ಪ್ರೊಹೋಸ್ಟರ್ > FIDO/U8.2F ಎರಡು-ಅಂಶ ದೃಢೀಕರಣ ಟೋಕನ್‌ಗಳಿಗೆ ಬೆಂಬಲದೊಂದಿಗೆ OpenSSH 2 ಬಿಡುಗಡೆ

FIDO/U8.2F ಎರಡು-ಅಂಶ ದೃಢೀಕರಣ ಟೋಕನ್‌ಗಳಿಗೆ ಬೆಂಬಲದೊಂದಿಗೆ OpenSSH 2 ಬಿಡುಗಡೆ

ನಾಲ್ಕು ತಿಂಗಳ ಅಭಿವೃದ್ಧಿಯ ನಂತರ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ ಬಿಡುಗಡೆ OpenSSH 8.2, SSH 2.0 ಮತ್ತು SFTP ಪ್ರೋಟೋಕಾಲ್‌ಗಳ ಮೂಲಕ ಕೆಲಸ ಮಾಡಲು ಮುಕ್ತ ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ಅನುಷ್ಠಾನ.

ಓಪನ್‌ಎಸ್‌ಎಸ್‌ಹೆಚ್ 8.2 ಬಿಡುಗಡೆಯಲ್ಲಿನ ಪ್ರಮುಖ ಸುಧಾರಣೆಯೆಂದರೆ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬೆಂಬಲಿಸುವ ಸಾಧನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಎರಡು-ಅಂಶ ದೃಢೀಕರಣವನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯ. ಯು 2 ಎಫ್, ಮೈತ್ರಿಯಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ ಫಿಡೋ. U2F ಬಳಕೆದಾರರ ಭೌತಿಕ ಉಪಸ್ಥಿತಿಯನ್ನು ಪರಿಶೀಲಿಸಲು ಕಡಿಮೆ-ವೆಚ್ಚದ ಹಾರ್ಡ್‌ವೇರ್ ಟೋಕನ್‌ಗಳನ್ನು ರಚಿಸಲು ಅನುಮತಿಸುತ್ತದೆ, USB, ಬ್ಲೂಟೂತ್ ಅಥವಾ NFC ಮೂಲಕ ಅವರೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುತ್ತದೆ. ಅಂತಹ ಸಾಧನಗಳನ್ನು ವೆಬ್‌ಸೈಟ್‌ಗಳಲ್ಲಿ ಎರಡು-ಅಂಶ ದೃಢೀಕರಣದ ಸಾಧನವಾಗಿ ಪ್ರಚಾರ ಮಾಡಲಾಗುತ್ತದೆ, ಈಗಾಗಲೇ ಪ್ರಮುಖ ಬ್ರೌಸರ್‌ಗಳಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ ಮತ್ತು ಯುಬಿಕೊ, ಫೀಟಿಯನ್, ಥೆಟಿಸ್ ಮತ್ತು ಕೆನ್ಸಿಂಗ್‌ಟನ್ ಸೇರಿದಂತೆ ವಿವಿಧ ತಯಾರಕರು ಉತ್ಪಾದಿಸುತ್ತಾರೆ.

