ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > OpenSSH 8.4 ಬಿಡುಗಡೆ

OpenSSH 8.4 ಬಿಡುಗಡೆ

ನಾಲ್ಕು ತಿಂಗಳ ಅಭಿವೃದ್ಧಿಯ ನಂತರ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ OpenSSH 8.4 ಬಿಡುಗಡೆ, SSH 2.0 ಮತ್ತು SFTP ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಕಾರ್ಯನಿರ್ವಹಿಸಲು ತೆರೆದ ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ಅನುಷ್ಠಾನ.

ಪ್ರಮುಖ ಬದಲಾವಣೆಗಳು:

  • ಭದ್ರತಾ ಬದಲಾವಣೆಗಳು:
    • ssh-agent ನಲ್ಲಿ, SSH ದೃಢೀಕರಣಕ್ಕಾಗಿ ರಚಿಸದ FIDO ಕೀಗಳನ್ನು ಬಳಸುವಾಗ (ಕೀ ID "ssh:" ಸ್ಟ್ರಿಂಗ್‌ನೊಂದಿಗೆ ಪ್ರಾರಂಭವಾಗುವುದಿಲ್ಲ), ಇದು ಈಗ SSH ಪ್ರೋಟೋಕಾಲ್‌ನಲ್ಲಿ ಬಳಸಿದ ವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಂದೇಶವನ್ನು ಸಹಿ ಮಾಡಲಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ. ವೆಬ್ ದೃಢೀಕರಣ ವಿನಂತಿಗಳಿಗೆ ಸಹಿಗಳನ್ನು ರಚಿಸಲು ಈ ಕೀಗಳನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ನಿರ್ಬಂಧಿಸಲು FIDO ಕೀಗಳನ್ನು ಹೊಂದಿರುವ ರಿಮೋಟ್ ಹೋಸ್ಟ್‌ಗಳಿಗೆ ssh-ಏಜೆಂಟ್ ಅನ್ನು ಮರುನಿರ್ದೇಶಿಸಲು ಬದಲಾವಣೆಯು ಅನುಮತಿಸುವುದಿಲ್ಲ (ಬ್ರೌಸರ್ SSH ವಿನಂತಿಗೆ ಸಹಿ ಹಾಕಿದಾಗ ರಿವರ್ಸ್ ಕೇಸ್ ಅನ್ನು ಆರಂಭದಲ್ಲಿ ಹೊರಗಿಡಲಾಗುತ್ತದೆ. ಕೀ ಐಡೆಂಟಿಫೈಯರ್‌ನಲ್ಲಿ "ssh:" ಪೂರ್ವಪ್ರತ್ಯಯದ ಬಳಕೆಯಿಂದಾಗಿ).
    • ssh-keygen ನ ರೆಸಿಡೆಂಟ್ ಕೀ ಉತ್ಪಾದನೆಯು FIDO 2.1 ವಿವರಣೆಯಲ್ಲಿ ವಿವರಿಸಲಾದ credProtect ಆಡ್-ಆನ್‌ಗೆ ಬೆಂಬಲವನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಇದು ಟೋಕನ್‌ನಿಂದ ರೆಸಿಡೆಂಟ್ ಕೀಯನ್ನು ಹೊರತೆಗೆಯಲು ಕಾರಣವಾಗುವ ಯಾವುದೇ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ನಿರ್ವಹಿಸುವ ಮೊದಲು PIN ಅಗತ್ಯವಿರುವ ಮೂಲಕ ಕೀಗಳಿಗೆ ಹೆಚ್ಚುವರಿ ರಕ್ಷಣೆ ನೀಡುತ್ತದೆ.
  • ಸಂಭಾವ್ಯವಾಗಿ ಮುರಿಯುವ ಹೊಂದಾಣಿಕೆಯ ಬದಲಾವಣೆಗಳು:
    • FIDO/U2F ಅನ್ನು ಬೆಂಬಲಿಸಲು, libfido2 ಲೈಬ್ರರಿಯನ್ನು ಕನಿಷ್ಟ ಆವೃತ್ತಿ 1.5.0 ಅನ್ನು ಬಳಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ. ಹಳೆಯ ಆವೃತ್ತಿಗಳನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಭಾಗಶಃ ಅಳವಡಿಸಲಾಗಿದೆ, ಆದರೆ ಈ ಸಂದರ್ಭದಲ್ಲಿ, ರೆಸಿಡೆಂಟ್ ಕೀಗಳು, ಪಿನ್ ವಿನಂತಿ ಮತ್ತು ಬಹು ಟೋಕನ್‌ಗಳನ್ನು ಸಂಪರ್ಕಿಸುವಂತಹ ಕಾರ್ಯಗಳು ಲಭ್ಯವಿರುವುದಿಲ್ಲ.
