ProHoster > Π‘Π»ΠΎΠ³ > interrete nuntium > Dimittis de OpenSSH 8.4

Dimittis de OpenSSH 8.4

Post quattuor menses evolutionis presented dimittis OpenSSH 8.4, clientem apertum et exsecutionem servientis operandi utendi SSH 2.0 et protocolla SFTP.

Major changes:

  • Securitatis mutationes:
    • In ssh-agente, cum FIDO claves quae pro SSH authenticatione non sunt creatae (clavem ID chorda "ssh:") non incipit, nunc sistit, nuntium subsignatum iri modis adhibitis in protocollo SSH. Mutatio non permittit ssh-agente redirectionem ad remotas exercituum quae FIDO claves obstruunt facultatem utendi has claves ad generandi subscriptiones pro petitionibus authenticis interretialibus (casus e contrario, quando navigatrum petitionem SSH subsignare potest, initio excluditur. propter usum "ssh" praepositionis in clavis identifier).
    • ssh-keygen residentis clavem generationis subsidium includit pro fideProtecti addendi supra descriptorum in FIDO 2.1 specificatione, quae additicium clavium tutelam praebet requirendo PIN antequam operandi quaelibet operandi quae in clavem residenti e signo extrahendo proveniat.
  • Potentia solveret convenientiae mutationes;
    • Ut FIDO/U2F faveat, suadetur ut bibliotheca libfido2 versionis saltem 1.5.0 utatur. Facultas utendi editionibus vetustioribus partim effectum est, sed in hoc casu, functiones sicut claves residentium, PIN postulatio, multa signa connectendi praesto non erunt.
    • In ssh-keygen, authenticator notitia necessaria ad confirmandas signaturas digitales addita est forma confirmationis informationis, optione servata cum FIDO clavem generans.
    • API usus est cum interactes OpenSSH cum lavacro accessionis FIDO signa mutata est.
    • Cum versionem portatilem OpenSSH construit, automake nunc scripto configurare et limam aedificandi comitante requiritur (si aedificium ex codice bitumen lima edito, figuram regenerans non requiratur).
  • Firmamentum additae pro FIDO claves quae confirmationem PIN in ssh et keygen requirunt. Ad claves PIN generandas, optio ssh-keygen ad "verificandam requisitam" addita est. Si tales claves adhibentur, antequam operationem creationis subscriptio perficiat, usor suadet ut actiones suas confirmet intrando codicem PIN.
  • In sshd, optio "verify-requiritur" in clavibus authenticis adiunctis impletur, quae capacitatum usum requirit ad comprobandum praesentiam utentis in operationibus cum signo. Mensa FIDO plures optiones tali verificatione praebet, sed nunc OpenSSH tantum verificationem PIN-fundatae sustinet.
  • sshd et ssh-keygen subsidium addiderunt ad comprobandas signaturas digitales quae vexillum FIDO Webauthn obtemperant quae permittit claves FIDO in navigatoribus interretialibus adhibendis.
  • In ssh in certificatorium occasus,
    ControlPath, IdentityAgent, IdentityFile, LocalForward et
    RemoteForward concedit substitutionem valorum e variabilibus in forma "${ENV}" determinatis.

  • ssh et agentis ssh-agens addita subsidia pro $SSH_ASKPASS_REQUIRE environment variabilis, quae adhiberi potest ut vocationem ssh-askpass efficere vel disable.
  • In ssh in ssh_config in AddKeysToAgent directivum, facultas limitandi validitatem periodi clavis addita est. Finito termino definito, claves automatice ab agente ssh deletae sunt.
  • In scp et sftp, vexillo "-A" utens, nunc expresse admittere potes rediretionem ad scp et sftp utendo ssh-agente (redirectio per defaltam debilitata est).
  • Auxilia addita pro '%k' substitutione in uncinis ssh, quae clavem nominis exercitum designat. Pluma haec adhiberi potest claves in singulas tabulas distribuere (exempli gratia "UserKnownHostsFile ~/.ssh/notus_hosts.d/%k").
  • Sinite usum operationis "ssh-add -d -" ut claves legantur ab stdin quae deletae sunt.
  • In sshd, initium et finis processus putationis nexus in stipes relucet, moderato utens parametro MaxStartups.

Tincimenta OpenSSH etiam de decommissione algorithmorum usu SHA-1 hashes propter recentes in memoriam revocaverunt promotionem efficacia collidendi impetus cum praepositione data (sumptus collisionis eligendi circiter 45 milia dollariorum aestimatur). In una emissione venturi, disponunt debilitare facultatem utendi instrumenti digitalis clavi publici utendi algorithmus "ssh-rsa", quod in RFC originali memoratur pro protocollo SSH et in usu late manet (ad probandum usum. de ssh-rsa in systematis tuis, experiri potes per ssh connectere cum optione "-oHostKeyAlgorithms=-ssh-rsa").

Ad leniendum transitum ad novas algorithmos in OpenSSH, altera emissio reddet UpdateHostKeys occasum per defaltam, qui clientes ad certiora algorithms sponte migrabit. Commendatur algorithms pro migratione RSA-sha2-256/512 innixum in RFC8332 RSA SHA-2 (sustentatum ab OpenSSH 7.2 et ex defectu adhibitum), ssh-ed25519 (sustentatum ab OpenSSH 6.5) et ecdsa-sha2-nistp256/384/521 innititur. in RFC5656 ECDSA (ex quo OpenSSH 5.7).

Source: opennet.ru