ಬಳಕೆದಾರರ ಉಪಸ್ಥಿತಿಯನ್ನು ದೃಢೀಕರಿಸುವ ಸಾಧನಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು, ಹೊಸ ಕೀ ಪ್ರಕಾರಗಳಾದ “ecdsa-sk” ಮತ್ತು “ed25519-sk” ಅನ್ನು OpenSSH ಗೆ ಸೇರಿಸಲಾಗಿದೆ, ಇದು ECDSA ಮತ್ತು Ed25519 ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು SHA-256 ಹ್ಯಾಶ್‌ನೊಂದಿಗೆ ಸಂಯೋಜಿಸುತ್ತದೆ. ಟೋಕನ್‌ಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುವ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಮಧ್ಯಂತರ ಲೈಬ್ರರಿಯಲ್ಲಿ ಇರಿಸಲಾಗುತ್ತದೆ, ಇದನ್ನು PKCS#11 ಬೆಂಬಲಕ್ಕಾಗಿ ಲೈಬ್ರರಿಗೆ ಹೋಲುವ ರೀತಿಯಲ್ಲಿ ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು ಇದು ಲೈಬ್ರರಿಯ ಮೇಲ್ಭಾಗದಲ್ಲಿ ಹೊದಿಕೆಯಾಗಿದೆ. libfido2, ಇದು USB ಮೂಲಕ ಟೋಕನ್‌ಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು ಪರಿಕರಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ (FIDO U2F/CTAP 1 ಮತ್ತು FIDO 2.0/CTAP 2 ಪ್ರೋಟೋಕಾಲ್‌ಗಳು ಬೆಂಬಲಿತವಾಗಿದೆ). OpenSSH ಡೆವಲಪರ್‌ಗಳು ಸಿದ್ಧಪಡಿಸಿದ ಮಧ್ಯಂತರ ಲೈಬ್ರರಿ libsk-libfido2 ಸೇರಿಸಲಾಗಿದೆ ಕೋರ್ libfido2 ಒಳಗೆ, ಹಾಗೆಯೇ HID ಚಾಲಕ OpenBSD ಗಾಗಿ.

ಕೀಲಿಯನ್ನು ದೃಢೀಕರಿಸಲು ಮತ್ತು ರಚಿಸಲು, ನೀವು ಸೆಟ್ಟಿಂಗ್‌ಗಳಲ್ಲಿ "SecurityKeyProvider" ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕು ಅಥವಾ SSH_SK_PROVIDER ಪರಿಸರ ವೇರಿಯೇಬಲ್ ಅನ್ನು ಹೊಂದಿಸಬೇಕು, ಇದು ಬಾಹ್ಯ ಲೈಬ್ರರಿಗೆ ಮಾರ್ಗವನ್ನು ಸೂಚಿಸುತ್ತದೆ libsk-libfido2.so (ರಫ್ತು SSH_SK_PROVIDER/libsk-libsk-libsk ಆದ್ದರಿಂದ). ಲೇಯರ್ ಲೈಬ್ರರಿಗೆ ಅಂತರ್ನಿರ್ಮಿತ ಬೆಂಬಲದೊಂದಿಗೆ openssh ಅನ್ನು ನಿರ್ಮಿಸಲು ಸಾಧ್ಯವಿದೆ (--with-security-key-builtin), ಈ ಸಂದರ್ಭದಲ್ಲಿ ನೀವು "SecurityKeyProvider=internal" ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ಹೊಂದಿಸಬೇಕಾಗುತ್ತದೆ.
ಮುಂದೆ ನೀವು "ssh-keygen -t ecdsa-sk" ಅನ್ನು ಚಲಾಯಿಸಬೇಕು ಅಥವಾ ಕೀಗಳನ್ನು ಈಗಾಗಲೇ ರಚಿಸಿದ್ದರೆ ಮತ್ತು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ್ದರೆ, "ssh" ಅನ್ನು ಬಳಸಿಕೊಂಡು ಸರ್ವರ್‌ಗೆ ಸಂಪರ್ಕಪಡಿಸಿ. ನೀವು ssh-keygen ಅನ್ನು ಚಲಾಯಿಸಿದಾಗ, ರಚಿಸಲಾದ ಕೀ ಜೋಡಿಯನ್ನು “~/.ssh/id_ecdsa_sk” ನಲ್ಲಿ ಉಳಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಇತರ ಕೀಲಿಗಳಂತೆಯೇ ಬಳಸಬಹುದು.

