Үч айдан кийин иштеп чыгуу бошотуу , SSH 2.0 жана SFTP протоколдору аркылуу иштөө үчүн ачык кардар жана серверди ишке ашыруу.
Жаңы релиз серверге суралгандан башка файл аталыштарын өткөрүүгө мүмкүндүк берген scp чабуулдарынан коргоону кошот (каршы , чабуул колдонуучу тандаган каталогду же глоб маскасын өзгөртүүгө мүмкүндүк бербейт). Эсиңизде болсун, SCPде сервер кардарга кайсы файлдарды жана каталогдорду жөнөтүүнү чечет, ал эми кардар кайтарылган объект аталыштарынын тууралыгын гана текшерет. Аныкталган көйгөйдүн маңызы, эгерде utimes тутумунун чалуусу ишке ашпай калса, анда файлдын мазмуну файлдын метаберилиштери катары чечмеленет.
Бул өзгөчөлүк, чабуулчу тарабынан башкарылган серверге туташып жатканда, utimes чалуу учурунда катага алып келген конфигурацияларда scp аркылуу көчүрүүдө (мисалы, utimes тыюу салганда) колдонуучунун FS ичинде башка файл аталыштарын жана башка мазмунду сактоо үчүн колдонулушу мүмкүн. SELinux саясаты же тутум чалуу чыпкасы). Чыныгы чабуулдардын ыктымалдыгы минималдуу деп эсептелет, анткени типтүү конфигурацияларда utimes чалуу иштен чыкпайт. Мындан тышкары, чабуул байкалбай калбайт - scpге чалганда, маалыматтарды берүү катасы көрсөтүлөт.
Жалпы өзгөрүүлөр:
- sftpде мурда кабыл алынган, бирок этибарга алынбаган ssh жана scp сыяктуу "-1" аргументин иштетүү токтотулган;
- sshdде, IgnoreRhosts колдонууда, азыр үч тандоо бар: "ооба" - rhosts/shosts этибарга албоо, "жок" - rhosts/shosts урматтоо жана "shosts гана" - ".shosts" уруксат берүү, бирок ".rhosts" өчүрүү;
- Ssh азыр Unix розеткаларын кайра багыттоо үчүн колдонулган LocalFoward жана RemoteForward жөндөөлөрүндө %TOKEN алмаштырууну колдойт;
- Эгерде ачык ачкычы менен өзүнчө файл жок болсо, жеке ачкыч менен шифрленбеген файлдан ачык ачкычтарды жүктөөгө уруксат берүү;
- Эгерде тутумда libcrypto жеткиликтүү болсо, ssh жана sshd азыр аткарууда артта калган орнотулган портативдик ишке ашыруунун ордуна, бул китепканадан chacha20 алгоритмин ишке ашырууну колдонот;
- “ssh-keygen -lQf /path” буйругун аткарууда жокко чыгарылган сертификаттардын бинардык тизмесинин мазмунун төгүү мүмкүнчүлүгү ишке ашырылды;
- Портативдик версия системалардын аныктамаларын ишке ашырат, аларда SA_RESTART опциясы бар сигналдар тандоонун иштешин үзгүлтүккө учуратат;
- HP/UX жана AIX системаларында монтаждоо маселелери чечилди;
- Кээ бир Linux конфигурацияларында seccomp кум чөйрөсүн куруудагы көйгөйлөр чечилди;
- "--with-security-key-builtin" опциясы менен жакшыртылган libfido2 китепканасын аныктоо жана куруу маселелери чечилди.
OpenSSH иштеп чыгуучулары дагы бир жолу SHA-1 хэштерин колдонуу менен алгоритмдердин бузулушу жөнүндө эскертишти. берилген префикс менен кагылышуу чабуулдарынын натыйжалуулугу (кагылышууну тандоонун баасы болжол менен 45 миң долларга бааланат). Алдыдагы чыгарылыштардын биринде алар SSH протоколу үчүн баштапкы RFCде айтылган жана практикада кеңири таралган (пайдаланууну текшерүү үчүн) “ssh-rsa” санариптик колтамгасынын ачык ачкычын колдонуу мүмкүнчүлүгүн демейки боюнча өчүрүүнү пландаштырууда. тутумуңуздагы ssh-rsa менен байланышсаңыз, "-oHostKeyAlgorithms=-ssh-rsa" параметри менен ssh аркылуу туташып көрүңүз).
OpenSSHдагы жаңы алгоритмдерге өтүүнү жылмакай кылуу үчүн, келечектеги чыгарылышта UpdateHostKeys жөндөөлөрү демейки боюнча иштетилет, ал кардарларды автоматтык түрдө ишенимдүү алгоритмдерге көчүрөт. Көчүрүү үчүн сунушталган алгоритмдер RFC2 RSA SHA-256 негизиндеги rsa-sha512-8332/2 (OpenSSH 7.2ден бери колдоого алынат жана демейки боюнча колдонулат), ssh-ed25519 (OpenSSH 6.5тен бери колдоого алынат) жана ecdsa-sha2-nistp256/384 негизиндеги камтыйт. RFC521 ECDSA боюнча (OpenSSH 5656ден бери колдоого алынат).
Акыркы чыгарылыштан тарта "ssh-rsa" жана "diffie-hellman-group14-sha1" жаңы сертификаттарга санариптик кол коюуга уруксат берилген алгоритмдерди аныктаган CASignatureAlgorithms тизмесинен алынып салынды, анткени SHA-1ди сертификаттарда колдонуу кошумча тобокелдикти жаратат. Ушундан улам чабуулчу бар болгон сертификаттын кагылышуусун издөө үчүн чексиз убакытка ээ, ал эми хост ачкычтарына кол салуу убактысы туташуу күтүү убакыты менен чектелет (LoginGraceTime).
Source: opennet.ru