ProHoster > Blog > nûçeyên înternetê > Serbestberdana OpenSSH 8.7

Serbestberdana OpenSSH 8.7

Piştî çar mehên pêşveçûnê, serbestberdana OpenSSH 8.7, pêkanîna vekirî ya xerîdar û serverek ji bo xebata li ser protokolên SSH 2.0 û SFTP, hate pêşkêş kirin.

Guhertinên sereke:

  • Bi karanîna protokola SFTP li şûna protokola kevneşopî ya SCP/RCP, modek veguheztina daneya ceribandinê li scp hate zêdekirin. SFTP rêgezên hilanîna navên pêşbînîkirîtir bikar tîne û ji alîyê mêvandarê din ve pêvajoyek şêlê ya qalibên glob bikar nayîne, ku ev yek pirsgirêkên ewlehiyê diafirîne. Ji bo çalakkirina SFTP di scp de, ala "-s" hate pêşniyar kirin, lê di pêşerojê de tê plan kirin ku ji hêla xwerû veguhere vê protokolê.
  • SFTP-Server pêvajoyên SFTP bicîh tîne da ku ~ / û ~ bikarhênerên / rêgezên xwe berfireh bike, ku ji bo SCP hewce ye.
  • Vebijêrka scp dema kopîkirina pelan di navbera du mêvandarên dûr de (mînakî, "scp host-a:/ path host-b:") tevgerê guhertiye, ku naha ji hêla xwerû ve bi navgîniya mêvandarek herêmî ya navîn ve tête kirin, wekî dema ku " -3” ala. Ev nêzîkatî dihêle hûn ji derbaskirina pêbaweriyên nepêwist ji mêvandarê yekem û şirovekirina sêalî ya navên pelan di şêlê de (li ser çavkanî, cîh û cîhê pergala herêmî) dûr bixin, û dema ku SFTP bikar tînin, ew dihêle hûn hemî awayên erêkirinê bikar bînin dema ku bigihîjin dûr. mêvandar, û ne tenê rêbazên ne-înteraktîf. Vebijarka "-R" hate zêdekirin da ku tevgera kevin sererast bike.
  • Mîhengên ForKafterauthentation li SSH-ê li gorî ala "-f" a.
  • Mîhenga StdinNull li ssh zêde kir, ku bi ala "-n" re têkildar e.
  • Mîhengek SessionType li ssh-ê hate zêdekirin, bi riya wê hûn dikarin modên li gorî alayên "-N" (bê danişîn) û "-s" (binpergalê) bicîh bikin.
  • ssh-keygen destûrê dide te ku hûn di pelên sereke de navberek derbasdariyek sereke diyar bikin.
  • Li ser SSH-KEYGEK "-Oprint-Pubkey" ala SSH-KEYGE zêde kir
  • Di ssh û sshd de, hem xerîdar û hem jî server hatine veguheztin da ku parserek pelê vesazkirinê ya bisînortir bikar bînin ku qaîdeyên mîna şêl bikar tîne ji bo birêvebirina biwêj, cîh û karakterên revê. Parsera nû di heman demê de texmînên ku berê hatine çêkirin jî paşguh nake, wek derxistina argûmanan di vebijarkan de (mînak, rêwerdana DenyUsers êdî nikare vala bimîne), quotesên negirtî, û diyarkirina pirjimar = karakteran.
  • Dema ku tomarên SSHFP DNS-ê dema verastkirina bişkokan bikar tînin, ssh naha hemî tomarên lihevhatî kontrol dike, ne tenê yên ku celebek taybetî ya îmzeya dîjîtal vedihewînin.
  • Di ssh-keygen de, dema ku bi vebijarka -Ochallenge bişkojkek FIDO-yê çêdike, niha qata çêkirî ji bo hashkirinê tê bikar anîn, ji libfido2, ku destûrê dide karanîna rêzikên dijwariyê ji 32 byte mezintir an piçûktir.
  • Di sshd de, dema ku rêwerzên hawîrdorê = "..." di pelên autorized_keys de têne xebitandin, hevahengiya yekem nuha tê pejirandin û sînorê 1024 navên guhêrbarên hawîrdorê heye.

Pêşdebirên OpenSSH di heman demê de hişyarî da ku jihevdeketina algorîtmayên ku bi karanîna haşeyên SHA-1 bikar tînin ji ber zêdebûna karbidestiya êrişên pevçûnê bi pêşgirek diyarkirî (lêçûna hilbijartina pevçûnek bi qasî 50 hezar dolar tê texmîn kirin). Di weşana din de, em plan dikin ku ji hêla xwerû ve şiyana karanîna algorîtmaya îmzeya dîjîtal a mifteya giştî "ssh-rsa" neçalak bikin, ku di RFC-ya orîjînal de ji bo protokola SSH hate behs kirin û di pratîkê de bi berfirehî tê bikar anîn.

Ji bo ceribandina karanîna ssh-rsa li ser pergalên xwe, hûn dikarin bi vebijarka "-oHostKeyAlgorithms=-ssh-rsa" bi ssh-ê ve girêdayî biceribînin. Di heman demê de, neçalakkirina îmzeyên dîjîtal "ssh-rsa" ji hêla xwerû ve nayê vê wateyê ku bi tevahî dev ji karanîna bişkokên RSA bernade, ji ber ku ji bilî SHA-1, protokola SSH destûrê dide karanîna algorîtmayên din ên hesabkirina hash. Bi taybetî, ji bilî "ssh-rsa", ew ê gengaz bimîne ku "rsa-sha2-256" (RSA/SHA256) û "rsa-sha2-512" (RSA/SHA512) bi kar bîne.

Ji bo ku veguheztina algorîtmayên nû xweş bike, OpenSSH berê mîhenga UpdateHostKeys-ê ji hêla xwerû ve hatî çalak kirin, ku dihêle xerîdar bixweber veguherînin algorîtmayên pêbawertir. Bi karanîna vê mîhengê, pêvekek protokola taybetî tê çalak kirin "[email parastî]", destûrê dide server, piştî piştrastkirinê, ku xerîdar li ser hemî mifteyên mêvandar ên berdest agahdar bike. Xerîdar dikare van mifteyan di pelê xweya ~/.ssh/known_hosts de nîşan bide, ku dihêle ku bişkokên mêvandar werin nûve kirin û guheztina bişkojkên li ser serverê hêsantir dike.

Bikaranîna UpdateHostKeys ji hêla çend hişyariyên ku dibe ku di paşerojê de bêne rakirin ve sînorkirî ye: divê kilît di UserKnownHostsFile de were referans kirin û di GlobalKnownHostsFile de neyê bikar anîn; kilît divê tenê di bin navekî de hebe; divê sertîfîkayek mifteya mêvandar neyê bikar anîn; di nasnav_hosts de maskeyên bi navê mêvandar nayên bikar anîn; mîhengê VerifyHostKeyDNS divê bête neçalak kirin; Parametreya UserKnownHostsFile divê çalak be.

Algorîtmayên pêşniyarkirî yên ji bo koçberiyê rsa-sha2-256/512 li ser bingeha RFC8332 RSA SHA-2 (ji OpenSSH 7.2 ve hatî piştgirî kirin û ji hêla xwerû ve tê bikar anîn), ssh-ed25519 (ji OpenSSH 6.5 ve hatî piştgirî kirin) û ecdsa-sha2-nistp256/384 li ser RFC521 ECDSA (ji OpenSSH 5656 ve hatî piştgirî kirin).

Source: opennet.ru

Add a comment