Piştî sê mehan ji pêşveçûnê
Daxuyaniya nû parastina li dijî êrîşên scp zêde dike ku destûrê dide server ku navên pelên din ji yên ku hatine xwestin derbas bike (li hember
Ev taybetmendî, dema ku bi serverek ku ji hêla êrîşker ve tê kontrol kirin ve tê girêdan, dikare were bikar anîn da ku navên pelên din û naverokên din di FS-ya bikarhêner de tomar bike dema ku bi karanîna scp-ê di mîhengan de kopî dike ku dibe sedema têkçûna dema bangkirina utimes (mînak, dema ku utimes ji hêla polîtîkaya SELinux an parzûna banga pergalê) . Îhtîmala êrîşên rastîn kêmasî tê texmîn kirin, ji ber ku di veavakirinên tîpîk de banga utimes têk naçe. Digel vê yekê, êrîş ji nedîtî ve nayê - dema ku gazî scp dike, xeletiyek veguheztina daneyê tê xuyang kirin.
Guhertinên gelemperî:
- Di sftp de, pêvajokirina argumana "-1" rawestiyaye, mîna ssh û scp, ku berê dihat pejirandin lê paşguh kirin;
- Di sshd de, dema ku IgnoreRhosts bikar tînin, niha sê vebijark hene: "erê" - guh nede rhost/şostan, "na" - rêz li rhosts/şostan bigire, û "tenê-şosts" - destûr bide ".shosts" lê ".rhosts" neçalak bike;
- Ssh niha di mîhengên LocalFoward û RemoteForward de ku ji bo beralîkirina soketên Unix têne bikar anîn de cîhgirtina %TOKEN piştgirî dike;
- Destûrê bide barkirina mifteyên giştî ji pelek neşîfrekirî bi mifteya taybet heke pelek cûda bi mifteya giştî re tune be;
- Ger libcrypto di pergalê de hebe, ssh û sshd naha pêkanîna algorîtmaya chacha20 ji vê pirtûkxaneyê bikar tîne, li şûna pêkanîna portable-ya çêkirî, ku di performansê de li paş dimîne;
- Dema ku emrê "ssh-keygen -lQf / rê" bi cih tîne, şiyana avêtina naveroka navnîşek binar ya sertîfîkayên betalkirî pêk anî;
- Guhertoya portable pênaseyên pergalên ku tê de sînyalên bi vebijarka SA_RESTART xebata hilbijartî diqetînin pêk tîne;
- Pirsgirêkên kombûnê yên li ser pergalên HP / UX û AIX çareser kirin;
- Pirsgirêkên avakirina seccomp sandbox li ser hin veavakirinên Linux-ê çareser kirin;
- Bi vebijarka "--bi-security-key-buildin" vedîtina pirtûkxaneya libfido2 çêtir kir û pirsgirêkên avakirinê çareser kir.
Pêşdebirên OpenSSH di heman demê de careke din hişyarî da li ser hilweşîna nêzîk a algorîtmayên ku bi karanîna haşên SHA-1 ji ber
Ji bo ku di OpenSSH de veguheztina algorîtmayên nû xweş bibe, di berdanek pêşerojê de mîhenga UpdateHostKeys dê ji hêla xwerû ve were çalak kirin, ku dê bixweber xerîdaran berbi algorîtmayên pêbawertir veguhezîne. Algorîtmayên pêşniyarkirî yên ji bo koçberiyê rsa-sha2-256/512 li ser bingeha RFC8332 RSA SHA-2 (ji OpenSSH 7.2 ve tê piştgirî kirin û ji hêla xwerû ve tê bikar anîn), ssh-ed25519 (ji OpenSSH 6.5 ve hatî piştgirî kirin) û ecdsa-sha2-nistp256/384 li ser RFC521 ECDSA (ji OpenSSH 5656 ve hatî piştgirî kirin).
Ji weşana paşîn de, "ssh-rsa" û "diffie-hellman-group14-sha1" ji navnîşa CASignatureAlgorîtmayên ku algorîtmayên destûr didin îmzekirina sertîfîkayên nû bi dîjîtalî destnîşan dikin hatine rakirin, ji ber ku karanîna SHA-1 di sertîfîkayan de xetereyek din çêdike. ji ber vê yekê êrîşkar demek bêsînor heye ku ji bo sertîfîkayek heyî li pevçûnekê bigere, dema ku dema êrîşa li ser bişkokên mêvandar ji hêla dema girêdanê ve (LoginGraceTime) ve sînorkirî ye.
Source: opennet.ru