ್ನು ಖಚಿತಪಡಿಸಲು ಆಹ್ವಾನಕ್ಕೆ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ, ಬಳಕೆದಾರರು ನಕಲು ಮಾಡಬಹುದು ಕ್ಲಿಪ್‌ಬೋರ್ಡ್ ಮೂಲಕ ಪ್ರತ್ಯೇಕವಾಗಿ ಉಲ್ಲೇಖ ಹ್ಯಾಶ್ ಅನ್ನು ಸ್ವೀಕರಿಸಲಾಗಿದೆ, ಆದ್ದರಿಂದ ಅದನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ಹೋಲಿಸಬಾರದು);
  • ಆಜ್ಞಾ ಸಾಲಿನಲ್ಲಿ ಬಹು ಪ್ರಮಾಣಪತ್ರಗಳಿಗಾಗಿ ಡಿಜಿಟಲ್ ಸಹಿಗಳನ್ನು ರಚಿಸುವಾಗ ssh-keygen ಪ್ರಮಾಣಪತ್ರದ ಅನುಕ್ರಮ ಸಂಖ್ಯೆಯ ಸ್ವಯಂಚಾಲಿತ ಹೆಚ್ಚಳವನ್ನು ಒದಗಿಸುತ್ತದೆ;
  • "-J" ಹೊಸ ಆಯ್ಕೆಯನ್ನು scp ಮತ್ತು sftp ಗೆ ಸೇರಿಸಲಾಗಿದೆ, ಇದು ProxyJump ಸೆಟ್ಟಿಂಗ್‌ಗೆ ಸಮನಾಗಿರುತ್ತದೆ;
  • ssh-agent, ssh-pkcs11-helper ಮತ್ತು ssh-add ನಲ್ಲಿ, ಔಟ್‌ಪುಟ್‌ನ ಮಾಹಿತಿ ವಿಷಯವನ್ನು ಹೆಚ್ಚಿಸಲು “-v” ಕಮಾಂಡ್ ಲೈನ್ ಆಯ್ಕೆಯ ಸಂಸ್ಕರಣೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ (ನಿರ್ದಿಷ್ಟಪಡಿಸಿದಾಗ, ಈ ಆಯ್ಕೆಯನ್ನು ಮಕ್ಕಳ ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ರವಾನಿಸಲಾಗುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ssh-pkcs11-ಸಹಾಯಕ ssh-ಏಜೆಂಟ್‌ನಿಂದ ಕರೆ ಮಾಡಿದಾಗ );
  • ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ರಚನೆ ಮತ್ತು ಪರಿಶೀಲನೆ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ನಿರ್ವಹಿಸಲು ssh-ಏಜೆಂಟ್‌ನಲ್ಲಿನ ಕೀಗಳ ಸೂಕ್ತತೆಯನ್ನು ಪರೀಕ್ಷಿಸಲು "-T" ಆಯ್ಕೆಯನ್ನು ssh-add ಗೆ ಸೇರಿಸಲಾಗಿದೆ;
  • sftp-server "lsetstat at openssh.com" ಪ್ರೋಟೋಕಾಲ್ ವಿಸ್ತರಣೆಗೆ ಬೆಂಬಲವನ್ನು ಅಳವಡಿಸುತ್ತದೆ, ಇದು SFTP ಗಾಗಿ SSH2_FXP_SETSTAT ಕಾರ್ಯಾಚರಣೆಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸುತ್ತದೆ, ಆದರೆ ಸಾಂಕೇತಿಕ ಲಿಂಕ್‌ಗಳನ್ನು ಅನುಸರಿಸದೆ;
  • ಸಾಂಕೇತಿಕ ಲಿಂಕ್‌ಗಳನ್ನು ಬಳಸದ ವಿನಂತಿಗಳೊಂದಿಗೆ chown/chgrp/chmod ಆಜ್ಞೆಗಳನ್ನು ಚಲಾಯಿಸಲು sftp ಗೆ "-h" ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
  • sshd PAM ಗಾಗಿ $SSH_CONNECTION ಪರಿಸರ ವೇರಿಯಬಲ್‌ನ ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ;
