Төрт айлык иштеп чыгуудан кийин, SSH 8.7 жана SFTP протоколдорунун үстүндө иштөө үчүн кардар жана сервердин ачык ишке ашырылышы OpenSSH 2.0 релизинин бет ачары болду.
Негизги өзгөрүүлөр:
- Салттуу SCP/RCP протоколунун ордуна SFTP протоколун колдонуу менен scpге эксперименталдык маалыматтарды өткөрүү режими кошулду. SFTP алдын ала айтылган ат менен иштөө ыкмаларын колдонот жана башка хост тарабында глоб үлгүлөрүнүн кабыкчасын иштетүүнү колдонбойт, бул коопсуздук көйгөйлөрүн жаратат. scpде SFTPди иштетүү үчүн "-s" желеги сунушталган, бирок келечекте демейки боюнча бул протоколго өтүү пландаштырылууда.
- sftp-сервер ~/ жана ~user/ жолдорун кеңейтүү үчүн SFTP протоколуна кеңейтүүлөрдү ишке ашырат, бул scp үчүн зарыл.
- scp утилитасы эки алыскы хосттун ортосунда файлдарды көчүрүүнүн жүрүм-турумун өзгөрттү (мисалы, “scp host-a:/path host-b:”), ал эми демейки боюнча, аралык локалдык хост аркылуу аткарылат, мисалы “ -3” желеги. Бул ыкма керексиз эсептик дайындарды биринчи хостко өткөрүп бербөөгө жана кабыктагы файл аталыштарын үч эселенген чечмелөөдөн (булак, көздөгөн жерде жана локалдык система тарабында) качууга мүмкүндүк берет, ал эми SFTPди колдонууда, алыстан кирүүдө аутентификациянын бардык ыкмаларын колдонууга мүмкүндүк берет. хосттор, жана жөн гана интерактивдүү эмес ыкмалар эмес. Эски жүрүм-турумду калыбына келтирүү үчүн "-R" опциясы кошулду.
- "-f" желегине ылайыктуу ssh үчүн ForkAfterAuthentication параметри кошулду.
- "-n" желегине туура келген ssh үчүн StdinNull жөндөөлөрү кошулду.
- SessionType жөндөөсү ssh'ге кошулду, ал аркылуу сиз "-N" (сеанс жок) жана "-s" (подсистема) желектерине ылайыктуу режимдерди орното аласыз.
- ssh-keygen негизги файлдарда негизги жарактуу аралыгын көрсөтүүгө мүмкүндүк берет.
- sshsig кол тамгасынын бир бөлүгү катары толук ачык ачкычты басып чыгаруу үчүн ssh-keygenге "-Oprint-pubkey" желеги кошулду.
- Ssh жана sshdде кардар да, сервер да тырмакчаларды, боштуктарды жана качуу символдорун иштетүү үчүн кабык сыяктуу эрежелерди колдонгон бир кыйла чектөөчү конфигурация файлын талдоочуга жылдырылды. Жаңы талдоочу ошондой эле варианттардагы аргументтерди калтыруу (мисалы, DenyUsers директивасын мындан ары бош калтырууга болбойт), жабылбаган тырмакчаларды жана бир нече = белгилерди көрсөтүү сыяктуу мурда жасалган божомолдорду этибарга албайт.
- Ачкычтарды текшерүүдө SSHFP DNS жазууларын колдонууда, ssh эми санариптик кол тамганын белгилүү бир түрүн камтыгандарды эле эмес, бардык дал келген жазууларды текшерет.
- ssh-keygenде, -Ochallenge опциясы менен FIDO ачкычын түзүүдө, libfido2 эмес, 32 байттан чоң же кичине чакырык ырааттуулугун колдонууга мүмкүндүк берүүчү хэшинг үчүн камтылган катмар азыр колдонулат.
- sshdде, authorized_keys файлдарында айлана-чөйрө = "..." директивалары иштеп жатканда, биринчи дал келүү азыр кабыл алынат жана 1024 чөйрө өзгөрмөлөрүнүн аталышынын чеги бар.
OpenSSH иштеп чыгуучулары ошондой эле берилген префикс менен кагылышуу чабуулдарынын эффективдүүлүгүнүн жогорулашынан улам SHA-1 хэштерин колдонуу менен алгоритмдердин декомпозициясын эскертишти (кагылышууну тандоонун баасы болжол менен 50 миң долларга бааланат). Кийинки чыгарылышта биз SSH протоколу үчүн баштапкы RFCде айтылган жана практикада кеңири колдонулуп келе жаткан "ssh-rsa" санариптик колтамгасынын ачык ачкычын колдонуу мүмкүнчүлүгүн демейки боюнча өчүрүүнү пландап жатабыз.
Системаларыңызда ssh-rsa колдонулушун текшерүү үчүн "-oHostKeyAlgorithms=-ssh-rsa" опциясы менен ssh аркылуу туташууга аракет кылсаңыз болот. Ошол эле учурда, демейки боюнча “ssh-rsa” санариптик кол тамгасын өчүрүү RSA ачкычтарын колдонуудан толук баш тартууну билдирбейт, анткени SHA-1ден тышкары SSH протоколу башка хэш эсептөө алгоритмдерин колдонууга мүмкүндүк берет. Атап айтканда, "ssh-rsa" менен катар "rsa-sha2-256" (RSA/SHA256) жана "rsa-sha2-512" (RSA/SHA512) таңгактарын колдонуу мүмкүн бойдон калат.
Жаңы алгоритмдерге өтүүнү жеңилдетүү үчүн OpenSSH мурда демейки боюнча UpdateHostKeys жөндөөсүн иштеткен, бул кардарларга автоматтык түрдө ишенимдүү алгоритмдерге өтүүгө мүмкүндүк берет. Бул жөндөөнү колдонуу менен атайын протокол кеңейтүүсү иштетилди "[электрондук почта корголгон]", серверге аутентификациядан кийин кардарга бардык жеткиликтүү хост ачкычтары жөнүндө маалымат берүүгө мүмкүндүк берет. Кардар бул ачкычтарды өзүнүн ~/.ssh/known_hosts файлында чагылдыра алат, бул хост баскычтарын жаңыртууга мүмкүндүк берет жана сервердеги баскычтарды өзгөртүүнү жеңилдетет.
UpdateHostKeys колдонуу келечекте алынып салынышы мүмкүн болгон бир нече эскертүүлөр менен чектелген: ачкыч UserKnownHostsFile файлында шилтеме кылынышы жана GlobalKnownHostsFile файлында колдонулбашы керек; ачкыч бир гана ат менен болушу керек; хост ачкычынын сертификаты колдонулбашы керек; белгилүү_хосттарда хост аты боюнча маскалар колдонулбашы керек; VerifyHostKeyDNS жөндөөлөрү өчүрүлүшү керек; UserKnownHostsFile параметри активдүү болушу керек.
Көчүрүү үчүн сунушталган алгоритмдер RFC2 RSA SHA-256 негизиндеги rsa-sha512-8332/2 (OpenSSH 7.2ден бери колдоого алынат жана демейки боюнча колдонулат), ssh-ed25519 (OpenSSH 6.5тен бери колдоого алынат) жана ecdsa-sha2-nistp256/384 негизиндеги камтыйт. RFC521 ECDSA боюнча (OpenSSH 5656ден бери колдоого алынат).
Source: opennet.ru