ಐದು ತಿಂಗಳ ಅಭಿವೃದ್ಧಿಯ ನಂತರ, SSH 8.5 ಮತ್ತು SFTP ಪ್ರೋಟೋಕಾಲ್ಗಳ ಮೇಲೆ ಕಾರ್ಯನಿರ್ವಹಿಸಲು ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ನ ಮುಕ್ತ ಅನುಷ್ಠಾನವಾದ OpenSSH 2.0 ಬಿಡುಗಡೆಯನ್ನು ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ.
ಕೊಟ್ಟಿರುವ ಪೂರ್ವಪ್ರತ್ಯಯದೊಂದಿಗೆ ಘರ್ಷಣೆ ದಾಳಿಯ ಹೆಚ್ಚಿದ ದಕ್ಷತೆಯಿಂದಾಗಿ SHA-1 ಹ್ಯಾಶ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಮುಂಬರುವ ಅಲ್ಗಾರಿದಮ್ಗಳ ನಿರ್ಗಮನವನ್ನು OpenSSH ಡೆವಲಪರ್ಗಳು ನಮಗೆ ನೆನಪಿಸಿದ್ದಾರೆ (ಘರ್ಷಣೆಯನ್ನು ಆಯ್ಕೆ ಮಾಡುವ ವೆಚ್ಚವು ಅಂದಾಜು $50 ಸಾವಿರ ಎಂದು ಅಂದಾಜಿಸಲಾಗಿದೆ). ಮುಂಬರುವ ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿ, "ssh-rsa" ಸಾರ್ವಜನಿಕ ಕೀ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಅವರು ಯೋಜಿಸಿದ್ದಾರೆ, ಇದನ್ನು SSH ಪ್ರೋಟೋಕಾಲ್ಗಾಗಿ ಮೂಲ RFC ನಲ್ಲಿ ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ಮತ್ತು ಆಚರಣೆಯಲ್ಲಿ ವ್ಯಾಪಕವಾಗಿ ಉಳಿದಿದೆ.
ನಿಮ್ಮ ಸಿಸ್ಟಂಗಳಲ್ಲಿ ssh-rsa ಬಳಕೆಯನ್ನು ಪರೀಕ್ಷಿಸಲು, ನೀವು “-oHostKeyAlgorithms=-ssh-rsa” ಆಯ್ಕೆಯೊಂದಿಗೆ ssh ಮೂಲಕ ಸಂಪರ್ಕಿಸಲು ಪ್ರಯತ್ನಿಸಬಹುದು. ಅದೇ ಸಮಯದಲ್ಲಿ, "ssh-rsa" ಡಿಜಿಟಲ್ ಸಹಿಗಳನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವುದು RSA ಕೀಗಳ ಬಳಕೆಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ತ್ಯಜಿಸುವುದು ಎಂದರ್ಥವಲ್ಲ, ಏಕೆಂದರೆ SHA-1 ಜೊತೆಗೆ, SSH ಪ್ರೋಟೋಕಾಲ್ ಇತರ ಹ್ಯಾಶ್ ಲೆಕ್ಕಾಚಾರದ ಅಲ್ಗಾರಿದಮ್ಗಳ ಬಳಕೆಯನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ, "ssh-rsa" ಜೊತೆಗೆ, "rsa-sha2-256" (RSA/SHA256) ಮತ್ತು "rsa-sha2-512" (RSA/SHA512) ಬಂಡಲ್ಗಳನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.
ಹೊಸ ಅಲ್ಗಾರಿದಮ್ಗಳಿಗೆ ಪರಿವರ್ತನೆಯನ್ನು ಸುಗಮಗೊಳಿಸಲು, OpenSSH 8.5 ಅಪ್ಡೇಟ್ಹೋಸ್ಟ್ಕೀಸ್ ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ, ಇದು ಗ್ರಾಹಕರು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಹೆಚ್ಚು ವಿಶ್ವಾಸಾರ್ಹ ಅಲ್ಗಾರಿದಮ್ಗಳಿಗೆ ಬದಲಾಯಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಈ ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು, ವಿಶೇಷ ಪ್ರೋಟೋಕಾಲ್ ವಿಸ್ತರಣೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ "[ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ]", ದೃಢೀಕರಣದ ನಂತರ, ಲಭ್ಯವಿರುವ ಎಲ್ಲಾ ಹೋಸ್ಟ್ ಕೀಗಳ ಬಗ್ಗೆ ಕ್ಲೈಂಟ್ಗೆ ತಿಳಿಸಲು ಸರ್ವರ್ ಅನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಕ್ಲೈಂಟ್ ಈ ಕೀಗಳನ್ನು ಅದರ ~/.ssh/known_hosts ಫೈಲ್ನಲ್ಲಿ ಪ್ರತಿಬಿಂಬಿಸಬಹುದು, ಇದು ಹೋಸ್ಟ್ ಕೀಗಳನ್ನು ನವೀಕರಿಸಲು ಅನುಮತಿಸುತ್ತದೆ ಮತ್ತು ಸರ್ವರ್ನಲ್ಲಿ ಕೀಗಳನ್ನು ಬದಲಾಯಿಸಲು ಸುಲಭವಾಗುತ್ತದೆ.
