ProHoster > Blogs > interneta ziņas > OpenSSH 8.0 izlaiÅ”ana

OpenSSH 8.0 izlaiŔana

Pēc piecu mēneÅ”u attÄ«stÄ«bas uzrādÄ«ts atbrÄ«vot OpenSSH 8.0, atvērta klienta un servera ievieÅ”ana darbam, izmantojot SSH 2.0 un SFTP protokolus.

Galvenās izmaiņas:

  • Ssh un sshd ir pievienots eksperimentāls atbalsts atslēgu apmaiņas metodei, kas ir izturÄ«ga pret brutāla spēka uzbrukumiem kvantu datoram. Kvantu datori ir radikāli ātrāki, lai atrisinātu problēmu, kas saistÄ«ta ar naturāla skaitļa sadalÄ«Å”anu primārajos faktoros, kas ir mÅ«sdienu asimetriskas Å”ifrÄ“Å”anas algoritmu pamatā un ko nevar efektÄ«vi atrisināt klasiskajos procesoros. Piedāvātā metode ir balstÄ«ta uz algoritmu NTRU Prime (funkcija ntrup4591761), kas izstrādāta pēckvantu kriptosistēmām, un eliptiskās lÄ«knes atslēgas apmaiņas metode X25519;
  • Sshd direktÄ«vā ListenAddress un PermitOpen vairs netiek atbalstÄ«ta mantotā ā€œhost/portā€ sintakse, kas tika ieviesta 2001. gadā kā alternatÄ«va ā€œhost:portā€, lai vienkārÅ”otu darbu ar IPv6. MÅ«sdienu apstākļos IPv6 ir izveidota sintakse ā€œ[::1]:22ā€, un ā€œhost/portā€ bieži tiek sajaukts ar apakÅ”tÄ«kla (CIDR) norādÄ«Å”anu;
  • ssh, ssh-agent un ssh-add tagad atbalsta atslēgas ECDSA PKCS#11 žetonos;
  • Programmā ssh-keygen noklusējuma RSA atslēgas izmērs ir palielināts lÄ«dz 3072 bitiem saskaņā ar jaunajiem NIST ieteikumiem;
  • ssh ļauj izmantot iestatÄ«jumu "PKCS11Provider=none", lai ignorētu PKCS11Provider direktÄ«vu, kas norādÄ«ta ssh_config;
  • sshd nodroÅ”ina žurnāla attēlojumu situācijām, kad savienojums tiek pārtraukts, mēģinot izpildÄ«t komandas, kuras bloķē sshd_config ierobežojums ā€œForceCommand=internal-sftpā€;
  • Programmā ssh, parādot pieprasÄ«jumu apstiprināt jaunas resursdatora atslēgas pieņemÅ”anu, atbildes ā€œjāā€ vietā tagad tiek pieņemts pareizais atslēgas pirkstu nospiedums (atbildot uz uzaicinājumu apstiprināt savienojumu, lietotājs var kopēt atseviŔķi saņemts atsauces hash, izmantojot starpliktuvi, lai to manuāli nesalÄ«dzinātu);
  • ssh-keygen nodroÅ”ina automātisku sertifikāta kārtas numura palielināŔanu, komandrindā veidojot ciparparakstus vairākiem sertifikātiem;
  • Scp un sftp ir pievienota jauna opcija "-J", kas ir lÄ«dzvērtÄ«ga ProxyJump iestatÄ«jumam;
  • Programmā ssh-agent, ssh-pkcs11-helper un ssh-add ir pievienota komandrindas opcijas ā€œ-vā€ apstrāde, lai palielinātu izvades informācijas saturu (ja norādÄ«ta, Ŕī opcija tiek nodota pakārtotajiem procesiem, piemēram, kad ssh-pkcs11-helper tiek izsaukts no ssh-agent );
  • Opcija ā€œ-Tā€ ir pievienota ssh-add, lai pārbaudÄ«tu ssh-agent atslēgu piemērotÄ«bu digitālā paraksta izveides un verifikācijas darbÄ«bu veikÅ”anai;
  • sftp-server ievieÅ” atbalstu ā€œlsetstat at openssh.comā€ protokola paplaÅ”inājumam, kas pievieno atbalstu SSH2_FXP_SETSTAT darbÄ«bai SFTP, bet bez simboliskām saitēm;
  • Pievienota opcija "-h" sftp, lai palaistu chown/chgrp/chmod komandas ar pieprasÄ«jumiem, kuros netiek izmantotas simboliskas saites;
  • sshd nodroÅ”ina PAM vides mainÄ«gā $SSH_CONNECTION iestatÄ«Å”anu;
  • Sshd gadÄ«jumā ssh_config ir pievienots atbilstÄ«bas režīms ā€œMatch finalā€, kas ir lÄ«dzÄ«gs ā€œMatch canonicalā€, taču nav jāiespējo resursdatora nosaukuma normalizācija;
  • Pievienots sftp prefiksa @ atbalsts, lai atspējotu pakeÅ”u režīmā izpildÄ«to komandu izvades tulkoÅ”anu;
  • Parādot sertifikāta saturu, izmantojot komandu
    "ssh-keygen -Lf /path/certificate" tagad parāda algoritmu, ko izmanto CA, lai apstiprinātu sertifikātu;

