ಮೂರು ತಿಂಗಳ ಅಭಿವೃದ್ಧಿಯ ನಂತರ ಬಿಡುಗಡೆ , SSH 2.0 ಮತ್ತು SFTP ಪ್ರೋಟೋಕಾಲ್ಗಳ ಮೂಲಕ ಕೆಲಸ ಮಾಡಲು ಮುಕ್ತ ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ಅನುಷ್ಠಾನ.
ಹೊಸ ಬಿಡುಗಡೆಯು ಎಸ್ಸಿಪಿ ದಾಳಿಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆಯನ್ನು ಸೇರಿಸುತ್ತದೆ ಅದು ಸರ್ವರ್ಗೆ ವಿನಂತಿಸಿದ ಫೈಲ್ಹೆಸರುಗಳಿಗಿಂತ (ವಿರುದ್ಧವಾಗಿ , ದಾಳಿಯು ಬಳಕೆದಾರ-ಆಯ್ಕೆ ಮಾಡಿದ ಡೈರೆಕ್ಟರಿ ಅಥವಾ ಗ್ಲೋಬ್ ಮಾಸ್ಕ್ ಅನ್ನು ಬದಲಾಯಿಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ). SCP ಯಲ್ಲಿ, ಕ್ಲೈಂಟ್ಗೆ ಯಾವ ಫೈಲ್ಗಳು ಮತ್ತು ಡೈರೆಕ್ಟರಿಗಳನ್ನು ಕಳುಹಿಸಬೇಕೆಂದು ಸರ್ವರ್ ನಿರ್ಧರಿಸುತ್ತದೆ ಮತ್ತು ಕ್ಲೈಂಟ್ ಹಿಂತಿರುಗಿದ ವಸ್ತುವಿನ ಹೆಸರುಗಳ ಸರಿಯಾದತೆಯನ್ನು ಮಾತ್ರ ಪರಿಶೀಲಿಸುತ್ತದೆ ಎಂದು ನೆನಪಿಸಿಕೊಳ್ಳಿ. ಗುರುತಿಸಲಾದ ಸಮಸ್ಯೆಯ ಮೂಲತತ್ವವೆಂದರೆ ಯುಟೈಮ್ಸ್ ಸಿಸ್ಟಮ್ ಕರೆ ವಿಫಲವಾದರೆ, ಫೈಲ್ನ ವಿಷಯಗಳನ್ನು ಫೈಲ್ ಮೆಟಾಡೇಟಾ ಎಂದು ಅರ್ಥೈಸಲಾಗುತ್ತದೆ.
ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿತ ಸರ್ವರ್ಗೆ ಸಂಪರ್ಕಿಸುವಾಗ, ಈ ವೈಶಿಷ್ಟ್ಯವನ್ನು ಬಳಕೆದಾರನ FS ನಲ್ಲಿ ಇತರ ಫೈಲ್ ಹೆಸರುಗಳು ಮತ್ತು ಇತರ ವಿಷಯವನ್ನು ಉಳಿಸಲು ಬಳಸಬಹುದು ಕಾನ್ಫಿಗರೇಶನ್ಗಳಲ್ಲಿ scp ಅನ್ನು ನಕಲಿಸುವಾಗ ಅದು ಯುಟೈಮ್ಗಳಿಗೆ ಕರೆ ಮಾಡುವಾಗ ವಿಫಲಗೊಳ್ಳುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಯುಟೈಮ್ಗಳನ್ನು ನಿಷೇಧಿಸಿದಾಗ SELinux ನೀತಿ ಅಥವಾ ಸಿಸ್ಟಮ್ ಕರೆ ಫಿಲ್ಟರ್) . ವಿಶಿಷ್ಟವಾದ ಸಂರಚನೆಗಳಲ್ಲಿ ಯುಟೈಮ್ಸ್ ಕರೆ ವಿಫಲವಾಗದ ಕಾರಣ ನೈಜ ದಾಳಿಯ ಸಾಧ್ಯತೆಯು ಕಡಿಮೆ ಎಂದು ಅಂದಾಜಿಸಲಾಗಿದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ದಾಳಿಯು ಗಮನಕ್ಕೆ ಬರುವುದಿಲ್ಲ - scp ಗೆ ಕರೆ ಮಾಡುವಾಗ, ಡೇಟಾ ವರ್ಗಾವಣೆ ದೋಷವನ್ನು ತೋರಿಸಲಾಗುತ್ತದೆ.