UpdateHostKeys ನ ಬಳಕೆಯು ಭವಿಷ್ಯದಲ್ಲಿ ತೆಗೆದುಹಾಕಬಹುದಾದ ಹಲವಾರು ಎಚ್ಚರಿಕೆಗಳಿಂದ ಸೀಮಿತವಾಗಿದೆ: ಕೀಯನ್ನು UserKnownHostsFile ನಲ್ಲಿ ಉಲ್ಲೇಖಿಸಬೇಕು ಮತ್ತು GlobalKnownHostsFile ನಲ್ಲಿ ಬಳಸಬಾರದು; ಕೀಲಿಯು ಒಂದೇ ಹೆಸರಿನಲ್ಲಿ ಇರಬೇಕು; ಹೋಸ್ಟ್ ಕೀ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಸಬಾರದು; ತಿಳಿದಿರುವ_ಹೋಸ್ಟ್ಗಳಲ್ಲಿ ಹೋಸ್ಟ್ ಹೆಸರಿನ ಮುಖವಾಡಗಳನ್ನು ಬಳಸಬಾರದು; VerifyHostKeyDNS ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬೇಕು; UserKnownHostsFile ಪ್ಯಾರಾಮೀಟರ್ ಸಕ್ರಿಯವಾಗಿರಬೇಕು.
ವಲಸೆಗಾಗಿ ಶಿಫಾರಸು ಮಾಡಲಾದ ಕ್ರಮಾವಳಿಗಳು RFC2 RSA SHA-256 (OpenSSH 512 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ ಮತ್ತು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಬಳಸಲಾಗಿದೆ), ssh-ed8332 (OpenSSH 2 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ) ಮತ್ತು ecdsa-sha7.2-25519-n6.5 ಆಧಾರಿತ rsa-sha2-256/384 ಅನ್ನು ಒಳಗೊಂಡಿದೆ RFC521 ECDSA ನಲ್ಲಿ (OpenSSH 5656 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ).
ಇತರ ಬದಲಾವಣೆಗಳು:
- ಭದ್ರತಾ ಬದಲಾವಣೆಗಳು:
- ಈಗಾಗಲೇ ಮುಕ್ತವಾಗಿರುವ ಮೆಮೊರಿ ಪ್ರದೇಶವನ್ನು (ಡಬಲ್-ಫ್ರೀ) ಮರು-ಮುಕ್ತಗೊಳಿಸುವುದರಿಂದ ಉಂಟಾಗುವ ದುರ್ಬಲತೆಯನ್ನು ssh-ಏಜೆಂಟ್ನಲ್ಲಿ ಸರಿಪಡಿಸಲಾಗಿದೆ. OpenSSH 8.2 ಬಿಡುಗಡೆಯಾದಾಗಿನಿಂದ ಈ ಸಮಸ್ಯೆಯು ಪ್ರಸ್ತುತವಾಗಿದೆ ಮತ್ತು ಆಕ್ರಮಣಕಾರರು ಸ್ಥಳೀಯ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ssh-ಏಜೆಂಟ್ ಸಾಕೆಟ್ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದ್ದರೆ ಅದನ್ನು ಸಮರ್ಥವಾಗಿ ಬಳಸಿಕೊಳ್ಳಬಹುದು. ಶೋಷಣೆಯನ್ನು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿಸುತ್ತದೆ ಎಂದರೆ ರೂಟ್ ಮತ್ತು ಮೂಲ ಬಳಕೆದಾರರು ಮಾತ್ರ ಸಾಕೆಟ್ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುತ್ತಾರೆ. ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಖಾತೆಗೆ ಅಥವಾ ಆಕ್ರಮಣಕಾರರು ರೂಟ್ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವ ಹೋಸ್ಟ್ಗೆ ಏಜೆಂಟ್ ಅನ್ನು ಮರುನಿರ್ದೇಶಿಸಲಾಗುತ್ತದೆ ಎಂಬುದು ಹೆಚ್ಚಾಗಿ ಆಕ್ರಮಣದ ಸನ್ನಿವೇಶವಾಗಿದೆ.
