ProHoster > Blog > интернет жаңылыктары > OpenSSH 8.0 чыгаруу

OpenSSH 8.0 чыгаруу

Беш айдан кийин иштеп чыгуу сунушталды бошотуу OpenSSH 8.0, SSH 2.0 жана SFTP протоколдору аркылуу иштөө үчүн ачык кардар жана серверди ишке ашыруу.

Негизги өзгөрүүлөр:

  • ssh жана sshdге кванттык компьютерде катаал күчтөрдүн чабуулдарына туруктуу ачкыч алмашуу ыкмасына эксперименталдык колдоо кошулду. Кванттык компьютерлер табигый санды жөнөкөй факторлорго ажыратуу маселесин чечүүдө радикалдуу ылдамыраак, ал заманбап асимметриялык шифрлөө алгоритмдеринин негизинде жатат жана классикалык процессорлордо эффективдүү чечилбейт. Сунушталган ыкма алгоритмге негизделген NTRU Prime (функция ntrup4591761), пост-кванттык криптосистемалар үчүн иштелип чыккан жана эллиптикалык ийри ачкыч алмашуу ыкмасы X25519;
  • sshdде ListenAddress жана PermitOpen директивалары мындан ары IPv2001 менен иштөөнү жөнөкөйлөтүү үчүн "хост: портко" альтернатива катары 6-жылы ишке ашырылган "хост/порт" синтаксисин колдобойт. Заманбап шарттарда IPv6 үчүн “[::1]:22” синтаксиси орнотулган, ал эми “хост/порт” көбүнчө ички тармакты (CIDR) көрсөтүү менен чаташтырылат;
  • ssh, ssh-agent жана ssh-add азыр баскычтарды колдойт ECDSA PKCS#11 токендеринде;
  • ssh-keygenде демейки RSA ачкычынын өлчөмү жаңы NIST сунуштарына ылайык 3072 битке чейин көбөйтүлдү;
  • ssh ssh_config ичинде көрсөтүлгөн PKCS11Provider директивасын жокко чыгаруу үчүн "PKCS11Provider=none" жөндөөсүн колдонууга мүмкүндүк берет;
  • sshd sshd_config ичиндеги “ForceCommand=internal-sftp” чектөөсү менен бөгөттөлгөн буйруктарды аткарууга аракет кылып жатканда, туташуу токтотулган учурларда журналдын дисплейин камсыз кылат;
  • ssh ичинде, жаңы хост ачкычын кабыл алууну ырастоо өтүнүчүн көрсөтүүдө, "ооба" деген жооптун ордуна, ачкычтын туура манжа изи кабыл алынат (байланышты ырастоо чакыруусуна жооп катары, колдонуучу аны кол менен салыштырбоо үчүн, алмашуу буфери аркылуу өзүнчө алынган маалымдама хэш);
  • ssh-keygen буйрук сабында бир нече сертификаттар үчүн цифралык кол тамгаларды түзүүдө сертификаттын ырааттуу номерин автоматтык түрдө көбөйтүүнү камсыз кылат;
  • ProxyJump жөндөөсүнө барабар scp жана sftpге жаңы "-J" опциясы кошулду;
  • ssh-agent, ssh-pkcs11-helper жана ssh-add, чыгаруунун маалыматтык мазмунун жогорулатуу үчүн “-v” буйрук сабынын вариантын иштетүү кошулган (белгиленгенде, бул опция бала процесстерге берилет, Мисалы, ssh-pkcs11-жардамчы ssh-агенттен чакырылганда);
  • Санариптик кол тамганы түзүү жана текшерүү операцияларын аткаруу үчүн ssh-агенттеги ачкычтардын ылайыктуулугун текшерүү үчүн ssh-add'ке “-T” опциясы кошулду;
  • sftp-сервери SFTP үчүн SSH2_FXP_SETSTAT операциясын колдоону кошо турган “lsetstat at openssh.com” протоколунун кеңейтүүсүн колдоону ишке ашырат, бирок символдук шилтемелер жок;
  • Символикалык шилтемелерди колдонбогон өтүнүчтөр менен chown/chgrp/chmod буйруктарын иштетүү үчүн sftpге "-h" опциясы кошулду;
  • sshd PAM үчүн $SSH_CONNECTION чөйрө өзгөрмөсүн орнотууну камсыз кылат;
  • sshd үчүн, ssh_configге "Final дал келүү" режими кошулду, ал "Каноникалык дал келүүгө" окшош, бирок хосттун аталышын нормалдаштырууну иштетүүнү талап кылбайт;
  • Пакет режиминде аткарылган буйруктардын чыгарылышын которууну өчүрүү үчүн sftpге '@' префиксин колдоо кошулду;
  • Сиз буйрукту колдонуу менен күбөлүктүн мазмунун көрсөткөндө
    "ssh-keygen -Lf /path/certificate" эми сертификатты текшерүү үчүн CA колдонгон алгоритмди көрсөтөт;

  • Cygwin чөйрөсү үчүн жакшыртылган колдоо, мисалы, топтун жана колдонуучунун атын чоң тамгалар менен салыштыруу. Cygwin портундагы sshd процесси Microsoft тарабынан камсыздалган OpenSSH портуна тоскоол болбош үчүн cygsshd болуп өзгөртүлдү;
  • Эксперименталдык OpenSSL 3.x бутагы менен куруу мүмкүнчүлүгү кошулду;
  • Жок кылынды аялуу (CVE-2019-6111) scp утилитасын ишке ашырууда, чабуулчу башкарган серверге кирүүдө максаттуу каталогдогу ыктыярдуу файлдарды кардар тарапка кайра жазууга мүмкүндүк берет. Маселе, scp колдонууда сервер кардарга кайсы файлдарды жана каталогдорду жөнөтүүнү чечет, ал эми кардар кайтарылган объект аталыштарынын тууралыгын гана текшерет. Кардар тарабынан текшерүү учурдагы каталогдон тышкары саякатка бөгөт коюу менен гана чектелет (“../”), бирок аттары башында суралгандан башка файлдарды өткөрүп берүүнү эске албайт. Рекурсивдүү көчүрүү (-r) учурда, файлдын аталыштарынан тышкары, сиз да ушундай жол менен подкаталогдордун аттарын да манипуляциялай аласыз. Мисалы, эгер колдонуучу файлдарды үй каталогуна көчүрсө, чабуулчу башкарган сервер суралган файлдардын ордуна .bash_aliases же .ssh/authorized_keys аталыштары бар файлдарды чыгара алат жана алар scp утилитасы тарабынан колдонуучунун каталогуна сакталат. үй каталогу.

    Жаңы чыгарылышта scp утилитасы талап кылынган файл аталыштары менен сервер жөнөткөндөрдүн ортосундагы кат алышууну текшерүү үчүн жаңыртылган, ал кардар тарабынан аткарылган. Бул масканы иштетүүдө көйгөйлөрдү жаратышы мүмкүн, анткени масканы кеңейтүү символдору сервер жана кардар тарабында башкача иштетилиши мүмкүн. Мындай айырмачылыктар кардар scp файлдарын кабыл алууну токтотсо, кардар тарабынан текшерүүнү өчүрүү үчүн “-T” опциясы кошулду. Көйгөйдү толук оңдоо үчүн scp протоколун концептуалдык кайра иштетүү талап кылынат, анын өзү эскирген, андыктан анын ордуна sftp жана rsync сыяктуу заманбап протоколдорду колдонуу сунушталат.

Source: opennet.ru

Комментарий кошуу