  • Uzlabots atbalsts Cygwin videi, piemēram, nodroÅ”inot grupu un lietotājvārdu salÄ«dzinājumu, kas nav reÄ£istrjutÄ«gs. Sshd process Cygwin portā ir mainÄ«ts uz cygsshd, lai izvairÄ«tos no traucējumiem Microsoft nodroÅ”inātajā OpenSSH portā;
  • Pievienota iespēja veidot ar eksperimentālo OpenSSL 3.x filiāli;
  • Likvidēts ievainojamÄ«ba (CVE-2019-6111) scp utilÄ«ta ievieÅ”anā, kas ļauj pārrakstÄ«t patvaļīgus mērÄ·a direktorijā esoÅ”os failus klienta pusē, piekļūstot serverim, kuru kontrolē uzbrucējs. Problēma ir tāda, ka, izmantojot scp, serveris izlemj, kurus failus un direktorijus nosÅ«tÄ«t klientam, un klients pārbauda tikai atgriezto objektu nosaukumu pareizÄ«bu. Klienta puses pārbaude ir ierobežota, bloķējot tikai ceļoÅ”anu ārpus paÅ”reizējā direktorija (../), taču neņem vērā failu pārsÅ«tÄ«Å”anu ar nosaukumiem, kas atŔķiras no sākotnēji pieprasÄ«tajiem. RekursÄ«vās kopÄ“Å”anas (-r) gadÄ«jumā papildus failu nosaukumiem lÄ«dzÄ«gā veidā var manipulēt arÄ« ar apakÅ”direktoriju nosaukumiem. Piemēram, ja lietotājs kopē failus mājas direktorijā, uzbrucēja kontrolētais serveris var izveidot failus ar nosaukumiem .bash_aliases vai .ssh/authorized_keys pieprasÄ«to failu vietā, un tos saglabās utilÄ«ta scp lietotāja failā. mājas direktorijs.

    Jaunajā versijā scp utilÄ«ta ir atjaunināta, lai pārbaudÄ«tu atbilstÄ«bu starp pieprasÄ«tajiem un servera nosÅ«tÄ«tajiem failu nosaukumiem, kas tiek veikts klienta pusē. Tas var radÄ«t problēmas ar masku apstrādi, jo maskas paplaÅ”ināŔanas rakstzÄ«mes var tikt apstrādātas atŔķirÄ«gi servera un klienta pusē. Ja Ŕādu atŔķirÄ«bu dēļ klients pārtrauc pieņemt failus scp, ir pievienota opcija ā€œ-Tā€, lai atspējotu klienta puses pārbaudi. Lai pilnÄ«bā novērstu problēmu, ir nepiecieÅ”ama scp protokola konceptuāla pārstrāde, kas pats par sevi jau ir novecojis, tāpēc tā vietā ieteicams izmantot modernākus protokolus, piemēram, sftp un rsync.

Avots: opennet.ru

Pievieno komentāru