- PAM ಉಪವ್ಯವಸ್ಥೆಗೆ ಬಳಕೆದಾರ ಹೆಸರಿನೊಂದಿಗೆ ಅತಿ ದೊಡ್ಡ ನಿಯತಾಂಕಗಳನ್ನು ರವಾನಿಸುವುದರ ವಿರುದ್ಧ sshd ರಕ್ಷಣೆಯನ್ನು ಸೇರಿಸಿದೆ, ಇದು PAM (ಪ್ಲಗ್ ಮಾಡಬಹುದಾದ ದೃಢೀಕರಣ ಮಾಡ್ಯೂಲ್) ಸಿಸ್ಟಮ್ ಮಾಡ್ಯೂಲ್ಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ಸೋಲಾರಿಸ್ (CVE-2020-14871) ನಲ್ಲಿ ಇತ್ತೀಚೆಗೆ ಪತ್ತೆಯಾದ ಮೂಲ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲು sshd ಅನ್ನು ವೆಕ್ಟರ್ ಆಗಿ ಬಳಸುವುದನ್ನು ಬದಲಾವಣೆಯು ತಡೆಯುತ್ತದೆ.
- ಸಂಭಾವ್ಯವಾಗಿ ಮುರಿಯುವ ಹೊಂದಾಣಿಕೆಯ ಬದಲಾವಣೆಗಳು:
- В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо [ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ] метод теперь идентифицируется как [ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ] (sntrup4591761 ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು sntrup761 ನಿಂದ ಬದಲಾಯಿಸಲಾಗಿದೆ).
- ssh ಮತ್ತು sshd ನಲ್ಲಿ, ಬೆಂಬಲಿತ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಅಲ್ಗಾರಿದಮ್ಗಳನ್ನು ಘೋಷಿಸುವ ಕ್ರಮವನ್ನು ಬದಲಾಯಿಸಲಾಗಿದೆ. ECDSA ಬದಲಿಗೆ ED25519 ಅನ್ನು ಈಗ ಮೊದಲು ನೀಡಲಾಗುತ್ತದೆ.
- ssh ಮತ್ತು sshd ನಲ್ಲಿ, ಸಂವಾದಾತ್ಮಕ ಅವಧಿಗಳಿಗಾಗಿ ಸೇವಾ ನಿಯತಾಂಕಗಳ TOS/DSCP ಗುಣಮಟ್ಟವನ್ನು ಹೊಂದಿಸುವುದು ಈಗ TCP ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸುವ ಮೊದಲು ಮಾಡಲಾಗುತ್ತದೆ.
- ssh ಮತ್ತು sshd ನಲ್ಲಿ ಸೈಫರ್ ಬೆಂಬಲವನ್ನು ನಿಲ್ಲಿಸಲಾಗಿದೆ [ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ], ಇದು aes256-cbc ಗೆ ಹೋಲುತ್ತದೆ ಮತ್ತು RFC-4253 ಅನ್ನು ಅನುಮೋದಿಸುವ ಮೊದಲು ಬಳಸಲಾಯಿತು.
- ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, CheckHostIP ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ, ಅದರ ಪ್ರಯೋಜನವು ಅತ್ಯಲ್ಪವಾಗಿದೆ, ಆದರೆ ಅದರ ಬಳಕೆಯು ಲೋಡ್ ಬ್ಯಾಲೆನ್ಸರ್ಗಳ ಹಿಂದೆ ಹೋಸ್ಟ್ಗಳಿಗೆ ಪ್ರಮುಖ ತಿರುಗುವಿಕೆಯನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಸಂಕೀರ್ಣಗೊಳಿಸುತ್ತದೆ.
- ಕ್ಲೈಂಟ್ ವಿಳಾಸವನ್ನು ಆಧರಿಸಿ ಹ್ಯಾಂಡ್ಲರ್ಗಳನ್ನು ಪ್ರಾರಂಭಿಸುವ ತೀವ್ರತೆಯನ್ನು ಮಿತಿಗೊಳಿಸಲು PerSourceMaxStartups ಮತ್ತು PerSourceNetBlockSize ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು sshd ಗೆ ಸೇರಿಸಲಾಗಿದೆ. ಸಾಮಾನ್ಯ ಮ್ಯಾಕ್ಸ್ಸ್ಟಾರ್ಟ್ಅಪ್ಗಳ ಸೆಟ್ಟಿಂಗ್ಗೆ ಹೋಲಿಸಿದರೆ ಪ್ರಕ್ರಿಯೆಯ ಉಡಾವಣೆಗಳ ಮಿತಿಯನ್ನು ಹೆಚ್ಚು ಸೂಕ್ಷ್ಮವಾಗಿ ನಿಯಂತ್ರಿಸಲು ಈ ನಿಯತಾಂಕಗಳು ನಿಮಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಡುತ್ತವೆ.
