ProHoster > Blog > nûçeyên înternetê > Serbestberdana OpenSSH 8.0

Serbestberdana OpenSSH 8.0

Piştî pênc mehan ji pêşveçûnê pêşkêş kirin berdan OpenSSH 8.0, pêkanînek xerîdar û serverek vekirî ji bo xebitandina bi protokolên SSH 2.0 û SFTP.

Guhertinên sereke:

  • Piştgiriya ceribandinê ya ji bo rêbazek danûstendina mifteyê ku li hember êrîşên hovane yên li ser komputerek quantum berxwedêr e, li ssh û sshd hate zêdekirin. Komputerên quantum di çareserkirina pirsgirêka veqetandina jimarek xwezayî di faktorên sereke de, ku di binê algorîtmayên şîfrekirina asîmetrîk ên nûjen de ye û li ser pêvajoyên klasîk bi bandor nayê çareser kirin, radîkal zûtir zûtir in. Rêbaza pêşniyarkirî li ser algorîtmayê ye Serokwezîrê NTRU (fonksiyona ntrup4591761), ku ji bo pergalên krîpto-kuantumê yên piştî quantumê hatî pêşve xistin, û rêbaza pevguhertina mifteyê ya eliptîk X25519;
  • Di sshd de, rêwerzên ListenAddress û PermitOpen êdî piştgirî nadin hevoksaziya mîras "host/port", ku di 2001-an de wekî alternatîfek ji "host:port" re hate bicîh kirin da ku xebata bi IPv6 re hêsan bike. Di şert û mercên nûjen de, hevoksaziya "[::6]:1" ji bo IPv22 hatiye saz kirin, û "host/port" bi gelemperî bi nîşankirina subnet (CIDR) re tê tevlihev kirin;
  • ssh, ssh-agent û ssh-add naha bişkokên piştgirî dikin ECDSA li PKCS # 11 nîşanekan;
  • Di ssh-keygen de, li gorî pêşnîyarên nû yên NIST, mezinahiya mifteya RSA ya xwerû bi 3072 bit zêde bûye;
  • ssh destûrê dide bikaranîna mîhenga "PKCS11Provider=none" ji bo ku rêwerznameya PKCS11Provider ku di ssh_config de hatî destnîşan kirin biguhezîne;
  • sshd nîşana têketinê ya rewşan peyda dike dema ku girêdan bi dawî dibe dema ku hewl dide ku emrên ku ji hêla sînorkirina "ForceCommand=internal-sftp" ve di sshd_config de hatine asteng kirin;
  • Di ssh de, dema ku daxwazek ji bo piştrastkirina pejirandina mifteyek mêvandarê nû tê xuyang kirin, li şûna bersiva "erê", şopa tiliya rast a mifteyê naha tê pejirandin (di bersiva vexwendina ji bo piştrastkirina pêwendiyê de, bikarhêner dikare ji ji hev veqetandî hash referansê bi navgîniya klîpboardê ve hatî wergirtin, da ku bi destan neyê berhev kirin);
  • ssh-keygen dema ku li ser rêzika fermanê ji bo sertîfîkayên pirjimar diafirîne, jimareya rêza sertîfîkayê zêdekirina otomatîkî peyda dike;
  • Vebijêrkek nû "-J" li scp û sftp-ê hate zêdekirin, wekî mîhenga ProxyJump;
  • Di ssh-agent, ssh-pkcs11-alîkar û ssh-add de, pêvajokirina vebijarka rêzika fermanê "-v" hatîye zêdekirin da ku naveroka agahdariya hilberê zêde bike (gava ku were destnîşan kirin, ev vebijark ji pêvajoyên zarokan re derbas dibe, ji bo mînak, dema ku ssh-pkcs11-alîkar ji ssh-agent tê gotin);
  • Vebijarka "-T" li ssh-add-ê hate zêdekirin da ku guncanbûna bişkojkên di ssh-agent de ji bo pêkanîna operasyonên çêkirin û verastkirina îmzeya dîjîtal biceribîne;
  • sftp-server piştgirî ji bo dirêjkirina protokola "lsetstat at openssh.com" pêk tîne, ku piştgirî ji bo operasyona SSH2_FXP_SETSTAT ji bo SFTP zêde dike, lê bêyî peywendiyên sembolîk;
  • Vebijarka "-h" li sftp hat zêdekirin da ku emrên chown/chgrp/chmod bi daxwazên ku girêdanên sembolîk bikar neynin bi kar bîne;
  • sshd mîhenga guhêrbara jîngehê $SSH_CONNECTION ji bo PAM peyda dike;
  • Ji bo sshd, moda hevberdanê ya "Maça dawî" li ssh_config hatiye zêdekirin, ku dişibihe "Match canonical", lê ne hewce ye ku normalîzekirina navê mêvandar were çalak kirin;
  • Piştgiriyek ji bo pêşgira '@' ya sftp zêde kir da ku wergerandina hilberîna fermanên ku di moda hevîrê de têne darve kirin neçalak bike;
  • Dema ku hûn naveroka sertîfîkayek bi karanîna fermanê nîşan didin
    "ssh-keygen -Lf / rê / sertîfîka" naha algorîtmaya ku ji hêla CA ve hatî bikar anîn ji bo pejirandina sertîfîkayê nîşan dide;

