алты айдан кийин иштеп чыгуу бошотуу , SSH 2.0 жана SFTP протоколдору аркылуу иштөө үчүн ачык кардар жана серверди ишке ашыруу.
Жаңы чыгарылышта өзгөчө көңүл ssh, sshd, ssh-add жана ssh-keygenге таасир этүүчү аялуулукту жок кылуу болуп саналат. Көйгөй XMSS түрү менен купуя ачкычтарды талдоо кодунда бар жана чабуулчуга бүтүн сандардын ашып кетишине жол ачат. Алсыздык эксплуатациялануучу катары белгиленген, бирок анча деле колдонулбайт, анткени XMSS ачкычтарын колдоо демейки боюнча өчүрүлгөн эксперименталдык функция (көчмө версияда XMSSти иштетүү үчүн autoconf ичинде куруу опциясы да жок).
Негизги өзгөрүүлөр:
- ssh, sshd жана ssh-агентте сыяктуу каптал канал чабуулдарынын натыйжасында RAMда жайгашкан купуя ачкычты калыбына келтирүүгө тоскоол болгон код. , и . Жеке ачкычтар эми эстутумга жүктөлгөндө шифрленет жана колдонулганда гана шифрленет, калган убакта шифрленген бойдон калат. Мындай ыкма менен жеке ачкычты ийгиликтүү калыбына келтирүү үчүн чабуулчу адегенде негизги ачкычты шифрлөө үчүн колдонулган 16 КБ өлчөмүндөгү кокусунан түзүлгөн аралык ачкычты калыбына келтириши керек, бул заманбап чабуулдарга мүнөздүү калыбына келтирүү катасынын ылдамдыгын эске алуу менен күмөн;
- В Санарип кол тамгаларды түзүү жана текшерүү үчүн жөнөкөйлөштүрүлгөн схемага эксперименталдык колдоо кошулду. Санарип кол тамгалар дискте же ssh-агентте сакталган кадимки SSH ачкычтары аркылуу түзүлүп, авторизацияланган_ачкычтарга окшош нерсе менен текшерилиши мүмкүн. . Ар кандай чөйрөлөрдө (мисалы, электрондук почта жана файлдар үчүн) колдонулганда башаламандыктарды болтурбоо үчүн аттар мейкиндиги маалыматы санариптик кол тамгага орнотулган;
- ssh-keygen демейки боюнча RSA ачкычынын негизинде санарип колтамгасы бар сертификаттарды текшерүүдө rsa-sha2-512 алгоритмин колдонууга которулган (CA режиминде иштегенде). Мындай сертификаттар OpenSSH 7.2ге чейинки релиздерге туура келбейт (илешүүнү камсыз кылуу үчүн алгоритмдин түрүн жокко чыгаруу керек, мисалы "ssh-keygen -t ssh-rsa -s ..." деп чакыруу);
- sshде, ProxyCommand туюнтмасы эми "%n" алмаштырууну кеңейтүүнү колдойт (дарек тилкесинде көрсөтүлгөн хост аты);
- ssh жана sshd үчүн шифрлөө алгоритмдеринин тизмелеринде эми демейки алгоритмдерди киргизүү үчүн "^" белгисин колдоно аласыз. Мисалы, демейки тизмеге ssh-ed25519 кошуу үчүн, "HostKeyAlgorithms ^ssh-ed25519" белгилей аласыз;
- ssh-keygen ачык ачкычты купуя ачкычтан чыгарууда ачкычка тиркелген комментарийдин чыгышын камсыз кылат;
- Ачкычтарды издөө операцияларын аткарууда (мисалы, “ssh-keygen -vF хост”) ssh-keygen ичинде “-v” желегин колдонуу мүмкүнчүлүгү кошулду, анын натыйжасы визуалдык хост колтамгасын көрсөтүү;
- колдонуу мүмкүнчүлүгү кошулду дискте жеке ачкычтарды сактоо үчүн альтернатива формат катары. PEM форматы демейки боюнча колдонула берет жана PKCS8 үчүнчү тараптын тиркемелери менен шайкештикке жетүү үчүн пайдалуу болушу мүмкүн.
Source: opennet.ru