ಸಾಮಾನ್ಯ ಬದಲಾವಣೆಗಳು:
- sftp ನಲ್ಲಿ, ssh ಮತ್ತು scp ಯಂತೆಯೇ “-1” ಆರ್ಗ್ಯುಮೆಂಟ್ ಅನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವುದನ್ನು ನಿಲ್ಲಿಸಲಾಗಿದೆ, ಇದನ್ನು ಹಿಂದೆ ಸ್ವೀಕರಿಸಲಾಗಿದೆ ಆದರೆ ನಿರ್ಲಕ್ಷಿಸಲಾಗಿದೆ;
- sshd ನಲ್ಲಿ, IgnoreRhosts ಅನ್ನು ಬಳಸುವಾಗ, ಈಗ ಮೂರು ಆಯ್ಕೆಗಳಿವೆ: "ಹೌದು" - rhosts/shosts ಅನ್ನು ನಿರ್ಲಕ್ಷಿಸಿ, "ಇಲ್ಲ" - rhosts/shosts ಅನ್ನು ಗೌರವಿಸಿ, ಮತ್ತು "shosts-only" - ".shosts" ಅನ್ನು ಅನುಮತಿಸಿ ಆದರೆ ".rhosts" ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ;
- Ssh ಈಗ Unix ಸಾಕೆಟ್ಗಳನ್ನು ಮರುನಿರ್ದೇಶಿಸಲು ಬಳಸುವ LocalFoward ಮತ್ತು RemoteForward ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ %TOKEN ಪರ್ಯಾಯವನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ;
- ಸಾರ್ವಜನಿಕ ಕೀಲಿಯೊಂದಿಗೆ ಯಾವುದೇ ಪ್ರತ್ಯೇಕ ಫೈಲ್ ಇಲ್ಲದಿದ್ದರೆ ಖಾಸಗಿ ಕೀಲಿಯೊಂದಿಗೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡದ ಫೈಲ್ನಿಂದ ಸಾರ್ವಜನಿಕ ಕೀಗಳನ್ನು ಲೋಡ್ ಮಾಡಲು ಅನುಮತಿಸಿ;
- ವ್ಯವಸ್ಥೆಯಲ್ಲಿ libcrypto ಲಭ್ಯವಿದ್ದರೆ, ssh ಮತ್ತು sshd ಈಗ ಈ ಲೈಬ್ರರಿಯಿಂದ chacha20 ಅಲ್ಗಾರಿದಮ್ನ ಅನುಷ್ಠಾನವನ್ನು ಬಳಸುತ್ತದೆ, ಅಂತರ್ನಿರ್ಮಿತ ಪೋರ್ಟಬಲ್ ಅನುಷ್ಠಾನದ ಬದಲಿಗೆ ಕಾರ್ಯಕ್ಷಮತೆಯಲ್ಲಿ ಹಿಂದುಳಿದಿದೆ;
- "ssh-keygen -lQf /path" ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವಾಗ ಹಿಂತೆಗೆದುಕೊಳ್ಳಲಾದ ಪ್ರಮಾಣಪತ್ರಗಳ ಬೈನರಿ ಪಟ್ಟಿಯ ವಿಷಯಗಳನ್ನು ಡಂಪ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ;
- ಪೋರ್ಟಬಲ್ ಆವೃತ್ತಿಯು SA_RESTART ಆಯ್ಕೆಯೊಂದಿಗೆ ಸಿಗ್ನಲ್ಗಳು ಆಯ್ಕೆಯ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಅಡ್ಡಿಪಡಿಸುವ ವ್ಯವಸ್ಥೆಗಳ ವ್ಯಾಖ್ಯಾನಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ;
- HP/UX ಮತ್ತು AIX ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಅಸೆಂಬ್ಲಿಯಲ್ಲಿ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ;
- ಕೆಲವು ಲಿನಕ್ಸ್ ಕಾನ್ಫಿಗರೇಶನ್ಗಳಲ್ಲಿ ಸೆಕಾಂಪ್ ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ ಅನ್ನು ನಿರ್ಮಿಸುವಲ್ಲಿ ಸ್ಥಿರ ಸಮಸ್ಯೆಗಳು;
- ಸುಧಾರಿತ libfido2 ಲೈಬ್ರರಿ ಪತ್ತೆ ಮತ್ತು "--with-security-key-builtin" ಆಯ್ಕೆಯೊಂದಿಗೆ ನಿರ್ಮಾಣ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ.