ಸಾರ್ವಜನಿಕ ಕೀ (id_ecdsa_sk.pub) ಅನ್ನು ಅಧಿಕೃತ_ಕೀಸ್ ಫೈಲ್‌ನಲ್ಲಿ ಸರ್ವರ್‌ಗೆ ನಕಲಿಸಬೇಕು. ಸರ್ವರ್ ಬದಿಯಲ್ಲಿ, ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ಮಾತ್ರ ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಕ್ಲೈಂಟ್ ಬದಿಯಲ್ಲಿ ಟೋಕನ್‌ಗಳೊಂದಿಗಿನ ಸಂವಹನವನ್ನು ನಡೆಸಲಾಗುತ್ತದೆ (ನೀವು ಸರ್ವರ್‌ನಲ್ಲಿ libsk-libfido2 ಅನ್ನು ಸ್ಥಾಪಿಸುವ ಅಗತ್ಯವಿಲ್ಲ, ಆದರೆ ಸರ್ವರ್ “ecdsa-sk” ಕೀ ಪ್ರಕಾರವನ್ನು ಬೆಂಬಲಿಸಬೇಕು) . ರಚಿಸಲಾದ ಖಾಸಗಿ ಕೀ (id_ecdsa_sk) ಮೂಲಭೂತವಾಗಿ ಒಂದು ಪ್ರಮುಖ ಹ್ಯಾಂಡಲ್ ಆಗಿದೆ, U2F ಟೋಕನ್ ಭಾಗದಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾದ ರಹಸ್ಯ ಅನುಕ್ರಮದ ಸಂಯೋಜನೆಯಲ್ಲಿ ಮಾತ್ರ ನೈಜ ಕೀಲಿಯನ್ನು ರೂಪಿಸುತ್ತದೆ. id_ecdsa_sk ಕೀ ದಾಳಿಕೋರನ ಕೈಗೆ ಬಿದ್ದರೆ, ದೃಢೀಕರಣವನ್ನು ರವಾನಿಸಲು ಅವನು ಹಾರ್ಡ್‌ವೇರ್ ಟೋಕನ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬೇಕಾಗುತ್ತದೆ, ಅದು ಇಲ್ಲದೆ id_ecdsa_sk ಫೈಲ್‌ನಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ ಖಾಸಗಿ ಕೀ ನಿಷ್ಪ್ರಯೋಜಕವಾಗಿದೆ.

ಹೆಚ್ಚುವರಿಯಾಗಿ, ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಕೀಲಿಗಳೊಂದಿಗೆ ಯಾವುದೇ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ನಿರ್ವಹಿಸುವಾಗ (ಪೀಳಿಗೆಯ ಸಮಯದಲ್ಲಿ ಮತ್ತು ದೃಢೀಕರಣದ ಸಮಯದಲ್ಲಿ), ಬಳಕೆದಾರರ ಭೌತಿಕ ಉಪಸ್ಥಿತಿಯ ಸ್ಥಳೀಯ ದೃಢೀಕರಣದ ಅಗತ್ಯವಿರುತ್ತದೆ, ಉದಾಹರಣೆಗೆ, ಟೋಕನ್‌ನಲ್ಲಿ ಸಂವೇದಕವನ್ನು ಸ್ಪರ್ಶಿಸಲು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ, ಅದು ಕಷ್ಟವಾಗುತ್ತದೆ ಸಂಪರ್ಕಿತ ಟೋಕನ್ ಹೊಂದಿರುವ ಸಿಸ್ಟಂಗಳ ಮೇಲೆ ರಿಮೋಟ್ ದಾಳಿಗಳನ್ನು ಕೈಗೊಳ್ಳಿ. ರಕ್ಷಣೆಯ ಮತ್ತೊಂದು ಮಾರ್ಗವಾಗಿ, ಕೀ ಫೈಲ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ssh-keygen ನ ಆರಂಭಿಕ ಹಂತದಲ್ಲಿ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಸಹ ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು.