  • Piştgiriya pêşkeftî ya ji bo jîngeha Cygwin, mînakî pêşkêşkirina berhevdana nehesas a grûp û navên bikarhêner. Pêvajoya sshd di porta Cygwin de hate guheztin bo cygsshd da ku ji destwerdana porta OpenSSH ya ku Microsoft-ê hatî peyda kirin dûr nekevin;
  • Kapasîteya avakirina bi şaxa OpenSSL 3.x ya ceribandinê zêde kir;
  • Ji holê rakirin lawazbûn (CVE-2019-6111) di pêkanîna kargêriya scp de, ku destûrê dide pelên keyfî yên di pelrêça armanc de dema ku gihîştina serverek ku ji hêla êrîşkar ve hatî kontrol kirin li ser milê xerîdar were nivîsandin. Pirsgirêk ev e ku dema ku scp bikar tîne, server biryar dide ka kîjan pel û peldankan ji xerîdar re bişîne, û xerîdar tenê rastbûna navên tiştên ku hatine vegerandin kontrol dike. Kontrolkirina ji hêla xerîdar ve tenê bi astengkirina rêwîtiya li derveyî pelrêça heyî (../”) ve sînorkirî ye, lê veguheztina pelên bi navên ji yên ku di destpêkê de hatine xwestin cûda ne hesibandin. Di doza kopîkirina paşverû (-r) de, ji bilî navên pelan, hûn dikarin navên jêrderhêneran jî bi rengekî wekhev manîpule bikin. Mînakî, heke bikarhêner pelan li pelrêça malê kopî bike, servera ku ji hêla êrîşker ve tê kontrol kirin dikare li şûna pelên daxwazkirî pelên bi navên .bash_aliases an .ssh/authorized_keys çêbike, û ew ê ji hêla kargêriya scp ve di pelên bikarhêner de bêne tomar kirin. pelrêça malê.

    Di guhertoya nû de, kargêriya scp-ê hate nûve kirin da ku pêwendiya di navbera navên pelên ku têne xwestin û yên ku ji hêla serverê ve têne şandin, ku li ser milê xerîdar têne şandin, kontrol bikin. Dibe ku ev yek di pêvajoyek maskê de bibe sedema pirsgirêkan, ji ber ku dibe ku karakterên berfirehkirina maskê li aliyên server û xerîdar bi rengek cûda bêne hilberandin. Ger cûdahiyên weha bibe sedem ku xerîdar qebûl kirina pelan di scp-ê de rawestîne, vebijarka "-T" hate zêdekirin da ku kontrolkirina aliyê xerîdar neçalak bike. Ji bo rastkirina pirsgirêkê bi tevahî, ji nû ve xebitandina têgehî ya protokola scp-ê hewce ye, ku ew bixwe kevnar e, ji ber vê yekê tê pêşniyar kirin ku li şûna wê protokolên nûjentir ên wekî sftp û rsync bikar bînin.

Source: opennet.ru

Add a comment