- ಹೊಸ LogVerbose ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ssh ಮತ್ತು sshd ಗೆ ಸೇರಿಸಲಾಗಿದೆ, ಇದು ಟೆಂಪ್ಲೇಟ್ಗಳು, ಕಾರ್ಯಗಳು ಮತ್ತು ಫೈಲ್ಗಳ ಮೂಲಕ ಫಿಲ್ಟರ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯದೊಂದಿಗೆ ಲಾಗ್ಗೆ ಡಂಪ್ ಮಾಡಲಾದ ಡೀಬಗ್ ಮಾಡುವ ಮಾಹಿತಿಯನ್ನು ಬಲವಂತವಾಗಿ ಹೆಚ್ಚಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
- ssh ನಲ್ಲಿ, ಹೊಸ ಹೋಸ್ಟ್ ಕೀಯನ್ನು ಸ್ವೀಕರಿಸುವಾಗ, ಎಲ್ಲಾ ಹೋಸ್ಟ್ ಹೆಸರುಗಳು ಮತ್ತು ಕೀಗೆ ಸಂಬಂಧಿಸಿದ IP ವಿಳಾಸಗಳನ್ನು ತೋರಿಸಲಾಗುತ್ತದೆ.
- ssh ಹೋಸ್ಟ್ ಕೀಗಳನ್ನು ಗುರುತಿಸುವಾಗ Known_hosts ಫೈಲ್ ಬಳಕೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು UserKnownHostsFile=ಯಾವುದೇ ಆಯ್ಕೆಯನ್ನು ಅನುಮತಿಸುತ್ತದೆ.
- ಒಂದು KnownHostsCommand ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ssh ಗಾಗಿ ssh_config ಗೆ ಸೇರಿಸಲಾಗಿದೆ, ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಆಜ್ಞೆಯ ಔಟ್ಪುಟ್ನಿಂದ ನೀವು known_hosts ಡೇಟಾವನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ.
- SOCKS ನೊಂದಿಗೆ RemoteForward ಆಯ್ಕೆಯನ್ನು ಬಳಸುವಾಗ ಗಮ್ಯಸ್ಥಾನವನ್ನು ನಿರ್ಬಂಧಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸಲು ssh ಗಾಗಿ ssh_config ಗೆ PermitRemoteOpen ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
- FIDO ಕೀಗಳಿಗಾಗಿ ssh ನಲ್ಲಿ, ತಪ್ಪಾದ PIN ಮತ್ತು ಬಳಕೆದಾರರಿಗೆ PIN ಗಾಗಿ ಪ್ರಾಂಪ್ಟ್ ಮಾಡದ ಕಾರಣ ಡಿಜಿಟಲ್ ಸಹಿ ಕಾರ್ಯಾಚರಣೆಯ ವೈಫಲ್ಯದ ಸಂದರ್ಭದಲ್ಲಿ ಪುನರಾವರ್ತಿತ PIN ವಿನಂತಿಯನ್ನು ಒದಗಿಸಲಾಗುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಸರಿಯಾದ ಬಯೋಮೆಟ್ರಿಕ್ ಡೇಟಾವನ್ನು ಪಡೆಯಲು ಸಾಧ್ಯವಾಗದಿದ್ದಾಗ ಮತ್ತು ಸಾಧನವು ಹಸ್ತಚಾಲಿತ ಪಿನ್ ಪ್ರವೇಶಕ್ಕೆ ಹಿಂತಿರುಗಿತು).
- sshd ಲಿನಕ್ಸ್ನಲ್ಲಿನ seccomp-bpf-ಆಧಾರಿತ ಪ್ರಕ್ರಿಯೆ ಪ್ರತ್ಯೇಕತೆಯ ಕಾರ್ಯವಿಧಾನಕ್ಕೆ ಹೆಚ್ಚುವರಿ ಸಿಸ್ಟಮ್ ಕರೆಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸುತ್ತದೆ.
- contrib/ssh-copy-id ಸೌಲಭ್ಯವನ್ನು ನವೀಕರಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru