ProHoster > Blogs > interneta ziņas > OpenSSH 8.4 izlaiÅ”ana

OpenSSH 8.4 izlaiŔana

Pēc četru mēneÅ”u attÄ«stÄ«bas uzrādÄ«ts OpenSSH 8.4, atvērta klienta un servera ievieÅ”ana darbam, izmantojot SSH 2.0 un SFTP protokolus, izlaidums.

Galvenās izmaiņas:

  • DroŔības izmaiņas:
    • Programmā ssh-agent, izmantojot FIDO atslēgas, kas nav izveidotas SSH autentifikācijai (atslēgas ID nesākas ar virkni "ssh:"), tā tagad pārbauda, ā€‹ā€‹vai ziņojums tiks parakstÄ«ts, izmantojot SSH protokolā izmantotās metodes. Izmaiņas neļaus ssh-agent novirzÄ«t uz attāliem saimniekiem, kuriem ir FIDO atslēgas, lai bloķētu iespēju izmantot Ŕīs atslēgas, lai Ä£enerētu parakstus tÄ«mekļa autentifikācijas pieprasÄ«jumiem (sākotnēji tiek izslēgts apgrieztais gadÄ«jums, kad pārlÅ«kprogramma var parakstÄ«t SSH pieprasÄ«jumu sakarā ar prefiksa ā€œssh:ā€ izmantoÅ”anu atslēgas identifikatorā).
    • ssh-keygen pastāvÄ«go atslēgu Ä£enerÄ“Å”ana ietver atbalstu credProtect pievienojumprogrammai, kas aprakstÄ«ta FIDO 2.1 specifikācijā, kas nodroÅ”ina papildu aizsardzÄ«bu atslēgām, pieprasot PIN pirms jebkuras darbÄ«bas veikÅ”anas, kuras rezultātā no pilnvaras var tikt izvilkta rezidenta atslēga.
  • Iespējamas saderÄ«bas izmaiņas:
    • Lai atbalstÄ«tu FIDO/U2F, ieteicams izmantot libfido2 bibliotēku vismaz 1.5.0. Iespēja izmantot vecākus izdevumus ir daļēji ieviesta, taču Å”ajā gadÄ«jumā nebÅ«s pieejamas tādas funkcijas kā rezidentu atslēgas, PIN pieprasÄ«jums un vairāku marÄ·ieru savienoÅ”ana.
    • Programmā ssh-keygen apstiprinājuma informācijas formātam ir pievienoti autentifikācijas dati, kas nepiecieÅ”ami, lai pārbaudÄ«tu ciparparakstu apstiprinājumu, un tie pēc izvēles tiek saglabāti, Ä£enerējot FIDO atslēgu.
    • Ir mainÄ«ta API, kas tiek izmantota, kad OpenSSH mijiedarbojas ar slāni, lai piekļūtu FIDO marÄ·ieriem.
    • Veidojot pārnēsājamu OpenSSH versiju, tagad ir nepiecieÅ”ams automātiskais risinājums, lai Ä£enerētu konfigurÄ“Å”anas skriptu un pievienotos bÅ«vfailus (ja tiek veidots no publicēta koda tar faila, atkārtota konfigurācija nav nepiecieÅ”ama).
  • Pievienots atbalsts FIDO atslēgām, kurām nepiecieÅ”ama PIN pārbaude ssh un ssh-keygen. Lai Ä£enerētu atslēgas ar PIN, ssh-keygen ir pievienota opcija ā€œverify-requiredā€. Ja tiek lietotas Ŕādas atslēgas, pirms paraksta izveides darbÄ«bas veikÅ”anas lietotājam tiek piedāvāts apstiprināt savas darbÄ«bas, ievadot PIN kodu.
  • Sshd iestatÄ«jumā authorised_keys ir ieviesta opcija ā€œverify-requiredā€, kas prasa izmantot iespējas, lai pārbaudÄ«tu lietotāja klātbÅ«tni darbÄ«bu laikā ar pilnvaru. FIDO standarts nodroÅ”ina vairākas Ŕādas verifikācijas iespējas, taču paÅ”laik OpenSSH atbalsta tikai verifikāciju, kuras pamatā ir PIN.
  • sshd un ssh-keygen ir pievienojuÅ”i atbalstu digitālo parakstu pārbaudei, kas atbilst FIDO Webauthn standartam, kas ļauj FIDO atslēgas izmantot tÄ«mekļa pārlÅ«kprogrammās.
  • Ssh, CertificateFile iestatÄ«jumos,
    ControlPath, IdentityAgent, IdentityFile, LocalForward un
    RemoteForward ļauj aizstāt vērtības ar vides mainīgajiem, kas norādīti formātā "${ENV}".

