ProHoster > Blog > Internet Neiegkeeten > Verëffentlechung vum OpenSSH 8.0

Verëffentlechung vum OpenSSH 8.0

No fënnef Méint Entwécklung presentéiert Fräisetzung OpenSSH 8.0, eng oppe Client- a Serverimplementatioun fir iwwer d'SSH 2.0 a SFTP Protokoller ze schaffen.

Main Ännerungen:

  • Experimentell Ënnerstëtzung fir eng Schlësselaustauschmethod, déi resistent géint brute-force Attacken op engem Quantecomputer ass, gouf op ssh an sshd bäigefüügt. Quantecomputer sinn radikal méi séier beim léisen vum Problem vun der Zersetzung vun enger natierlecher Zuel an prime Faktoren, déi modern asymmetresch Verschlësselungsalgorithmen ënnersträichen an net effektiv op klassesche Prozessoren geléist kënne ginn. Déi proposéiert Method baséiert op dem Algorithmus NTRU Premier (Funktioun ntrup4591761), entwéckelt fir Post-Quantekryptosystemer, an déi elliptesch Curve Schlësselaustauschmethod X25519;
  • An sshd ënnerstëtzen d'ListenAddress a PermitOpen Direktiven net méi déi legacy "Host/Port" Syntax, déi am Joer 2001 als Alternativ zum "Host:port" implementéiert gouf fir d'Aarbecht mat IPv6 ze vereinfachen. A modernen Konditiounen ass d'Syntax "[:: 6]: 1" fir IPv22 etabléiert, an "Host / Hafen" gëtt dacks duerchernee mat der Bezeechnung vum Subnet (CIDR);
  • ssh, ssh-agent an ssh-add ënnerstëtzen elo Schlësselen ECDSA an PKCS # 11 Stongen;
  • Am ssh-keygen ass d'Standard RSA Schlësselgréisst op 3072 Bits erhéicht ginn, am Aklang mat neien NIST Empfehlungen;
  • ssh erlaabt d'Benotzung vun der "PKCS11Provider=none" Astellung fir d'PKCS11Provider Direktiv ze iwwerschreiden, déi an ssh_config spezifizéiert ass;
  • sshd bitt e Log-Display vu Situatiounen, wann d'Verbindung ofgeschloss gëtt wann Dir probéiert Kommandoen auszeféieren, déi vun der "ForceCommand = intern-sftp" Restriktioun an sshd_config blockéiert sinn;
  • Op ssh, wann Dir eng Ufro weist fir d'Akzeptanz vun engem neie Hostschlëssel ze bestätegen, amplaz vun der "Jo" Äntwert, gëtt de richtege Fangerofdrock vum Schlëssel elo ugeholl (an Äntwert op d'Invitatioun fir d'Verbindung ze bestätegen, kann de Benotzer d'Kopie kopéieren getrennt kritt Referenz Hash iwwer de Clipboard, fir et net manuell ze vergläichen);
  • ssh-keygen bitt automatesch Inkrementéierung vun der Zertifikatsequenznummer wann Dir digital Ënnerschrëfte fir verschidde Certificaten op der Kommandozeil erstellt;
  • Eng nei Optioun "-J" gouf zu scp an sftp bäigefüügt, gläichwäerteg mat der ProxyJump-Astellung;
  • Am ssh-agent, ssh-pkcs11-helper an ssh-add ass d'Veraarbechtung vun der "-v" Kommandozeiloptioun bäigefüügt fir den Informatiounsinhalt vun der Ausgab ze erhéijen (wann uginn, gëtt dës Optioun u Kannerprozesser weiderginn, fir Beispill, wann ssh-pkcs11-Helper vum ssh-agent genannt gëtt);
  • D'Optioun "-T" gouf op ssh-add bäigefüügt fir d'Eegeschaft vun de Schlësselen am ssh-Agent ze testen fir d'Digital Ënnerschrëft Kreatioun a Verifizéierungsoperatiounen auszeféieren;
  • sftp-Server implementéiert Ënnerstëtzung fir d'Protokollverlängerung "lsetstat at openssh.com", déi Ënnerstëtzung fir d'SSH2_FXP_SETSTAT Operatioun fir SFTP bäidréit, awer ouni folgend symbolesch Linken;
  • Zousätzlech "-h" Optioun fir sftp fir chown / chgrp / chmod Kommandoen mat Ufroen ze lafen déi keng symbolesch Linken benotzen;
  • sshd stellt Astellung vun der $SSH_CONNECTION Ëmfeld Variabel fir PAM;
  • Fir sshd ass e "Match final" passende Modus op ssh_config bäigefüügt ginn, wat ähnlech wéi "Match canonical" ass, awer net erfuerderlech Hostnumm Normaliséierung fir aktivéiert ze sinn;
  • Ënnerstëtzung fir de Präfix '@' op sftp bäigefüügt fir d'Iwwersetzung vun der Ausgab vu Kommandoen auszeféieren, déi am Batchmodus ausgefouert goufen;
  • Wann Dir den Inhalt vun engem Zertifika mat dem Kommando ugewisen hutt
    "ssh-keygen -Lf /path/certificate" weist elo den Algorithmus deen vum CA benotzt gëtt fir den Zertifika ze validéieren;