    • ssh-keygen ನಲ್ಲಿ, ದೃಢೀಕರಿಸುವ ಡಿಜಿಟಲ್ ಸಹಿಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಅಗತ್ಯವಾದ ದೃಢೀಕರಣದ ಡೇಟಾವನ್ನು ದೃಢೀಕರಣ ಮಾಹಿತಿಯ ಸ್ವರೂಪಕ್ಕೆ ಸೇರಿಸಲಾಗಿದೆ, FIDO ಕೀಯನ್ನು ರಚಿಸುವಾಗ ಐಚ್ಛಿಕವಾಗಿ ಉಳಿಸಲಾಗುತ್ತದೆ.
    • FIDO ಟೋಕನ್‌ಗಳನ್ನು ಪ್ರವೇಶಿಸಲು OpenSSH ಲೇಯರ್‌ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಿದಾಗ ಬಳಸಲಾಗುವ API ಅನ್ನು ಬದಲಾಯಿಸಲಾಗಿದೆ.
    • OpenSSH ನ ಪೋರ್ಟಬಲ್ ಆವೃತ್ತಿಯನ್ನು ನಿರ್ಮಿಸುವಾಗ, ಕಾನ್ಫಿಗರ್ ಸ್ಕ್ರಿಪ್ಟ್ ಮತ್ತು ಅದರೊಂದಿಗೆ ಬಿಲ್ಡ್ ಫೈಲ್‌ಗಳನ್ನು ಉತ್ಪಾದಿಸಲು ಆಟೋಮೇಕ್ ಈಗ ಅಗತ್ಯವಿದೆ (ಪ್ರಕಟಿಸಿದ ಕೋಡ್ ಟಾರ್ ಫೈಲ್‌ನಿಂದ ನಿರ್ಮಿಸಿದರೆ, ಕಾನ್ಫಿಗರ್ ಅನ್ನು ಮರುಸೃಷ್ಟಿಸುವ ಅಗತ್ಯವಿಲ್ಲ).
  • ssh ಮತ್ತು ssh-keygen ನಲ್ಲಿ PIN ಪರಿಶೀಲನೆಯ ಅಗತ್ಯವಿರುವ FIDO ಕೀಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ. ಪಿನ್‌ನೊಂದಿಗೆ ಕೀಗಳನ್ನು ರಚಿಸಲು, "ಪರಿಶೀಲನೆ-ಅಗತ್ಯವಿದೆ" ಆಯ್ಕೆಯನ್ನು ssh-keygen ಗೆ ಸೇರಿಸಲಾಗಿದೆ. ಅಂತಹ ಕೀಲಿಗಳನ್ನು ಬಳಸಿದರೆ, ಸಹಿ ರಚನೆಯ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ನಿರ್ವಹಿಸುವ ಮೊದಲು, PIN ಕೋಡ್ ಅನ್ನು ನಮೂದಿಸುವ ಮೂಲಕ ತಮ್ಮ ಕ್ರಿಯೆಗಳನ್ನು ದೃಢೀಕರಿಸಲು ಬಳಕೆದಾರರನ್ನು ಪ್ರೇರೇಪಿಸಲಾಗುತ್ತದೆ.
  • sshd ನಲ್ಲಿ, "verify-required" ಆಯ್ಕೆಯನ್ನು authorized_keys ಸೆಟ್ಟಿಂಗ್‌ನಲ್ಲಿ ಅಳವಡಿಸಲಾಗಿದೆ, ಇದು ಟೋಕನ್‌ನೊಂದಿಗೆ ಕಾರ್ಯಾಚರಣೆಯ ಸಮಯದಲ್ಲಿ ಬಳಕೆದಾರರ ಉಪಸ್ಥಿತಿಯನ್ನು ಪರಿಶೀಲಿಸಲು ಸಾಮರ್ಥ್ಯಗಳ ಬಳಕೆಯನ್ನು ಬಯಸುತ್ತದೆ. FIDO ಮಾನದಂಡವು ಅಂತಹ ಪರಿಶೀಲನೆಗಾಗಿ ಹಲವಾರು ಆಯ್ಕೆಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ, ಆದರೆ ಪ್ರಸ್ತುತ OpenSSH PIN-ಆಧಾರಿತ ಪರಿಶೀಲನೆಯನ್ನು ಮಾತ್ರ ಬೆಂಬಲಿಸುತ್ತದೆ.
  • sshd ಮತ್ತು ssh-keygen FIDO Webauthn ಮಾನದಂಡವನ್ನು ಅನುಸರಿಸುವ ಡಿಜಿಟಲ್ ಸಹಿಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಬೆಂಬಲವನ್ನು ಸೇರಿಸಿದೆ, ಇದು FIDO ಕೀಗಳನ್ನು ವೆಬ್ ಬ್ರೌಸರ್‌ಗಳಲ್ಲಿ ಬಳಸಲು ಅನುಮತಿಸುತ್ತದೆ.
  • ssh ನಲ್ಲಿ CertificateFile ಸೆಟ್ಟಿಂಗ್‌ಗಳಲ್ಲಿ,
    ಕಂಟ್ರೋಲ್‌ಪಾತ್, ಐಡೆಂಟಿಟಿ ಏಜೆಂಟ್, ಐಡೆಂಟಿಟಿಫೈಲ್, ಲೋಕಲ್ ಫಾರ್ವರ್ಡ್ ಮತ್ತು
    ರಿಮೋಟ್‌ಫಾರ್ವರ್ಡ್ "${ENV}" ಸ್ವರೂಪದಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಪರಿಸರ ವೇರಿಯಬಲ್‌ಗಳಿಂದ ಮೌಲ್ಯಗಳ ಪರ್ಯಾಯವನ್ನು ಅನುಮತಿಸುತ್ತದೆ.

