ProHoster > Блог > interneta ziņas > OpenSSH 8.4 izlaišana

OpenSSH 8.4 izlaišana

Pēc četru mēnešu attīstības uzrādīts OpenSSH 8.4, atvērta klienta un servera ieviešana darbam, izmantojot SSH 2.0 un SFTP protokolus, izlaidums.

Galvenās izmaiņas:

  • Drošības izmaiņas:
    • Programmā ssh-agent, izmantojot FIDO atslēgas, kas nav izveidotas SSH autentifikācijai (atslēgas ID nesākas ar virkni "ssh:"), tā tagad pārbauda, ​​vai ziņojums tiks parakstīts, izmantojot SSH protokolā izmantotās metodes. Izmaiņas neļaus ssh-agent novirzīt uz attāliem saimniekiem, kuriem ir FIDO atslēgas, lai bloķētu iespēju izmantot šīs atslēgas, lai ģenerētu parakstus tīmekļa autentifikācijas pieprasījumiem (sākotnēji tiek izslēgts apgrieztais gadījums, kad pārlūkprogramma var parakstīt SSH pieprasījumu sakarā ar prefiksa “ssh:” izmantošanu atslēgas identifikatorā).
    • ssh-keygen pastāvīgo atslēgu ģenerēšana ietver atbalstu credProtect pievienojumprogrammai, kas aprakstīta FIDO 2.1 specifikācijā, kas nodrošina papildu aizsardzību atslēgām, pieprasot PIN pirms jebkuras darbības veikšanas, kuras rezultātā no pilnvaras var tikt izvilkta rezidenta atslēga.
  • Iespējamas saderības izmaiņas:
    • Lai atbalstītu FIDO/U2F, ieteicams izmantot libfido2 bibliotēku vismaz 1.5.0. Iespēja izmantot vecākus izdevumus ir daļēji ieviesta, taču šajā gadījumā nebūs pieejamas tādas funkcijas kā rezidentu atslēgas, PIN pieprasījums un vairāku marķieru savienošana.
    • Programmā ssh-keygen apstiprinājuma informācijas formātam ir pievienoti autentifikācijas dati, kas nepieciešami, lai pārbaudītu ciparparakstu apstiprinājumu, un tie pēc izvēles tiek saglabāti, ģenerējot FIDO atslēgu.
    • Ir mainīta API, kas tiek izmantota, kad OpenSSH mijiedarbojas ar slāni, lai piekļūtu FIDO marķieriem.
    • Veidojot pārnēsājamu OpenSSH versiju, tagad ir nepieciešams automātiskais risinājums, lai ģenerētu konfigurēšanas skriptu un pievienotos būvfailus (ja tiek veidots no publicēta koda tar faila, atkārtota konfigurācija nav nepieciešama).
  • Pievienots atbalsts FIDO atslēgām, kurām nepieciešama PIN pārbaude ssh un ssh-keygen. Lai ģenerētu atslēgas ar PIN, ssh-keygen ir pievienota opcija “verify-required”. Ja tiek lietotas šādas atslēgas, pirms paraksta izveides darbības veikšanas lietotājam tiek piedāvāts apstiprināt savas darbības, ievadot PIN kodu.
  • Sshd iestatījumā authorised_keys ir ieviesta opcija “verify-required”, kas prasa izmantot iespējas, lai pārbaudītu lietotāja klātbūtni darbību laikā ar pilnvaru. FIDO standarts nodrošina vairākas šādas verifikācijas iespējas, taču pašlaik OpenSSH atbalsta tikai verifikāciju, kuras pamatā ir PIN.
  • sshd un ssh-keygen ir pievienojuši atbalstu digitālo parakstu pārbaudei, kas atbilst FIDO Webauthn standartam, kas ļauj FIDO atslēgas izmantot tīmekļa pārlūkprogrammās.
  • Ssh, CertificateFile iestatījumos,
    ControlPath, IdentityAgent, IdentityFile, LocalForward un
    RemoteForward ļauj aizstāt vērtības ar vides mainīgajiem, kas norādīti formātā "${ENV}".
  • ssh un ssh-agent ir pievienojuši atbalstu vides mainīgajam $SSH_ASKPASS_REQUIRE, ko var izmantot, lai iespējotu vai atspējotu ssh-askpass izsaukumu.
  • Ssh ssh_config direktīvā AddKeysToAgent ir pievienota iespēja ierobežot atslēgas derīguma periodu. Kad norādītais ierobežojums ir beidzies, atslēgas tiek automātiski izdzēstas no ssh-agent.
  • Programmā scp un sftp, izmantojot karogu "-A", tagad varat skaidri atļaut novirzīšanu uz scp un sftp, izmantojot ssh-agent (novirzīšana pēc noklusējuma ir atspējota).
  • Pievienots atbalsts “%k” aizstāšanai ssh iestatījumos, kas norāda resursdatora atslēgas nosaukumu. Šo līdzekli var izmantot, lai sadalītu atslēgas atsevišķos failos (piemēram, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • Atļaut izmantot operāciju "ssh-add -d -", lai nolasītu stdin atslēgas, kuras ir jādzēš.
  • Sshd savienojuma atzarošanas procesa sākums un beigas tiek atspoguļoti žurnālā, ko regulē, izmantojot MaxStartups parametru.

OpenSSH izstrādātāji arī atgādināja par gaidāmo algoritmu darbības pārtraukšanu, izmantojot SHA-1 jaucējus, jo veicināšanu sadursmes uzbrukumu efektivitāte ar noteiktu prefiksu (sadursmes izvēles izmaksas tiek lēstas aptuveni 45 tūkstošu dolāru apmērā). Vienā no gaidāmajiem laidieniem viņi plāno pēc noklusējuma atspējot iespēju izmantot ssh-rsa publiskās atslēgas digitālā paraksta algoritmu, kas ir minēts sākotnējā RFC SSH protokolam un joprojām ir plaši izplatīts praksē (lai pārbaudītu ssh izmantošanu -rsa savās sistēmās, varat mēģināt izveidot savienojumu, izmantojot ssh, izmantojot opciju "-oHostKeyAlgorithms=-ssh-rsa").

Lai vienmērīgi pārietu uz jauniem OpenSSH algoritmiem, nākamajā laidienā pēc noklusējuma tiks iespējots iestatījums UpdateHostKeys, kas automātiski migrēs klientus uz uzticamākiem algoritmiem. Ieteicamie migrācijas algoritmi ietver rsa-sha2-256/512, pamatojoties uz RFC8332 RSA SHA-2 (tiek atbalstīts kopš OpenSSH 7.2 un tiek izmantots pēc noklusējuma), ssh-ed25519 (atbalstīts kopš OpenSSH 6.5) un ecdsa-sha2-nistp256/384. uz RFC521 ECDSA (atbalstīts kopš OpenSSH 5656).

Avots: opennet.ru

Pievieno komentāru