  • sshd ಗಾಗಿ, "Match final" ಮ್ಯಾಚಿಂಗ್ ಮೋಡ್ ಅನ್ನು ssh_config ಗೆ ಸೇರಿಸಲಾಗಿದೆ, ಇದು "ಮ್ಯಾಚ್ ಕ್ಯಾನೊನಿಕಲ್" ಗೆ ಹೋಲುತ್ತದೆ, ಆದರೆ ಹೋಸ್ಟ್ ನೇಮ್ ಸಾಮಾನ್ಯೀಕರಣವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವ ಅಗತ್ಯವಿಲ್ಲ;
  • ಬ್ಯಾಚ್ ಮೋಡ್‌ನಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾದ ಆಜ್ಞೆಗಳ ಔಟ್‌ಪುಟ್‌ನ ಅನುವಾದವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು sftp ಗೆ '@' ಪೂರ್ವಪ್ರತ್ಯಯಕ್ಕೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
  • ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ನೀವು ಪ್ರಮಾಣಪತ್ರದ ವಿಷಯಗಳನ್ನು ಪ್ರದರ್ಶಿಸಿದಾಗ
    "ssh-keygen -Lf /path/certificate" ಈಗ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಮೌಲ್ಯೀಕರಿಸಲು CA ಬಳಸುವ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ;

  • ಸಿಗ್ವಿನ್ ಪರಿಸರಕ್ಕೆ ಸುಧಾರಿತ ಬೆಂಬಲ, ಉದಾಹರಣೆಗೆ ಗುಂಪು ಮತ್ತು ಬಳಕೆದಾರರ ಹೆಸರುಗಳ ಕೇಸ್-ಸೆನ್ಸಿಟಿವ್ ಹೋಲಿಕೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ. Cygwin ಪೋರ್ಟ್‌ನಲ್ಲಿನ sshd ಪ್ರಕ್ರಿಯೆಯನ್ನು ಮೈಕ್ರೋಸಾಫ್ಟ್ ಒದಗಿಸಿದ OpenSSH ಪೋರ್ಟ್‌ನೊಂದಿಗೆ ಹಸ್ತಕ್ಷೇಪವನ್ನು ತಪ್ಪಿಸಲು cygsshd ಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ;
  • ಪ್ರಾಯೋಗಿಕ OpenSSL 3.x ಶಾಖೆಯೊಂದಿಗೆ ನಿರ್ಮಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
  • ನಿವಾರಿಸಲಾಗಿದೆ ದುರ್ಬಲತೆ (CVE-2019-6111) scp ಯುಟಿಲಿಟಿಯ ಅನುಷ್ಠಾನದಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಸರ್ವರ್ ಅನ್ನು ಪ್ರವೇಶಿಸುವಾಗ ಕ್ಲೈಂಟ್ ಸೈಡ್‌ನಲ್ಲಿ ಟಾರ್ಗೆಟ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಫೈಲ್‌ಗಳನ್ನು ತಿದ್ದಿ ಬರೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ಸಮಸ್ಯೆಯೆಂದರೆ, scp ಅನ್ನು ಬಳಸುವಾಗ, ಕ್ಲೈಂಟ್‌ಗೆ ಯಾವ ಫೈಲ್‌ಗಳು ಮತ್ತು ಡೈರೆಕ್ಟರಿಗಳನ್ನು ಕಳುಹಿಸಬೇಕೆಂದು ಸರ್ವರ್ ನಿರ್ಧರಿಸುತ್ತದೆ ಮತ್ತು ಕ್ಲೈಂಟ್ ಹಿಂತಿರುಗಿದ ವಸ್ತುವಿನ ಹೆಸರುಗಳ ಸರಿಯಾದತೆಯನ್ನು