  • ssh un ssh-agent ir pievienojuÅ”i atbalstu vides mainÄ«gajam $SSH_ASKPASS_REQUIRE, ko var izmantot, lai iespējotu vai atspējotu ssh-askpass izsaukumu.
  • Ssh ssh_config direktÄ«vā AddKeysToAgent ir pievienota iespēja ierobežot atslēgas derÄ«guma periodu. Kad norādÄ«tais ierobežojums ir beidzies, atslēgas tiek automātiski izdzēstas no ssh-agent.
  • Programmā scp un sftp, izmantojot karogu "-A", tagad varat skaidri atļaut novirzÄ«Å”anu uz scp un sftp, izmantojot ssh-agent (novirzÄ«Å”ana pēc noklusējuma ir atspējota).
  • Pievienots atbalsts ā€œ%kā€ aizstāŔanai ssh iestatÄ«jumos, kas norāda resursdatora atslēgas nosaukumu. Å o lÄ«dzekli var izmantot, lai sadalÄ«tu atslēgas atseviŔķos failos (piemēram, ā€œUserKnownHostsFile ~/.ssh/known_hosts.d/%kā€).
  • Atļaut izmantot operāciju "ssh-add -d -", lai nolasÄ«tu stdin atslēgas, kuras ir jādzÄ“Å”.
  • Sshd savienojuma atzaroÅ”anas procesa sākums un beigas tiek atspoguļoti žurnālā, ko regulē, izmantojot MaxStartups parametru.

OpenSSH izstrādātāji arÄ« atgādināja par gaidāmo algoritmu darbÄ«bas pārtraukÅ”anu, izmantojot SHA-1 jaucējus, jo veicināŔanu sadursmes uzbrukumu efektivitāte ar noteiktu prefiksu (sadursmes izvēles izmaksas tiek lēstas aptuveni 45 tÅ«kstoÅ”u dolāru apmērā). Vienā no gaidāmajiem laidieniem viņi plāno pēc noklusējuma atspējot iespēju izmantot ssh-rsa publiskās atslēgas digitālā paraksta algoritmu, kas ir minēts sākotnējā RFC SSH protokolam un joprojām ir plaÅ”i izplatÄ«ts praksē (lai pārbaudÄ«tu ssh izmantoÅ”anu -rsa savās sistēmās, varat mēģināt izveidot savienojumu, izmantojot ssh, izmantojot opciju "-oHostKeyAlgorithms=-ssh-rsa").

Lai vienmērÄ«gi pārietu uz jauniem OpenSSH algoritmiem, nākamajā laidienā pēc noklusējuma tiks iespējots iestatÄ«jums UpdateHostKeys, kas automātiski migrēs klientus uz uzticamākiem algoritmiem. Ieteicamie migrācijas algoritmi ietver rsa-sha2-256/512, pamatojoties uz RFC8332 RSA SHA-2 (tiek atbalstÄ«ts kopÅ” OpenSSH 7.2 un tiek izmantots pēc noklusējuma), ssh-ed25519 (atbalstÄ«ts kopÅ” OpenSSH 6.5) un ecdsa-sha2-nistp256/384. uz RFC521 ECDSA (atbalstÄ«ts kopÅ” OpenSSH 5656).

Avots: opennet.ru

Pievieno komentāru