OpenSSH ಡೆವಲಪರ್ಗಳು SHA-1 ಹ್ಯಾಶ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಅಲ್ಗಾರಿದಮ್ಗಳ ಸನ್ನಿಹಿತವಾದ ವಿಭಜನೆಯ ಬಗ್ಗೆ ಮತ್ತೊಮ್ಮೆ ಎಚ್ಚರಿಕೆ ನೀಡಿದರು. ನಿರ್ದಿಷ್ಟ ಪೂರ್ವಪ್ರತ್ಯಯದೊಂದಿಗೆ ಘರ್ಷಣೆ ದಾಳಿಯ ಪರಿಣಾಮಕಾರಿತ್ವ (ಘರ್ಷಣೆಯನ್ನು ಆಯ್ಕೆ ಮಾಡುವ ವೆಚ್ಚವು ಅಂದಾಜು 45 ಸಾವಿರ ಡಾಲರ್ಗಳು ಎಂದು ಅಂದಾಜಿಸಲಾಗಿದೆ). ಮುಂಬರುವ ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿ, ಸಾರ್ವಜನಿಕ ಕೀ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಅಲ್ಗಾರಿದಮ್ "ssh-rsa" ಅನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಅವರು ಯೋಜಿಸಿದ್ದಾರೆ, ಇದು SSH ಪ್ರೋಟೋಕಾಲ್ಗಾಗಿ ಮೂಲ RFC ನಲ್ಲಿ ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ಮತ್ತು ಆಚರಣೆಯಲ್ಲಿ ವ್ಯಾಪಕವಾಗಿ ಉಳಿದಿದೆ (ಬಳಕೆಯನ್ನು ಪರೀಕ್ಷಿಸಲು ನಿಮ್ಮ ಸಿಸ್ಟಂಗಳಲ್ಲಿ ssh-rsa, ನೀವು "-oHostKeyAlgorithms=-ssh-rsa") ಆಯ್ಕೆಯೊಂದಿಗೆ ssh ಮೂಲಕ ಸಂಪರ್ಕಿಸಲು ಪ್ರಯತ್ನಿಸಬಹುದು.
OpenSSH ನಲ್ಲಿ ಹೊಸ ಅಲ್ಗಾರಿದಮ್ಗಳಿಗೆ ಪರಿವರ್ತನೆಯನ್ನು ಸುಗಮಗೊಳಿಸಲು, ಭವಿಷ್ಯದ ಬಿಡುಗಡೆಯಲ್ಲಿ UpdateHostKeys ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ, ಇದು ಕ್ಲೈಂಟ್ಗಳನ್ನು ಹೆಚ್ಚು ವಿಶ್ವಾಸಾರ್ಹ ಅಲ್ಗಾರಿದಮ್ಗಳಿಗೆ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸ್ಥಳಾಂತರಿಸುತ್ತದೆ. ವಲಸೆಗಾಗಿ ಶಿಫಾರಸು ಮಾಡಲಾದ ಅಲ್ಗಾರಿದಮ್ಗಳು RFC2 RSA SHA-256 (OpenSSH 512 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ ಮತ್ತು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಬಳಸಲಾಗಿದೆ), ssh-ed8332 (OpenSSH 2 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ) ಮತ್ತು ecdsa-sha7.2-25519/6.5 ಆಧಾರಿತ rsa-sha2-256-n384 RFC521 ECDSA ನಲ್ಲಿ (OpenSSH 5656 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ).
ಕೊನೆಯ ಬಿಡುಗಡೆಯಂತೆ, "ssh-rsa" ಮತ್ತು "diffie-hellman-group14-sha1" ಅನ್ನು CASignatureAlgorithms ಪಟ್ಟಿಯಿಂದ ತೆಗೆದುಹಾಕಲಾಗಿದೆ, ಇದು ಹೊಸ ಪ್ರಮಾಣಪತ್ರಗಳಿಗೆ ಡಿಜಿಟಲ್ ಸಹಿ ಮಾಡಲು ಅನುಮತಿಸಲಾದ ಅಲ್ಗಾರಿದಮ್ಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ, ಏಕೆಂದರೆ ಪ್ರಮಾಣಪತ್ರಗಳಲ್ಲಿ SHA-1 ಅನ್ನು ಬಳಸುವುದರಿಂದ ಹೆಚ್ಚುವರಿ ಅಪಾಯವಿದೆ. ದಾಳಿಕೋರರು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಪ್ರಮಾಣಪತ್ರಕ್ಕಾಗಿ ಘರ್ಷಣೆಯನ್ನು ಹುಡುಕಲು ಅನಿಯಮಿತ ಸಮಯವನ್ನು ಹೊಂದಿರುತ್ತಾರೆ, ಆದರೆ ಹೋಸ್ಟ್ ಕೀಗಳ ಮೇಲಿನ ದಾಳಿಯ ಸಮಯವು ಸಂಪರ್ಕದ ಸಮಯ ಮೀರುವಿಕೆಯಿಂದ ಸೀಮಿತವಾಗಿರುತ್ತದೆ (ಲಾಗಿನ್ಗ್ರೇಸ್ಟೈಮ್).
ಮೂಲ: opennet.ru