Piştî sê mehan ji pêşveçûnê berdan , pêkanînek xerîdar û serverek vekirî ji bo xebitandina bi protokolên SSH 2.0 û SFTP.
Daxuyaniya nû parastina li dijî êrîşên scp zêde dike ku destûrê dide server ku navên pelên din ji yên ku hatine xwestin derbas bike (li hember , êrîş guheztina pelrêça hilbijartî ya bikarhêner an maskeya gerdûnê ne mumkun e). Bînin bîra xwe ku di SCP de, server biryar dide ka kîjan pel û peldankan ji xerîdar re bişîne, û xerîdar tenê rastbûna navên tiştên vegerî kontrol dike. Esasê pirsgirêka naskirî ev e ku ger banga pergala utimes têk biçe, wê hingê naveroka pelê wekî metadata pelê tê şîrove kirin.
Ev taybetmendî, dema ku bi serverek ku ji hêla êrîşker ve tê kontrol kirin ve tê girêdan, dikare were bikar anîn da ku navên pelên din û naverokên din di FS-ya bikarhêner de tomar bike dema ku bi karanîna scp-ê di mîhengan de kopî dike ku dibe sedema têkçûna dema bangkirina utimes (mînak, dema ku utimes ji hêla polîtîkaya SELinux an parzûna banga pergalê) . Îhtîmala êrîşên rastîn kêmasî tê texmîn kirin, ji ber ku di veavakirinên tîpîk de banga utimes têk naçe. Digel vê yekê, êrîş ji nedîtî ve nayê - dema ku gazî scp dike, xeletiyek veguheztina daneyê tê xuyang kirin.
Guhertinên gelemperî:
- Di sftp de, pêvajokirina argumana "-1" rawestiyaye, mîna ssh û scp, ku berê dihat pejirandin lê paşguh kirin;
- Di sshd de, dema ku IgnoreRhosts bikar tînin, niha sê vebijark hene: "erê" - guh nede rhost/şostan, "na" - rêz li rhosts/şostan bigire, û "tenê-şosts" - destûr bide ".shosts" lê ".rhosts" neçalak bike;
- Ssh niha di mîhengên LocalFoward û RemoteForward de ku ji bo beralîkirina soketên Unix têne bikar anîn de cîhgirtina %TOKEN piştgirî dike;
- Destûrê bide barkirina mifteyên giştî ji pelek neşîfrekirî bi mifteya taybet heke pelek cûda bi mifteya giştî re tune be;
- Ger libcrypto di pergalê de hebe, ssh û sshd naha pêkanîna algorîtmaya chacha20 ji vê pirtûkxaneyê bikar tîne, li şûna pêkanîna portable-ya çêkirî, ku di performansê de li paş dimîne;
- Dema ku emrê "ssh-keygen -lQf / rê" bi cih tîne, şiyana avêtina naveroka navnîşek binar ya sertîfîkayên betalkirî pêk anî;
- Guhertoya portable pênaseyên pergalên ku tê de sînyalên bi vebijarka SA_RESTART xebata hilbijartî diqetînin pêk tîne;
- Pirsgirêkên kombûnê yên li ser pergalên HP / UX û AIX çareser kirin;
- Pirsgirêkên avakirina seccomp sandbox li ser hin veavakirinên Linux-ê çareser kirin;
- Bi vebijarka "--bi-security-key-buildin" vedîtina pirtûkxaneya libfido2 çêtir kir û pirsgirêkên avakirinê çareser kir.
Pêşdebirên OpenSSH di heman demê de careke din hişyarî da li ser hilweşîna nêzîk a algorîtmayên ku bi karanîna haşên SHA-1 ji ber bandorkeriya êrîşên pevçûnê yên bi pêşgirek diyarkirî (lêçûna hilbijartina pevçûnek bi qasî 45 hezar dolar tê texmîn kirin). Di yek ji weşanên pêşeroj de, ew plan dikin ku ji hêla xwerû ve şiyana karanîna algorîtmaya îmzeya dîjîtal a giştî "ssh-rsa", ya ku di RFC-ya orîjînal de ji bo protokola SSH-ê tête behs kirin û di pratîkê de berbelav dimîne (ji bo ceribandina karanîna ssh-rsa di pergalên we de, hûn dikarin bi vebijarka "-oHostKeyAlgorithms=-ssh-rsa" bi ssh-ê ve girêdayî biceribînin).
Ji bo ku di OpenSSH de veguheztina algorîtmayên nû xweş bibe, di berdanek pêşerojê de mîhenga UpdateHostKeys dê ji hêla xwerû ve were çalak kirin, ku dê bixweber xerîdaran berbi algorîtmayên pêbawertir veguhezîne. Algorîtmayên pêşniyarkirî yên ji bo koçberiyê rsa-sha2-256/512 li ser bingeha RFC8332 RSA SHA-2 (ji OpenSSH 7.2 ve tê piştgirî kirin û ji hêla xwerû ve tê bikar anîn), ssh-ed25519 (ji OpenSSH 6.5 ve hatî piştgirî kirin) û ecdsa-sha2-nistp256/384 li ser RFC521 ECDSA (ji OpenSSH 5656 ve hatî piştgirî kirin).
Ji weşana paşîn de, "ssh-rsa" û "diffie-hellman-group14-sha1" ji navnîşa CASignatureAlgorîtmayên ku algorîtmayên destûr didin îmzekirina sertîfîkayên nû bi dîjîtalî destnîşan dikin hatine rakirin, ji ber ku karanîna SHA-1 di sertîfîkayan de xetereyek din çêdike. ji ber vê yekê êrîşkar demek bêsînor heye ku ji bo sertîfîkayek heyî li pevçûnekê bigere, dema ku dema êrîşa li ser bişkokên mêvandar ji hêla dema girêdanê ve (LoginGraceTime) ve sînorkirî ye.
Source: opennet.ru