OpenSSH ನ ಹೊಸ ಆವೃತ್ತಿಯು SHA-1 ಹ್ಯಾಶ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಅಲ್ಗಾರಿದಮ್‌ಗಳ ಮುಂಬರುವ ಅಸಮ್ಮತಿಯನ್ನು ಸಹ ಘೋಷಿಸಿತು ಪ್ರಚಾರ ನಿರ್ದಿಷ್ಟ ಪೂರ್ವಪ್ರತ್ಯಯದೊಂದಿಗೆ ಘರ್ಷಣೆ ದಾಳಿಯ ಪರಿಣಾಮಕಾರಿತ್ವ (ಘರ್ಷಣೆಯನ್ನು ಆಯ್ಕೆ ಮಾಡುವ ವೆಚ್ಚವು ಅಂದಾಜು 45 ಸಾವಿರ ಡಾಲರ್‌ಗಳು ಎಂದು ಅಂದಾಜಿಸಲಾಗಿದೆ). ಮುಂಬರುವ ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿ, ಸಾರ್ವಜನಿಕ ಕೀ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಅಲ್ಗಾರಿದಮ್ "ssh-rsa" ಅನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಅವರು ಯೋಜಿಸಿದ್ದಾರೆ, ಇದು SSH ಪ್ರೋಟೋಕಾಲ್‌ಗಾಗಿ ಮೂಲ RFC ನಲ್ಲಿ ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ಮತ್ತು ಆಚರಣೆಯಲ್ಲಿ ವ್ಯಾಪಕವಾಗಿ ಉಳಿದಿದೆ (ಬಳಕೆಯನ್ನು ಪರೀಕ್ಷಿಸಲು ನಿಮ್ಮ ಸಿಸ್ಟಂಗಳಲ್ಲಿ ssh-rsa, ನೀವು "-oHostKeyAlgorithms=-ssh-rsa") ಆಯ್ಕೆಯೊಂದಿಗೆ ssh ಮೂಲಕ ಸಂಪರ್ಕಿಸಲು ಪ್ರಯತ್ನಿಸಬಹುದು.

OpenSSH ನಲ್ಲಿ ಹೊಸ ಅಲ್ಗಾರಿದಮ್‌ಗಳಿಗೆ ಪರಿವರ್ತನೆಯನ್ನು ಸುಗಮಗೊಳಿಸಲು, ಭವಿಷ್ಯದ ಬಿಡುಗಡೆಯಲ್ಲಿ UpdateHostKeys ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ, ಇದು ಕ್ಲೈಂಟ್‌ಗಳನ್ನು ಹೆಚ್ಚು ವಿಶ್ವಾಸಾರ್ಹ ಅಲ್ಗಾರಿದಮ್‌ಗಳಿಗೆ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸ್ಥಳಾಂತರಿಸುತ್ತದೆ. ವಲಸೆಗಾಗಿ ಶಿಫಾರಸು ಮಾಡಲಾದ ಅಲ್ಗಾರಿದಮ್‌ಗಳು RFC2 RSA SHA-256 (OpenSSH 512 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ ಮತ್ತು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಬಳಸಲಾಗಿದೆ), ssh-ed8332 (OpenSSH 2 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ) ಮತ್ತು ecdsa-sha7.2-25519/6.5 ಆಧಾರಿತ rsa-sha2-256-n384 RFC521 ECDSA ನಲ್ಲಿ (OpenSSH 5656 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ).

