OpenSSH 8.0 출시

XNUMX개월간의 개발 끝에 제시된 석방하다 OpenSSH 8.0, SSH 2.0 및 SFTP 프로토콜을 통해 작업하기 위한 개방형 클라이언트 및 서버 구현입니다.

주요 변경 사항 :

• 양자 컴퓨터에 대한 무차별 대입 공격에 저항하는 키 교환 방법에 대한 실험적 지원이 ssh 및 sshd에 추가되었습니다. 양자 컴퓨터는 현대 비대칭 암호화 알고리즘의 기초가 되고 기존 프로세서에서는 효과적으로 해결할 수 없는 자연수를 소인수로 분해하는 문제를 해결하는 데 근본적으로 더 빠릅니다. 제안하는 방법은 알고리즘을 기반으로 한다. NTRU 프라임 (함수 ntrup4591761), 포스트 양자 암호 시스템용으로 개발되었으며 타원 곡선 키 교환 방법 X25519;
• sshd에서 ListenAddress 및 PermitOpen 지시문은 IPv2001 작업을 단순화하기 위해 "host:port" 대신 6년에 구현된 레거시 "host/port" 구문을 더 이상 지원하지 않습니다. 현대 상황에서는 IPv6에 대해 "[::1]:22" 구문이 설정되었으며 "호스트/포트"는 종종 서브넷(CIDR)을 나타내는 것과 혼동됩니다.
• ssh, ssh-agent 및 ssh-add는 이제 키를 지원합니다. ECDSA PKCS#11 토큰에서;
• ssh-keygen에서는 새로운 NIST 권장 사항에 따라 기본 RSA 키 크기가 3072비트로 늘어났습니다.
• ssh에서는 "PKCS11Provider=none" 설정을 사용하여 ssh_config에 지정된 PKCS11Provider 지시어를 재정의할 수 있습니다.
• sshd는 sshd_config의 "ForceCommand=internal-sftp" 제한으로 인해 차단된 명령을 실행하려고 시도할 때 연결이 종료되는 상황에 대한 로그 표시를 제공합니다.
• SSH에서 새 호스트 키 수락을 확인하는 요청을 표시할 때 "예" 응답 대신 이제 키의 올바른 지문이 수락됩니다(연결 확인 초대에 대한 응답으로 사용자는 수동으로 비교하지 않도록 클립보드를 통해 별도로 수신된 참조 해시)
• ssh-keygen은 명령줄에서 여러 인증서에 대한 디지털 서명을 생성할 때 인증서 시퀀스 번호의 자동 증가를 제공합니다.
• ProxyJump 설정과 동일한 새로운 옵션 "-J"가 scp 및 sftp에 추가되었습니다.
• ssh-agent, ssh-pkcs11-helper 및 ssh-add에서 출력의 정보 내용을 늘리기 위해 "-v" 명령줄 옵션 처리가 추가되었습니다(지정된 경우 이 옵션은 하위 프로세스에 전달됩니다. 예를 들어 ssh-pkcs11-helper가 ssh-agent에서 호출되는 경우)
• 디지털 서명 생성 및 확인 작업을 수행하기 위해 ssh-agent의 키 적합성을 테스트하기 위해 "-T" 옵션이 ssh-add에 추가되었습니다.
• sftp-server는 "openssh.com의 lsetstat" 프로토콜 확장에 대한 지원을 구현합니다. 이는 SFTP에 대한 SSH2_FXP_SETSTAT 작업에 대한 지원을 추가하지만 다음 기호 링크는 포함하지 않습니다.
• 기호 링크를 사용하지 않는 요청으로 chown/chgrp/chmod 명령을 실행하기 위해 sftp에 "-h" 옵션을 추가했습니다.
• sshd는 PAM에 대한 $SSH_CONNECTION 환경 변수 설정을 제공합니다.
• sshd의 경우 "Match final" 일치 모드가 ssh_config에 추가되었습니다. 이는 "Match canonical"과 유사하지만 호스트 이름 정규화를 활성화할 필요는 없습니다.
• 배치 모드에서 실행된 명령 출력의 변환을 비활성화하기 위해 sftp에 '@' 접두사에 대한 지원이 추가되었습니다.
• 명령을 사용하여 인증서의 내용을 표시하는 경우
  "ssh-keygen -Lf /path/certificate"는 이제 CA가 인증서의 유효성을 검사하는 데 사용하는 알고리즘을 표시합니다.

• 그룹 및 사용자 이름의 대소문자를 구분하지 않는 비교 기능을 제공하는 등 Cygwin 환경에 대한 지원이 향상되었습니다. Microsoft 제공 OpenSSH 포트와의 간섭을 피하기 위해 Cygwin 포트의 sshd 프로세스가 cygsshd로 변경되었습니다.
• 실험적인 OpenSSL 3.x 분기를 사용하여 빌드하는 기능이 추가되었습니다.
• 제거됨 취약점 (CVE-2019-6111) 공격자가 제어하는 ​​서버에 액세스할 때 클라이언트 측에서 대상 디렉터리의 임의 파일을 덮어쓸 수 있도록 허용하는 scp 유틸리티 구현에 있습니다. 문제는 scp를 사용할 때 서버가 클라이언트에 보낼 파일과 디렉터리를 결정하고 클라이언트는 반환된 개체 이름의 정확성만 확인한다는 것입니다. 클라이언트 측 검사는 현재 디렉터리("../")를 벗어나는 이동을 차단하는 것으로 제한되지만 원래 요청한 이름과 다른 이름을 가진 파일의 전송은 고려하지 않습니다. 재귀복사(-r)의 경우 파일명 외에도 하위 디렉터리의 이름도 비슷한 방식으로 조작할 수 있다. 예를 들어, 사용자가 홈 디렉터리에 파일을 복사하면 공격자가 제어하는 ​​서버는 요청한 파일 대신 .bash_aliases 또는 .ssh/authorized_keys라는 이름의 파일을 생성할 수 있으며 scp 유틸리티에 의해 사용자의 디렉터리에 저장됩니다. 홈 디렉토리.

  새 릴리스에서는 scp 유틸리티가 업데이트되어 요청된 파일 이름과 클라이언트 측에서 수행되는 서버에서 보낸 파일 이름 간의 일치성을 확인합니다. 마스크 확장 문자가 서버측과 클라이언트측에서 다르게 처리될 수 있으므로 마스크 처리에 문제가 발생할 수 있습니다. 이러한 차이로 인해 클라이언트가 scp에서 파일 수락을 중지하는 경우 클라이언트 측 검사를 비활성화하기 위해 "-T" 옵션이 추가되었습니다. 문제를 완전히 해결하려면 scp 프로토콜의 개념적 재작업이 필요하며, 이 프로토콜 자체는 이미 구식이므로 대신 sftp 및 rsync와 같은 보다 현대적인 프로토콜을 사용하는 것이 좋습니다.

출처 : opennet.ru