OpenSSH 8.4 출시

XNUMX개월간의 개발 끝에 제시된 SSH 8.4 및 SFTP 프로토콜을 사용하여 작업하기 위한 개방형 클라이언트 및 서버 구현인 OpenSSH 2.0 릴리스입니다.

주요 변경 사항 :

• 보안 변경 사항:
  • ssh-agent에서 SSH 인증을 위해 생성되지 않은 FIDO 키를 사용할 때(키 ID는 "ssh:" 문자열로 시작하지 않음) SSH 프로토콜에 사용된 방법을 사용하여 메시지가 서명되는지 확인합니다. 변경 사항으로 인해 ssh-agent가 FIDO 키가 있는 원격 호스트로 리디렉션되어 웹 인증 요청에 대한 서명을 생성하기 위해 이러한 키를 사용하는 기능을 차단하는 것이 허용되지 않습니다(역의 경우, 브라우저가 SSH 요청에 서명할 수 있는 경우는 처음에 제외됨). 키 식별자에 "ssh:" 접두사를 사용하기 때문입니다).
  • ssh-keygen의 상주 키 생성에는 FIDO 2.1 사양에 설명된 credProtect 추가 기능에 대한 지원이 포함되어 있습니다. 이 추가 기능은 토큰에서 상주 키를 추출할 수 있는 작업을 수행하기 전에 PIN을 요구하여 키에 대한 추가 보호를 제공합니다.
• 잠재적인 호환성 변경 사항:
  • FIDO/U2F를 지원하려면 libfido2 라이브러리 버전 1.5.0 이상을 사용하는 것이 좋습니다. 이전 버전을 사용하는 기능은 부분적으로 구현되었지만 이 경우 주민 키, PIN 요청, 여러 토큰 연결 등의 기능을 사용할 수 없습니다.
  • ssh-keygen에서는 디지털 서명 확인에 필요한 인증자 데이터가 확인 정보 형식에 추가되었으며 FIDO 키 생성 시 선택적으로 저장됩니다.
  • OpenSSH가 FIDO 토큰에 액세스하기 위해 레이어와 상호 작용할 때 사용되는 API가 변경되었습니다.
  • OpenSSH의 휴대용 버전을 빌드할 때 이제 automake는 구성 스크립트와 그에 수반되는 빌드 파일을 생성해야 합니다(게시된 코드 tar 파일에서 빌드하는 경우 구성을 재생성할 필요가 없습니다).
• SSH 및 ssh-keygen에서 PIN 확인이 필요한 FIDO 키에 대한 지원이 추가되었습니다. PIN으로 키를 생성하기 위해 "verify-required" 옵션이 ssh-keygen에 추가되었습니다. 이러한 키를 사용하는 경우 서명 생성 작업을 수행하기 전에 사용자에게 PIN 코드를 입력하여 작업을 확인하라는 메시지가 표시됩니다.
• sshd에서는 "verify-required" 옵션이authorized_keys 설정에 구현되어 있으며, 이를 위해서는 토큰 작업 중에 사용자의 존재를 확인하는 기능을 사용해야 합니다. FIDO 표준은 이러한 확인을 위한 여러 옵션을 제공하지만 현재 OpenSSH는 PIN 기반 확인만 지원합니다.
• sshd 및 ssh-keygen에는 FIDO Webauthn 표준을 준수하는 디지털 서명 확인 지원이 추가되어 웹 브라우저에서 FIDO 키를 사용할 수 있습니다.
• SSH의 CertificateFile 설정에서
  ControlPath, IdentityAgent, IdentityFile, LocalForward 및
  RemoteForward를 사용하면 "${ENV}" 형식으로 지정된 환경 변수의 값을 대체할 수 있습니다.

• ssh 및 ssh-agent에는 ssh-askpass 호출을 활성화하거나 비활성화하는 데 사용할 수 있는 $SSH_ASKPASS_REQUIRE 환경 변수에 대한 지원이 추가되었습니다.
• ssh의 AddKeysToAgent 지시문에 있는 ssh_config에 키의 유효 기간을 제한하는 기능이 추가되었습니다. 지정된 제한이 만료되면 키는 ssh-agent에서 자동으로 삭제됩니다.
• scp 및 sftp에서 "-A" 플래그를 사용하면 이제 ssh-agent를 사용하여 scp 및 sftp로의 리디렉션을 명시적으로 허용할 수 있습니다(리디렉션은 기본적으로 비활성화되어 있습니다).
• 호스트 키 이름을 지정하는 SSH 설정에 '%k' 대체에 대한 지원이 추가되었습니다. 이 기능을 사용하면 키를 별도의 파일(예: "UserKnownHostsFile ~/.ssh/known_hosts.d/%k")에 배포할 수 있습니다.
• 삭제될 stdin에서 키를 읽으려면 "ssh-add -d -" 작업을 사용하도록 허용합니다.
• sshd에서는 연결 정리 프로세스의 시작과 끝이 로그에 반영되며 MaxStartups 매개변수를 사용하여 규제됩니다.

OpenSSH 개발자들은 또한 다음과 같은 이유로 SHA-1 해시를 사용하는 알고리즘이 곧 폐기될 것이라고 회상했습니다. 홍보 특정 접두사를 사용한 충돌 공격의 효율성(충돌 선택 비용은 약 45달러로 추산됩니다) 다가오는 릴리스 중 하나에서는 SSH 프로토콜에 대한 원래 RFC에 언급되어 있고 실제로 널리 사용되는 공개 키 디지털 서명 알고리즘 "ssh-rsa"를 사용하는 기능을 기본적으로 비활성화할 계획입니다(사용 테스트를 위해). 시스템에 ssh-rsa가 있는 경우 "-oHostKeyAlgorithms=-ssh-rsa" 옵션을 사용하여 ssh를 통해 연결을 시도할 수 있습니다.

OpenSSH에서 새로운 알고리즘으로 원활하게 전환하기 위해 다음 릴리스에서는 기본적으로 UpdateHostKeys 설정을 활성화하여 클라이언트를 보다 안정적인 알고리즘으로 자동 마이그레이션합니다. 마이그레이션에 권장되는 알고리즘에는 RFC2 기반의 rsa-sha256-512/8332 RSA SHA-2(OpenSSH 7.2부터 지원되며 기본적으로 사용됨), ssh-ed25519(OpenSSH 6.5부터 지원) 및 ecdsa-sha2-nistp256/384/521 기반이 포함됩니다. RFC5656 ECDSA(OpenSSH 5.7부터 지원).

출처 : opennet.ru