OpenSSH 8.2 ರಲ್ಲಿ, “ssh-rsa” ಅನ್ನು ಬಳಸಿಕೊಂಡು ಸಂಪರ್ಕಿಸುವ ಸಾಮರ್ಥ್ಯವು ಇನ್ನೂ ಲಭ್ಯವಿದೆ, ಆದರೆ ಈ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು CASignatureAlgorithms ಪಟ್ಟಿಯಿಂದ ತೆಗೆದುಹಾಕಲಾಗಿದೆ, ಇದು ಹೊಸ ಪ್ರಮಾಣಪತ್ರಗಳಿಗೆ ಡಿಜಿಟಲ್ ಸಹಿ ಮಾಡಲು ಅನುಮತಿಸಲಾದ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ. ಅಂತೆಯೇ, ಡಿಫಿ-ಹೆಲ್‌ಮ್ಯಾನ್-ಗ್ರೂಪ್14-ಶಾ1 ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಡೀಫಾಲ್ಟ್ ಕೀ ವಿನಿಮಯ ಕ್ರಮಾವಳಿಗಳಿಂದ ತೆಗೆದುಹಾಕಲಾಗಿದೆ. ಪ್ರಮಾಣಪತ್ರಗಳಲ್ಲಿ SHA-1 ಬಳಕೆಯು ಹೆಚ್ಚುವರಿ ಅಪಾಯದೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದೆ ಎಂದು ಗಮನಿಸಲಾಗಿದೆ, ಏಕೆಂದರೆ ಆಕ್ರಮಣಕಾರರು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಪ್ರಮಾಣಪತ್ರಕ್ಕಾಗಿ ಘರ್ಷಣೆಯನ್ನು ಹುಡುಕಲು ಅನಿಯಮಿತ ಸಮಯವನ್ನು ಹೊಂದಿರುತ್ತಾರೆ, ಆದರೆ ಹೋಸ್ಟ್ ಕೀಗಳ ಮೇಲಿನ ದಾಳಿಯ ಸಮಯವು ಸಂಪರ್ಕದ ಸಮಯ ಮೀರುವ ಮೂಲಕ ಸೀಮಿತವಾಗಿರುತ್ತದೆ (LoginGraceTime )

ssh-keygen ಅನ್ನು ಚಾಲನೆ ಮಾಡುವುದು ಈಗ rsa-sha2-512 ಅಲ್ಗಾರಿದಮ್‌ಗೆ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿದೆ, ಇದು OpenSSH 7.2 ರಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ, ಇದು ಹಳೆಯ OpenSSH ಬಿಡುಗಡೆಗಳನ್ನು ಚಾಲನೆಯಲ್ಲಿರುವ ಸಿಸ್ಟಮ್‌ಗಳಲ್ಲಿ OpenSSH 8.2 ನಲ್ಲಿ ಸಹಿ ಮಾಡಲಾದ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಪ್ರಯತ್ನಿಸುವಾಗ ಹೊಂದಾಣಿಕೆ ಸಮಸ್ಯೆಗಳನ್ನು ರಚಿಸಬಹುದು (ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲು ಯಾವಾಗ ಸಹಿಯನ್ನು ರಚಿಸುವಾಗ, ನೀವು "ssh-keygen -t ssh-rsa" ಅನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ಸೂಚಿಸಬಹುದು ಅಥವಾ ecdsa-sha2-nistp256/384/521 ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ಬಳಸಬಹುದು, ಇದನ್ನು OpenSSH 5.7 ರಿಂದ ಬೆಂಬಲಿಸಲಾಗುತ್ತದೆ).

ಇತರ ಬದಲಾವಣೆಗಳು:

