ProHoster > Blogs > interneta ziņas > OpenSSH 8.7 izlaiÅ”ana

OpenSSH 8.7 izlaiŔana

Pēc četru mēneÅ”u izstrādes tika prezentēts OpenSSH 8.7, atvērts klienta un servera ievieÅ”ana darbam, izmantojot SSH 2.0 un SFTP protokolus.

Galvenās izmaiņas:

  • Scp ir pievienots eksperimentāls datu pārsÅ«tÄ«Å”anas režīms, izmantojot SFTP protokolu tradicionālā SCP/RCP protokola vietā. SFTP izmanto paredzamākas nosaukumu apstrādes metodes un neizmanto globu modeļu čaulas apstrādi no otras saimniekdatora puses, kas rada droŔības problēmas. Lai iespējotu SFTP scp, ir piedāvāts karogs ā€œ-sā€, taču nākotnē plānots pēc noklusējuma pārslēgties uz Å”o protokolu.
  • sftp-server ievieÅ” SFTP protokola paplaÅ”inājumus, lai paplaÅ”inātu ~/ un ~user/ ceļus, kas nepiecieÅ”ami scp.
  • Scp utilÄ«ta ir mainÄ«jusi uzvedÄ«bu, kopējot failus starp diviem attāliem resursdatoriem (piemēram, ā€œscp host-a:/path host-b:ā€), kas tagad tiek darÄ«ts pēc noklusējuma, izmantojot starpposma lokālo resursdatoru, piemēram, norādot ā€œ -3ā€ karogs. Å Ä« pieeja ļauj izvairÄ«ties no nevajadzÄ«gu akreditācijas datu nodoÅ”anas pirmajam resursdatoram un trÄ«skārÅ”as failu nosaukumu interpretācijas čaulā (avota, galamērÄ·a un vietējās sistēmas pusē), un, izmantojot SFTP, tā ļauj izmantot visas autentifikācijas metodes, piekļūstot attālajai. saimniekiem, nevis tikai neinteraktÄ«vām metodēm . Opcija "-R" ir pievienota, lai atjaunotu veco darbÄ«bu.
  • Pievienots ForkAfterAuthentication iestatÄ«jums ssh, kas atbilst karogam "-f".
  • Pievienots StdinNull iestatÄ«jums ssh, kas atbilst karogam "-n".
  • Ssh ir pievienots SessionType iestatÄ«jums, ar kura palÄ«dzÄ«bu var iestatÄ«t režīmus, kas atbilst ā€œ-Nā€ (nav sesijas) un ā€œ-sā€ (apakÅ”sistēmas) karodziņiem.
  • ssh-keygen ļauj norādÄ«t atslēgas derÄ«guma intervālu atslēgu failos.
  • Ssh-keygen pievienots karodziņŔ "-Oprint-pubkey", lai drukātu pilnu publisko atslēgu kā daļu no sshsig paraksta.
  • Programmā ssh un sshd gan klients, gan serveris ir pārvietoti, lai izmantotu stingrāku konfigurācijas failu parsētāju, kas pēdiņu, atstarpju un atsoļa rakstzÄ«mju apstrādei izmanto čaulām lÄ«dzÄ«gus noteikumus. Jaunais parsētājs arÄ« neņem vērā iepriekÅ” izdarÄ«tos pieņēmumus, piemēram, opciju argumentu izlaiÅ”anu (piemēram, direktÄ«vu DenyUsers vairs nevar atstāt tukÅ”u), neaizvērtas pēdiņas un norādÄ«t vairākas = rakstzÄ«mes.
  • Izmantojot SSHFP DNS ierakstus, pārbaudot atslēgas, ssh tagad pārbauda visus atbilstoÅ”os ierakstus, ne tikai tos, kas satur noteikta veida ciparparakstu.
  • Programmā ssh-keygen, Ä£enerējot FIDO atslēgu ar opciju -Ochallenge, jaukÅ”anai tagad tiek izmantots iebÅ«vētais slānis, nevis libfido2, kas ļauj izmantot izaicinājumu secÄ«bas, kas ir lielākas vai mazākas par 32 baitiem.
  • Sshd, apstrādājot vides = = "..." direktÄ«vas failos authorised_keys, tagad tiek pieņemta pirmā atbilstÄ«ba, un vides mainÄ«go nosaukumu ierobežojums ir 1024.