  • Verbesserte Ënnerstëtzung fir d'Cygwin Ëmfeld, zum Beispill e Fall-onsensitiv Verglach vu Gruppen- a Benotzernimm. De sshd-Prozess am Cygwin Hafen gouf op cygsshd geännert fir Amëschung mam Microsoft geliwwert OpenSSH Hafen ze vermeiden;
  • D'Fähigkeit bäigefüügt fir mat der experimenteller OpenSSL 3.x Branche ze bauen;
  • Eliminéiert Schwachstelle (CVE-2019-6111) an der Implementatioun vum scp Utility, wat erlaabt datt arbiträr Dateien am Zilverzeichnis op der Client Säit iwwerschriwwe ginn wann Dir op e Server vun engem Ugräifer kontrolléiert gëtt. De Problem ass datt wann Dir scp benotzt, de Server entscheet wéi eng Dateien an Verzeichnisser fir de Client ze schécken, an de Client iwwerpréift nëmmen d'Korrektheet vun den zréckginn Objektnimm. Client-Säit Iwwerpréiwung ass limitéiert op d'Blockéierung vun Reesen iwwer den aktuelle Verzeichnis ("../"), awer berücksichtegt net den Transfert vu Dateien mat anere Nimm wéi déi ursprénglech gefrot. Am Fall vun der rekursiver Kopie (-r), zousätzlech zu Dateinumm, kënnt Dir och d'Nimm vun Ënnerverzeechnungen op eng ähnlech Manéier manipuléieren. Zum Beispill, wann de Benotzer Dateien an den Heemverzeichnis kopéiert, kann de Server, deen vum Ugräifer kontrolléiert gëtt, Dateie mat den Nimm .bash_aliases oder .ssh/authorized_keys produzéieren amplaz vun den ugefrote Dateien, a si gi vum scp Utility an der Benotzerkont gespäichert. doheem directory.

    An der neier Verëffentlechung ass de scp Utility aktualiséiert ginn fir d'Korrespondenz tëscht den ugefrote Dateinumm ze kontrolléieren an déi vum Server geschéckt ginn, wat op der Client Säit gemaach gëtt. Dëst kann Problemer mat Mask Veraarbechtung verursaachen, well Mask Expansioun Zeeche kann op de Server an Client Säit anescht veraarbecht ginn. Am Fall wou sou Differenzen de Client ophalen fir Dateien an scp ze akzeptéieren, ass d'Optioun "-T" bäigefüügt fir d'Client-Säit Kontrollen auszeschalten. Fir de Problem komplett ze korrigéieren, ass eng konzeptuell Ëmaarbechtung vum scp-Protokoll erfuerderlech, dee selwer scho verännert ass, also ass et recommandéiert méi modern Protokoller wéi sftp an rsync ze benotzen amplaz.

Source: opennet.ru

Setzt e Commentaire