OpenSSH 8.8 релиз, SSH 2.0 жана SFTP протоколдорун колдонуу менен иштөө үчүн кардар жана сервердин ачык ишке ашырылышы жарыяланды. Чыгаруу демейки боюнча SHA-1 хэш менен RSA ачкычтарынын негизинде санариптик кол тамгаларды колдонуу мүмкүнчүлүгүн өчүрүү менен өзгөчөлөнөт (“ssh-rsa”).
“Ssh-rsa” кол тамгаларын колдоонун токтотулушу берилген префикс менен коллизия чабуулдарынын эффективдүүлүгүнүн жогорулашына байланыштуу (кагылышууну тандоонун баасы болжол менен 50 миң долларга бааланат). Системаларыңызда ssh-rsa колдонулушун текшерүү үчүн "-oHostKeyAlgorithms=-ssh-rsa" опциясы менен ssh аркылуу туташууга аракет кылсаңыз болот. OpenSSH 256ден бери колдоого алынган SHA-512 жана SHA-2 хэштери (rsa-sha256-512/7.2) менен RSA колдорун колдоо өзгөрүүсүз бойдон калууда.
Көпчүлүк учурларда, “ssh-rsa” колдоону токтотуу колдонуучулардан кол менен иш-аракеттерди талап кылбайт, анткени OpenSSH мурунтан демейки боюнча UpdateHostKeys жөндөөлөрүн иштеткен, ал кардарларды автоматтык түрдө ишенимдүү алгоритмдерге көчүрөт. Миграция үчүн протоколдун узартылышы "[электрондук почта корголгон]", серверге аутентификациядан кийин кардарга бардык жеткиликтүү хост ачкычтары жөнүндө маалымат берүүгө мүмкүндүк берет. Кардар тарабында OpenSSHтин өтө эски версиялары бар хостторго туташкан учурда, ~/.ssh/config дарегине кошуу менен "ssh-rsa" кол тамгаларын колдонуу мүмкүнчүлүгүн тандап кайтара аласыз: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Жаңы версия ошондой эле AuthorizedKeysCommand жана AuthorizedPrincipalsCommand директиваларында көрсөтүлгөн буйруктарды аткарууда колдонуучу тобунун туура инициализацияланбаган OpenSSH 6.2ден баштап sshd менен шартталган коопсуздук маселесин чечет. Бул директивалар буйруктарды башка колдонуучу астында иштетүүгө уруксат бериши керек болчу, бирок чындыгында алар sshd иштеткенде колдонулган топтордун тизмесин мурастап алышкан. Потенциалдуу түрдө, бул жүрүм-турум, белгилүү бир тутум орнотуулары болгондо, ишке киргизилген иштеткичке системада кошумча артыкчылыктарды алууга мүмкүндүк берди.
Жаңы релиз эскертүүсү ошондой эле эски SCP/RCP протоколунун ордуна scp демейки SFTP болуп калат деген эскертүүнү камтыйт. SFTP алдын ала айтууга боло турган ат менен иштөө ыкмаларын колдонот жана башка хост тарабындагы файл аталыштарындагы глоб үлгүлөрүн кабыкча иштетүүнү колдонбойт, бул коопсуздук көйгөйлөрүн жаратат. Атап айтканда, SCP жана RCP колдонууда, сервер кардарга кайсы файлдарды жана каталогдорду жөнөтүүнү чечет, ал эми кардар кайтарылган объекттин аталыштарынын тууралыгын гана текшерет, бул кардар тараптан тийиштүү текшерүүлөр болбогондо, серверден суралгандан айырмаланган башка файл аталыштарын өткөрүү үчүн. SFTP протоколунда бул көйгөйлөр жок, бирок "~/" сыяктуу атайын жолдорду кеңейтүүнү колдобойт. Бул айырмачылыкты жоюу үчүн, OpenSSHтин мурунку релизинде SFTP серверин ишке ашыруудагы ~/ жана ~user/ жолдоруна жаңы SFTP протоколунун кеңейтүүсү киргизилген.
Source: opennet.ru