ProHoster > Dienoraštis > interneto naujienos > OpenSSH 8.0 leidimas

OpenSSH 8.0 leidimas

Po penkių mėnesių vystymosi pateiktas paleisti OpenSSH 8.0, atviras kliento ir serverio diegimas, skirtas darbui naudojant SSH 2.0 ir SFTP protokolus.

Pagrindiniai pakeitimai:

  • Į ssh ir sshd buvo įtrauktas eksperimentinis raktų keitimo metodo palaikymas, kuris yra atsparus brutalios jėgos atakoms prieš kvantinį kompiuterį. Kvantiniai kompiuteriai radikaliai greičiau išsprendžia natūraliojo skaičiaus skaidymo į pirminius veiksnius problemą, kuri yra šiuolaikinių asimetrinių šifravimo algoritmų pagrindas ir negali būti veiksmingai išspręsta naudojant klasikinius procesorius. Siūlomas metodas pagrįstas algoritmu NTRU Prime (funkcija ntrup4591761), sukurta postkvantinėms kriptosistemoms, ir elipsinės kreivės raktų mainų metodas X25519;
  • Sshd sistemoje ListenAddress ir PermitOpen direktyvos nebepalaiko senos „host/port“ sintaksės, kuri buvo įdiegta 2001 m. kaip „host:port“ alternatyva, siekiant supaprastinti darbą su IPv6. Šiuolaikinėmis sąlygomis IPv6 buvo nustatyta sintaksė „[::1]:22“, o „host/port“ dažnai painiojamas su potinklio (CIDR) nurodymu;
  • ssh, ssh-agent ir ssh-add dabar palaiko raktus ECDSA PKCS#11 žetonuose;
  • Naudojant ssh-keygen, numatytasis RSA rakto dydis padidintas iki 3072 bitų, atsižvelgiant į naujas NIST rekomendacijas;
  • ssh leidžia naudoti parametrą "PKCS11Provider=none", kad būtų nepaisoma PKCS11Provider direktyva, nurodyta ssh_config;
  • sshd pateikia žurnalo vaizdą apie situacijas, kai ryšys nutrūksta bandant vykdyti komandas, užblokuotas „ForceCommand=internal-sftp“ apribojimu sshd_config;
  • Ssh, kai rodomas prašymas patvirtinti naujo pagrindinio kompiuterio rakto priėmimą, vietoj atsakymo „taip“, dabar priimamas teisingas rakto piršto atspaudas (atsakydamas į kvietimą patvirtinti ryšį, vartotojas gali nukopijuoti atskirai gauta nuorodos maiša per mainų sritį, kad nebūtų rankiniu būdu lyginama);
  • ssh-keygen suteikia automatinį sertifikato eilės numerio didinimą, kai komandinėje eilutėje sukuriami skaitmeniniai parašai keliems sertifikatams;
  • Prie scp ir sftp buvo pridėta nauja parinktis "-J", atitinkanti ProxyJump nustatymą;
  • Į ssh-agent, ssh-pkcs11-helper ir ssh-add buvo pridėtas komandų eilutės parinkties „-v“ apdorojimas, siekiant padidinti išvesties informacijos turinį (kai nurodyta, ši parinktis perduodama antriniams procesams, pavyzdžiui, kai ssh-pkcs11-helper iškviečiamas iš ssh-agent );
  • „-T“ parinktis buvo pridėta prie ssh-add, kad patikrintų ssh-agent raktų tinkamumą skaitmeninio parašo kūrimo ir tikrinimo operacijoms atlikti;
  • sftp-server įdiegia palaikymą „lsetstat at openssh.com“ protokolo plėtiniui, kuris prideda palaikymą SSH2_FXP_SETSTAT operacijai SFTP, bet nenaudojant simbolinių nuorodų;
  • Prie sftp pridėta "-h" parinktis, leidžianti paleisti chown/chgrp/chmod komandas su užklausomis, kurios nenaudoja simbolinių nuorodų;
  • sshd suteikia $SSH_CONNECTION aplinkos kintamojo nustatymą PAM;
  • Sshd atveju prie ssh_config buvo pridėtas atitikimo režimas „Match final“, kuris yra panašus į „Match canonical“, tačiau nereikia įjungti pagrindinio kompiuterio pavadinimo normalizavimo;
  • Pridėtas sftp priešdėlio „@“ palaikymas, kad būtų išjungtas paketiniu režimu vykdomų komandų išvesties vertimas;
  • Kai rodote sertifikato turinį naudodami komandą
    „ssh-keygen -Lf /path/certificate“ dabar rodo algoritmą, kurį CA naudoja sertifikatui patvirtinti;

  • Pagerintas Cygwin aplinkos palaikymas, pavyzdžiui, lyginant didžiąsias ir mažąsias raides grupės ir vartotojų vardai. Sshd procesas Cygwin prievade buvo pakeistas į cygsshd, kad būtų išvengta trukdžių Microsoft tiekiamam OpenSSH prievadui;
  • Pridėta galimybė kurti su eksperimentine OpenSSL 3.x šaka;
  • Pašalinta pažeidžiamumas (CVE-2019-6111) diegiant scp įrankį, leidžiantį perrašyti savavališkus tiksliniame kataloge esančius failus kliento pusėje, kai pasiekiate užpuoliko valdomą serverį. Problema ta, kad naudojant scp, serveris nusprendžia, kokius failus ir katalogus siųsti klientui, o klientas tik tikrina grąžinamų objektų pavadinimų teisingumą. Kliento pusės tikrinimas apsiriboja tik kelionių už dabartinio katalogo (../) blokavimu, tačiau neatsižvelgiama į failų, kurių pavadinimai skiriasi nuo tų, kurių buvo prašoma iš pradžių, perdavimą. Rekursyvaus kopijavimo (-r) atveju, be failų pavadinimų, taip pat galite panašiai manipuliuoti pakatalogių pavadinimais. Pavyzdžiui, jei vartotojas nukopijuoja failus į namų katalogą, užpuoliko valdomas serveris gali sukurti failus, kurių pavadinimai yra .bash_aliases arba .ssh/authorized_keys, o ne prašomų failų, ir juos išsaugos scp programa vartotojo aplanke. namų katalogas.

    Naujoje versijoje buvo atnaujinta „scp“ programa, kad patikrintų prašomų ir serverio atsiųstų failų pavadinimų atitiktį, o tai atliekama kliento pusėje. Dėl to gali kilti problemų apdorojant kaukę, nes kaukės išplėtimo simboliai serverio ir kliento pusėse gali būti apdorojami skirtingai. Jei dėl tokių skirtumų klientas nustoja priimti failus scp, buvo pridėta parinktis „-T“, kad būtų išjungtas kliento pusės tikrinimas. Norint visiškai ištaisyti problemą, reikia konceptualiai perdaryti scp protokolą, kuris pats jau yra pasenęs, todėl rekomenduojama vietoj jo naudoti modernesnius protokolus, tokius kaip sftp ir rsync.

Šaltinis: opennet.ru

Добавить комментарий