  • sshd_config ಗೆ Include ಡೈರೆಕ್ಟಿವ್ ಅನ್ನು ಸೇರಿಸಲಾಗಿದೆ, ಇದು ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್‌ನ ಪ್ರಸ್ತುತ ಸ್ಥಾನದಲ್ಲಿ ಇತರ ಫೈಲ್‌ಗಳ ವಿಷಯಗಳನ್ನು ಸೇರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ (ಫೈಲ್ ಹೆಸರನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವಾಗ ಗ್ಲೋಬ್ ಮಾಸ್ಕ್‌ಗಳನ್ನು ಬಳಸಬಹುದು);
  • "ನೋ-ಟಚ್-ಅವಶ್ಯಕ" ಆಯ್ಕೆಯನ್ನು ssh-keygen ಗೆ ಸೇರಿಸಲಾಗಿದೆ, ಇದು ಕೀಲಿಯನ್ನು ರಚಿಸುವಾಗ ಟೋಕನ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಭೌತಿಕವಾಗಿ ದೃಢೀಕರಿಸುವ ಅಗತ್ಯವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ;
  • PubkeyAuthOptions ನಿರ್ದೇಶನವನ್ನು sshd_config ಗೆ ಸೇರಿಸಲಾಗಿದೆ, ಇದು ಸಾರ್ವಜನಿಕ ಕೀ ದೃಢೀಕರಣಕ್ಕೆ ಸಂಬಂಧಿಸಿದ ವಿವಿಧ ಆಯ್ಕೆಗಳನ್ನು ಸಂಯೋಜಿಸುತ್ತದೆ. ಪ್ರಸ್ತುತ, ಟೋಕನ್ ದೃಢೀಕರಣಕ್ಕಾಗಿ ಭೌತಿಕ ಉಪಸ್ಥಿತಿ ಪರಿಶೀಲನೆಗಳನ್ನು ಬಿಟ್ಟುಬಿಡಲು "ನೋ-ಟಚ್-ಅವಶ್ಯಕ" ಫ್ಲ್ಯಾಗ್ ಅನ್ನು ಮಾತ್ರ ಬೆಂಬಲಿಸಲಾಗುತ್ತದೆ. ಸಾದೃಶ್ಯದ ಮೂಲಕ, "no-touch-required" ಆಯ್ಕೆಯನ್ನು authorized_keys ಫೈಲ್‌ಗೆ ಸೇರಿಸಲಾಗಿದೆ;
  • ಕೀಗಳನ್ನು ರಚಿಸುವಾಗ ಹೆಚ್ಚುವರಿ FIDO ದೃಢೀಕರಣ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬರೆಯಲು ಅನುಮತಿಸಲು ssh-keygen ಗೆ "-O ರೈಟ್-ಅಟೆಸ್ಟೇಶನ್=/ಪಾತ್" ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ. OpenSSH ಇನ್ನೂ ಈ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸುತ್ತಿಲ್ಲ, ಆದರೆ ನಂತರ ಅವುಗಳನ್ನು ವಿಶ್ವಾಸಾರ್ಹ ಹಾರ್ಡ್‌ವೇರ್ ಅಂಗಡಿಯಲ್ಲಿ ಇರಿಸಲಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಲು ಬಳಸಬಹುದು;
  • ssh ಮತ್ತು sshd ಸೆಟ್ಟಿಂಗ್‌ಗಳಲ್ಲಿ, IPQoS ನಿರ್ದೇಶನದ ಮೂಲಕ ಸಂಚಾರ ಆದ್ಯತೆಯ ಮೋಡ್ ಅನ್ನು ಹೊಂದಿಸಲು ಈಗ ಸಾಧ್ಯವಿದೆ LE DSCP (ಲೋವರ್-ಎಫರ್ಟ್ ಪರ್-ಹಾಪ್ ಬಿಹೇವಿಯರ್);
  • ssh ನಲ್ಲಿ, “AddKeysToAgent=yes” ಮೌಲ್ಯವನ್ನು ಹೊಂದಿಸುವಾಗ, ಕೀಲಿಯು ಕಾಮೆಂಟ್ ಕ್ಷೇತ್ರವನ್ನು ಹೊಂದಿಲ್ಲದಿದ್ದರೆ, ಅದನ್ನು ಕಾಮೆಂಟ್‌ನಂತೆ ಕೀಗೆ ಮಾರ್ಗವನ್ನು ಸೂಚಿಸುವ ssh-ಏಜೆಂಟ್‌ಗೆ ಸೇರಿಸಲಾಗುತ್ತದೆ. IN
    ssh-keygen ಮತ್ತು ssh-agent ಸಹ ಈಗ PKCS#11 ಲೇಬಲ್‌ಗಳನ್ನು ಮತ್ತು ಕೀಲಿಯಲ್ಲಿನ ಕಾಮೆಂಟ್‌ಗಳಾಗಿ ಲೈಬ್ರರಿ ಮಾರ್ಗದ ಬದಲಿಗೆ X.509 ವಿಷಯದ ಹೆಸರನ್ನು ಬಳಸುತ್ತಾರೆ;

