PÄc Äetru mÄneÅ”u attÄ«stÄ«bas
GalvenÄs izmaiÅas:
- DroŔības izmaiÅas:
- ProgrammÄ ssh-agent, izmantojot FIDO atslÄgas, kas nav izveidotas SSH autentifikÄcijai (atslÄgas ID nesÄkas ar virkni "ssh:"), tÄ tagad pÄrbauda, āāvai ziÅojums tiks parakstÄ«ts, izmantojot SSH protokolÄ izmantotÄs metodes. IzmaiÅas neļaus ssh-agent novirzÄ«t uz attÄliem saimniekiem, kuriem ir FIDO atslÄgas, lai bloÄ·Ätu iespÄju izmantot Ŕīs atslÄgas, lai Ä£enerÄtu parakstus tÄ«mekļa autentifikÄcijas pieprasÄ«jumiem (sÄkotnÄji tiek izslÄgts apgrieztais gadÄ«jums, kad pÄrlÅ«kprogramma var parakstÄ«t SSH pieprasÄ«jumu sakarÄ ar prefiksa āssh:ā izmantoÅ”anu atslÄgas identifikatorÄ).
- ssh-keygen pastÄvÄ«go atslÄgu Ä£enerÄÅ”ana ietver atbalstu credProtect pievienojumprogrammai, kas aprakstÄ«ta FIDO 2.1 specifikÄcijÄ, kas nodroÅ”ina papildu aizsardzÄ«bu atslÄgÄm, pieprasot PIN pirms jebkuras darbÄ«bas veikÅ”anas, kuras rezultÄtÄ no pilnvaras var tikt izvilkta rezidenta atslÄga.
- IespÄjamas saderÄ«bas izmaiÅas:
- Lai atbalstÄ«tu FIDO/U2F, ieteicams izmantot libfido2 bibliotÄku vismaz 1.5.0. IespÄja izmantot vecÄkus izdevumus ir daļÄji ieviesta, taÄu Å”ajÄ gadÄ«jumÄ nebÅ«s pieejamas tÄdas funkcijas kÄ rezidentu atslÄgas, PIN pieprasÄ«jums un vairÄku marÄ·ieru savienoÅ”ana.
- ProgrammÄ ssh-keygen apstiprinÄjuma informÄcijas formÄtam ir pievienoti autentifikÄcijas dati, kas nepiecieÅ”ami, lai pÄrbaudÄ«tu ciparparakstu apstiprinÄjumu, un tie pÄc izvÄles tiek saglabÄti, Ä£enerÄjot FIDO atslÄgu.
- Ir mainÄ«ta API, kas tiek izmantota, kad OpenSSH mijiedarbojas ar slÄni, lai piekļūtu FIDO marÄ·ieriem.
- Veidojot pÄrnÄsÄjamu OpenSSH versiju, tagad ir nepiecieÅ”ams automÄtiskais risinÄjums, lai Ä£enerÄtu konfigurÄÅ”anas skriptu un pievienotos bÅ«vfailus (ja tiek veidots no publicÄta koda tar faila, atkÄrtota konfigurÄcija nav nepiecieÅ”ama).
- Pievienots atbalsts FIDO atslÄgÄm, kurÄm nepiecieÅ”ama PIN pÄrbaude ssh un ssh-keygen. Lai Ä£enerÄtu atslÄgas ar PIN, ssh-keygen ir pievienota opcija āverify-requiredā. Ja tiek lietotas Å”Ädas atslÄgas, pirms paraksta izveides darbÄ«bas veikÅ”anas lietotÄjam tiek piedÄvÄts apstiprinÄt savas darbÄ«bas, ievadot PIN kodu.
- Sshd iestatÄ«jumÄ authorised_keys ir ieviesta opcija āverify-requiredā, kas prasa izmantot iespÄjas, lai pÄrbaudÄ«tu lietotÄja klÄtbÅ«tni darbÄ«bu laikÄ ar pilnvaru. FIDO standarts nodroÅ”ina vairÄkas Å”Ädas verifikÄcijas iespÄjas, taÄu paÅ”laik OpenSSH atbalsta tikai verifikÄciju, kuras pamatÄ ir PIN.
- sshd un ssh-keygen ir pievienojuÅ”i atbalstu digitÄlo parakstu pÄrbaudei, kas atbilst FIDO Webauthn standartam, kas ļauj FIDO atslÄgas izmantot tÄ«mekļa pÄrlÅ«kprogrammÄs.
- Ssh, CertificateFile iestatījumos,
ControlPath, IdentityAgent, IdentityFile, LocalForward un
RemoteForward ļauj aizstÄt vÄrtÄ«bas ar vides mainÄ«gajiem, kas norÄdÄ«ti formÄtÄ "${ENV}". - ssh un ssh-agent ir pievienojuÅ”i atbalstu vides mainÄ«gajam $SSH_ASKPASS_REQUIRE, ko var izmantot, lai iespÄjotu vai atspÄjotu ssh-askpass izsaukumu.
- Ssh ssh_config direktÄ«vÄ AddKeysToAgent ir pievienota iespÄja ierobežot atslÄgas derÄ«guma periodu. Kad norÄdÄ«tais ierobežojums ir beidzies, atslÄgas tiek automÄtiski izdzÄstas no ssh-agent.
- ProgrammÄ scp un sftp, izmantojot karogu "-A", tagad varat skaidri atļaut novirzÄ«Å”anu uz scp un sftp, izmantojot ssh-agent (novirzÄ«Å”ana pÄc noklusÄjuma ir atspÄjota).
- Pievienots atbalsts ā%kā aizstÄÅ”anai ssh iestatÄ«jumos, kas norÄda resursdatora atslÄgas nosaukumu. Å o lÄ«dzekli var izmantot, lai sadalÄ«tu atslÄgas atseviŔķos failos (piemÄram, āUserKnownHostsFile ~/.ssh/known_hosts.d/%kā).
- Atļaut izmantot operÄciju "ssh-add -d -", lai nolasÄ«tu stdin atslÄgas, kuras ir jÄdzÄÅ”.
- Sshd savienojuma atzaroÅ”anas procesa sÄkums un beigas tiek atspoguļoti žurnÄlÄ, ko regulÄ, izmantojot MaxStartups parametru.
OpenSSH izstrÄdÄtÄji arÄ« atgÄdinÄja par gaidÄmo algoritmu darbÄ«bas pÄrtraukÅ”anu, izmantojot SHA-1 jaucÄjus, jo
Lai vienmÄrÄ«gi pÄrietu uz jauniem OpenSSH algoritmiem, nÄkamajÄ laidienÄ pÄc noklusÄjuma tiks iespÄjots iestatÄ«jums UpdateHostKeys, kas automÄtiski migrÄs klientus uz uzticamÄkiem algoritmiem. Ieteicamie migrÄcijas algoritmi ietver rsa-sha2-256/512, pamatojoties uz RFC8332 RSA SHA-2 (tiek atbalstÄ«ts kopÅ” OpenSSH 7.2 un tiek izmantots pÄc noklusÄjuma), ssh-ed25519 (atbalstÄ«ts kopÅ” OpenSSH 6.5) un ecdsa-sha2-nistp256/384. uz RFC521 ECDSA (atbalstÄ«ts kopÅ” OpenSSH 5656).
Avots: opennet.ru