  • ssh ಮತ್ತು ssh-agent $SSH_ASKPASS_REQUIRE ಪರಿಸರ ವೇರಿಯೇಬಲ್‌ಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಿದ್ದಾರೆ, ಇದನ್ನು ssh-askpass ಕರೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಅಥವಾ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಬಳಸಬಹುದು.
  • AddKeysToAgent ನಿರ್ದೇಶನದಲ್ಲಿ ssh_config ನಲ್ಲಿ ssh ನಲ್ಲಿ, ಕೀಲಿಯ ಮಾನ್ಯತೆಯ ಅವಧಿಯನ್ನು ಮಿತಿಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಸೇರಿಸಲಾಗಿದೆ. ನಿಗದಿತ ಮಿತಿಯ ಅವಧಿ ಮುಗಿದ ನಂತರ, ಕೀಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ssh-agent ನಿಂದ ಅಳಿಸಲಾಗುತ್ತದೆ.
  • scp ಮತ್ತು sftp ನಲ್ಲಿ, "-A" ಫ್ಲ್ಯಾಗ್ ಬಳಸಿ, ನೀವು ಈಗ ssh-agent ಅನ್ನು ಬಳಸಿಕೊಂಡು scp ಮತ್ತು sftp ಗೆ ಮರುನಿರ್ದೇಶನವನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ಅನುಮತಿಸಬಹುದು (ಮರುನಿರ್ದೇಶನವನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ).
  • ssh ಸೆಟ್ಟಿಂಗ್‌ಗಳಲ್ಲಿ '%k' ಪರ್ಯಾಯಕ್ಕೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ, ಇದು ಹೋಸ್ಟ್ ಕೀ ಹೆಸರನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತದೆ. ಪ್ರತ್ಯೇಕ ಫೈಲ್‌ಗಳಲ್ಲಿ ಕೀಲಿಗಳನ್ನು ವಿತರಿಸಲು ಈ ವೈಶಿಷ್ಟ್ಯವನ್ನು ಬಳಸಬಹುದು (ಉದಾಹರಣೆಗೆ, "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
  • ಅಳಿಸಬೇಕಾದ stdin ನಿಂದ ಕೀಗಳನ್ನು ಓದಲು "ssh-add -d -" ಕಾರ್ಯಾಚರಣೆಯ ಬಳಕೆಯನ್ನು ಅನುಮತಿಸಿ.
  • sshd ನಲ್ಲಿ, ಸಂಪರ್ಕದ ಸಮರುವಿಕೆಯ ಪ್ರಕ್ರಿಯೆಯ ಪ್ರಾರಂಭ ಮತ್ತು ಅಂತ್ಯವು ಲಾಗ್‌ನಲ್ಲಿ ಪ್ರತಿಫಲಿಸುತ್ತದೆ, ಮ್ಯಾಕ್ಸ್‌ಸ್ಟಾರ್ಟ್‌ಅಪ್‌ಗಳ ನಿಯತಾಂಕವನ್ನು ಬಳಸಿಕೊಂಡು ನಿಯಂತ್ರಿಸಲಾಗುತ್ತದೆ.