  • DSA ಮತ್ತು ECDSA ಕೀಗಳನ್ನು ssh-keygen ಗೆ PEM ಅನ್ನು ರಫ್ತು ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
  • FIDO/U2F ಟೋಕನ್ ಪ್ರವೇಶ ಲೈಬ್ರರಿಯನ್ನು ಪ್ರತ್ಯೇಕಿಸಲು ಬಳಸಲಾಗುವ ಹೊಸ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ, ssh-sk-helper ಅನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
  • zlib ಲೈಬ್ರರಿ ಬೆಂಬಲದೊಂದಿಗೆ ಸಂಕಲನಕ್ಕಾಗಿ ssh ಮತ್ತು sshd ಗೆ “--with-zlib” ಬಿಲ್ಡ್ ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
  • RFC4253 ನ ಅವಶ್ಯಕತೆಗೆ ಅನುಗುಣವಾಗಿ, ಸಂಪರ್ಕದ ಸಮಯದಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾದ ಬ್ಯಾನರ್‌ನಲ್ಲಿ MaxStartup ಮಿತಿಗಳನ್ನು ಮೀರಿದ ಕಾರಣದಿಂದ ಪ್ರವೇಶ ನಿರ್ಬಂಧಿಸುವಿಕೆಯ ಬಗ್ಗೆ ಎಚ್ಚರಿಕೆಯನ್ನು ಒದಗಿಸಲಾಗಿದೆ. ರೋಗನಿರ್ಣಯವನ್ನು ಸರಳಗೊಳಿಸಲು, ps ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸುವಾಗ ಗೋಚರಿಸುವ sshd ಪ್ರಕ್ರಿಯೆಯ ಹೆಡರ್, ಈಗ ಪ್ರಸ್ತುತ ದೃಢೀಕರಿಸಿದ ಸಂಪರ್ಕಗಳ ಸಂಖ್ಯೆ ಮತ್ತು MaxStartup ಮಿತಿಯ ಸ್ಥಿತಿಯನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ;
  • ssh ಮತ್ತು ssh-ಏಜೆಂಟ್‌ನಲ್ಲಿ, $SSH_ASKPASS ಮೂಲಕ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಪರದೆಯ ಮೇಲೆ ಆಹ್ವಾನವನ್ನು ಪ್ರದರ್ಶಿಸಲು ಪ್ರೋಗ್ರಾಂಗೆ ಕರೆ ಮಾಡಿದಾಗ, ಆಹ್ವಾನದ ಪ್ರಕಾರವನ್ನು ಹೊಂದಿರುವ ಫ್ಲ್ಯಾಗ್ ಅನ್ನು ಈಗ ಹೆಚ್ಚುವರಿಯಾಗಿ ರವಾನಿಸಲಾಗುತ್ತದೆ: “ದೃಢೀಕರಿಸಿ” - ದೃಢೀಕರಣ ಸಂವಾದ (ಹೌದು/ಇಲ್ಲ), “ಯಾವುದೂ ಇಲ್ಲ ” - ಮಾಹಿತಿ ಸಂದೇಶ, “ಖಾಲಿ” — ಪಾಸ್‌ವರ್ಡ್ ವಿನಂತಿ;
  • ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್‌ನೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ ಬಳಕೆದಾರರಿಗೆ ಅನುಮತಿಸಲಾದ-ಸಹಿದಾರರ ಫೈಲ್ ಅನ್ನು ಹುಡುಕಲು ssh-keygen ಗೆ ಹೊಸ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ಸ್ ಆಪರೇಷನ್ "ಫೈಂಡ್-ಪ್ರಿನ್ಸಿಪಲ್ಸ್" ಅನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
  • seccomp ಕಾರ್ಯವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು Linux ನಲ್ಲಿ sshd ಪ್ರಕ್ರಿಯೆ ಪ್ರತ್ಯೇಕತೆಗೆ ಸುಧಾರಿತ ಬೆಂಬಲ: IPC ಸಿಸ್ಟಮ್ ಕರೆಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವುದು, clock_gettime64(), clock_nanosleep_time64 ಮತ್ತು clock_nanosleep() ಅನ್ನು ಅನುಮತಿಸುತ್ತದೆ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