ಮಾತ್ರ ಪರಿಶೀಲಿಸುತ್ತದೆ. ಕ್ಲೈಂಟ್-ಸೈಡ್ ತಪಾಸಣೆಯು ಪ್ರಸ್ತುತ ಡೈರೆಕ್ಟರಿಯನ್ನು ಮೀರಿದ ಪ್ರಯಾಣವನ್ನು ನಿರ್ಬಂಧಿಸಲು ಮಾತ್ರ ಸೀಮಿತವಾಗಿದೆ (“../”), ಆದರೆ ಮೂಲತಃ ವಿನಂತಿಸಿದ ಹೆಸರುಗಳಿಗಿಂತ ಭಿನ್ನವಾಗಿರುವ ಫೈಲ್‌ಗಳ ವರ್ಗಾವಣೆಯನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳುವುದಿಲ್ಲ. ಪುನರಾವರ್ತಿತ ನಕಲು (-r) ಸಂದರ್ಭದಲ್ಲಿ, ಫೈಲ್ ಹೆಸರುಗಳ ಜೊತೆಗೆ, ನೀವು ಉಪ ಡೈರೆಕ್ಟರಿಗಳ ಹೆಸರುಗಳನ್ನು ಇದೇ ರೀತಿಯಲ್ಲಿ ಕುಶಲತೆಯಿಂದ ನಿರ್ವಹಿಸಬಹುದು. ಉದಾಹರಣೆಗೆ, ಬಳಕೆದಾರರು ಹೋಮ್ ಡೈರೆಕ್ಟರಿಗೆ ಫೈಲ್‌ಗಳನ್ನು ನಕಲಿಸಿದರೆ, ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಸರ್ವರ್ ವಿನಂತಿಸಿದ ಫೈಲ್‌ಗಳ ಬದಲಿಗೆ .bash_aliases ಅಥವಾ .ssh/authorized_keys ಹೆಸರಿನೊಂದಿಗೆ ಫೈಲ್‌ಗಳನ್ನು ಉತ್ಪಾದಿಸಬಹುದು ಮತ್ತು ಅವುಗಳನ್ನು ಬಳಕೆದಾರರಲ್ಲಿರುವ scp ಯುಟಿಲಿಟಿ ಮೂಲಕ ಉಳಿಸಲಾಗುತ್ತದೆ. ಹೋಮ್ ಡೈರೆಕ್ಟರಿ.

    ಹೊಸ ಬಿಡುಗಡೆಯಲ್ಲಿ, ವಿನಂತಿಸಿದ ಫೈಲ್ ಹೆಸರುಗಳು ಮತ್ತು ಸರ್ವರ್‌ನಿಂದ ಕಳುಹಿಸಲಾದ ಹೆಸರುಗಳ ನಡುವಿನ ಪತ್ರವ್ಯವಹಾರವನ್ನು ಪರಿಶೀಲಿಸಲು scp ಉಪಯುಕ್ತತೆಯನ್ನು ನವೀಕರಿಸಲಾಗಿದೆ, ಇದನ್ನು ಕ್ಲೈಂಟ್ ಬದಿಯಲ್ಲಿ ನಿರ್ವಹಿಸಲಾಗುತ್ತದೆ. ಇದು ಮಾಸ್ಕ್ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಸಮಸ್ಯೆಗಳನ್ನು ಉಂಟುಮಾಡಬಹುದು, ಏಕೆಂದರೆ ಮಾಸ್ಕ್ ವಿಸ್ತರಣೆ ಅಕ್ಷರಗಳನ್ನು ಸರ್ವರ್ ಮತ್ತು ಕ್ಲೈಂಟ್ ಬದಿಗಳಲ್ಲಿ ವಿಭಿನ್ನವಾಗಿ ಸಂಸ್ಕರಿಸಬಹುದು. ಅಂತಹ ವ್ಯತ್ಯಾಸಗಳು ಕ್ಲೈಂಟ್‌ಗೆ scp ನಲ್ಲಿ ಫೈಲ್‌ಗಳನ್ನು ಸ್ವೀಕರಿಸುವುದನ್ನು ನಿಲ್ಲಿಸಿದರೆ, ಕ್ಲೈಂಟ್-ಸೈಡ್ ಪರಿಶೀಲನೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು “-T” ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ. ಸಮಸ್ಯೆಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಸರಿಪಡಿಸಲು, scp ಪ್ರೋಟೋಕಾಲ್‌ನ ಪರಿಕಲ್ಪನಾ ಪುನರ್ನಿರ್ಮಾಣದ ಅಗತ್ಯವಿದೆ, ಅದು ಈಗಾಗಲೇ ಹಳೆಯದಾಗಿದೆ, ಆದ್ದರಿಂದ ಬದಲಿಗೆ sftp ಮತ್ತು rsync ನಂತಹ ಹೆಚ್ಚು ಆಧುನಿಕ ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು ಬಳಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