ಓಪನ್‌ಎಸ್‌ಎಸ್‌ಹೆಚ್ ಡೆವಲಪರ್‌ಗಳು SHA-1 ಹ್ಯಾಶ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಅಲ್ಗಾರಿದಮ್‌ಗಳ ಮುಂಬರುವ ಡಿಕಮಿಷನ್‌ಗಳನ್ನು ಸಹ ನೆನಪಿಸಿಕೊಂಡರು ಪ್ರಚಾರ ನಿರ್ದಿಷ್ಟ ಪೂರ್ವಪ್ರತ್ಯಯದೊಂದಿಗೆ ಘರ್ಷಣೆ ದಾಳಿಯ ಪರಿಣಾಮಕಾರಿತ್ವ (ಘರ್ಷಣೆಯನ್ನು ಆಯ್ಕೆ ಮಾಡುವ ವೆಚ್ಚವು ಅಂದಾಜು 45 ಸಾವಿರ ಡಾಲರ್‌ಗಳು ಎಂದು ಅಂದಾಜಿಸಲಾಗಿದೆ). ಮುಂಬರುವ ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿ, ಸಾರ್ವಜನಿಕ ಕೀ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಅಲ್ಗಾರಿದಮ್ "ssh-rsa" ಅನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಅವರು ಯೋಜಿಸಿದ್ದಾರೆ, ಇದು SSH ಪ್ರೋಟೋಕಾಲ್‌ಗಾಗಿ ಮೂಲ RFC ನಲ್ಲಿ ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ಮತ್ತು ಆಚರಣೆಯಲ್ಲಿ ವ್ಯಾಪಕವಾಗಿ ಉಳಿದಿದೆ (ಬಳಕೆಯನ್ನು ಪರೀಕ್ಷಿಸಲು ನಿಮ್ಮ ಸಿಸ್ಟಂಗಳಲ್ಲಿ ssh-rsa, ನೀವು "-oHostKeyAlgorithms=-ssh-rsa") ಆಯ್ಕೆಯೊಂದಿಗೆ ssh ಮೂಲಕ ಸಂಪರ್ಕಿಸಲು ಪ್ರಯತ್ನಿಸಬಹುದು.

OpenSSH ನಲ್ಲಿ ಹೊಸ ಅಲ್ಗಾರಿದಮ್‌ಗಳಿಗೆ ಪರಿವರ್ತನೆಯನ್ನು ಸುಗಮಗೊಳಿಸಲು, ಮುಂದಿನ ಬಿಡುಗಡೆಯು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ UpdateHostKeys ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ, ಇದು ಕ್ಲೈಂಟ್‌ಗಳನ್ನು ಹೆಚ್ಚು ವಿಶ್ವಾಸಾರ್ಹ ಅಲ್ಗಾರಿದಮ್‌ಗಳಿಗೆ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸ್ಥಳಾಂತರಿಸುತ್ತದೆ. ವಲಸೆಗಾಗಿ ಶಿಫಾರಸು ಮಾಡಲಾದ ಕ್ರಮಾವಳಿಗಳು RFC2 RSA SHA-256 (OpenSSH 512 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ ಮತ್ತು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಬಳಸಲಾಗಿದೆ), ssh-ed8332 (OpenSSH 2 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ) ಮತ್ತು ecdsa-sha7.2-25519-n6.5 ಆಧಾರಿತ rsa-sha2-256/384 ಅನ್ನು ಒಳಗೊಂಡಿದೆ RFC521 ECDSA ನಲ್ಲಿ (OpenSSH 5656 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ).

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