OpenSSH izstrādātāji arÄ« brÄ«dināja par algoritmu sadalÄ«Å”anu, izmantojot SHA-1 jaucējus, jo palielinās sadursmes uzbrukumu efektivitāte ar noteiktu prefiksu (sadursmes atlases izmaksas tiek lēstas aptuveni 50 tÅ«kstoÅ”u dolāru apmērā). Nākamajā laidienā mēs plānojam pēc noklusējuma atspējot iespēju izmantot publiskās atslēgas digitālā paraksta algoritmu "ssh-rsa", kas tika minēts sākotnējā SSH protokola RFC un joprojām tiek plaÅ”i izmantots praksē.

Lai pārbaudÄ«tu ssh-rsa izmantoÅ”anu savās sistēmās, varat mēģināt izveidot savienojumu, izmantojot ssh, izmantojot opciju ā€œ-oHostKeyAlgorithms=-ssh-rsaā€. Tajā paŔā laikā ā€œssh-rsaā€ ciparparakstu atspējoÅ”ana pēc noklusējuma nenozÄ«mē pilnÄ«gu atteikÅ”anos no RSA atslēgu izmantoÅ”anas, jo papildus SHA-1 SSH protokols ļauj izmantot arÄ« citus jaucējkodas aprēķināŔanas algoritmus. Jo Ä«paÅ”i papildus ā€œssh-rsaā€ joprojām bÅ«s iespējams izmantot ā€œrsa-sha2-256ā€ (RSA/SHA256) un ā€œrsa-sha2-512ā€ (RSA/SHA512) komplektus.

Lai vienmērÄ«gi pārietu uz jauniem algoritmiem, OpenSSH iepriekÅ” pēc noklusējuma bija iespējots iestatÄ«jums UpdateHostKeys, kas ļauj klientiem automātiski pārslēgties uz uzticamākiem algoritmiem. Izmantojot Å”o iestatÄ«jumu, tiek iespējots Ä«paÅ”s protokola paplaÅ”inājums "[e-pasts aizsargāts]", ļaujot serverim pēc autentifikācijas informēt klientu par visām pieejamajām resursdatora atslēgām. Klients var atspoguļot Ŕīs atslēgas savā ~/.ssh/known_hosts failā, kas ļauj atjaunināt resursdatora atslēgas un atvieglo atslēgu maiņu serverÄ«.

UpdateHostKeys izmantoÅ”anu ierobežo vairāki brÄ«dinājumi, kas nākotnē var tikt noņemti: atslēgai ir jābÅ«t atsaucei UserKnownHostsFile, un to nedrÄ«kst izmantot GlobalKnownHostsFile; atslēgai jābÅ«t klāt tikai ar vienu nosaukumu; resursdatora atslēgas sertifikātu nevajadzētu izmantot; inknown_hosts maskas pēc resursdatora nosaukuma nedrÄ«kst izmantot; ir jāatspējo iestatÄ«jums VerifyHostKeyDNS; Parametram UserKnownHostsFile jābÅ«t aktÄ«vam.

Ieteicamie migrācijas algoritmi ietver rsa-sha2-256/512, pamatojoties uz RFC8332 RSA SHA-2 (tiek atbalstÄ«ts kopÅ” OpenSSH 7.2 un tiek izmantots pēc noklusējuma), ssh-ed25519 (atbalstÄ«ts kopÅ” OpenSSH 6.5) un ecdsa-sha2-nistp256/384. uz RFC521 ECDSA (atbalstÄ«ts kopÅ” OpenSSH 5656).

Avots: opennet.ru

Pievieno komentāru