PÄc Äetru mÄneÅ”u izstrÄdes tika prezentÄts OpenSSH 8.7, atvÄrts klienta un servera ievieÅ”ana darbam, izmantojot SSH 2.0 un SFTP protokolus.
GalvenÄs izmaiÅas:
- Scp ir pievienots eksperimentÄls datu pÄrsÅ«tÄ«Å”anas režīms, izmantojot SFTP protokolu tradicionÄlÄ SCP/RCP protokola vietÄ. SFTP izmanto paredzamÄkas nosaukumu apstrÄdes metodes un neizmanto globu modeļu Äaulas apstrÄdi no otras saimniekdatora puses, kas rada droŔības problÄmas. Lai iespÄjotu SFTP scp, ir piedÄvÄts karogs ā-sā, taÄu nÄkotnÄ plÄnots pÄc noklusÄjuma pÄrslÄgties uz Å”o protokolu.
- sftp-server ievieÅ” SFTP protokola paplaÅ”inÄjumus, lai paplaÅ”inÄtu ~/ un ~user/ ceļus, kas nepiecieÅ”ami scp.
- Scp utilÄ«ta ir mainÄ«jusi uzvedÄ«bu, kopÄjot failus starp diviem attÄliem resursdatoriem (piemÄram, āscp host-a:/path host-b:ā), kas tagad tiek darÄ«ts pÄc noklusÄjuma, izmantojot starpposma lokÄlo resursdatoru, piemÄram, norÄdot ā -3ā karogs. Å Ä« pieeja ļauj izvairÄ«ties no nevajadzÄ«gu akreditÄcijas datu nodoÅ”anas pirmajam resursdatoram un trÄ«skÄrÅ”as failu nosaukumu interpretÄcijas ÄaulÄ (avota, galamÄrÄ·a un vietÄjÄs sistÄmas pusÄ), un, izmantojot SFTP, tÄ Ä¼auj izmantot visas autentifikÄcijas metodes, piekļūstot attÄlajai. saimniekiem, nevis tikai neinteraktÄ«vÄm metodÄm . Opcija "-R" ir pievienota, lai atjaunotu veco darbÄ«bu.
- Pievienots ForkAfterAuthentication iestatījums ssh, kas atbilst karogam "-f".
- Pievienots StdinNull iestatījums ssh, kas atbilst karogam "-n".
- Ssh ir pievienots SessionType iestatÄ«jums, ar kura palÄ«dzÄ«bu var iestatÄ«t režīmus, kas atbilst ā-Nā (nav sesijas) un ā-sā (apakÅ”sistÄmas) karodziÅiem.
- ssh-keygen ļauj norÄdÄ«t atslÄgas derÄ«guma intervÄlu atslÄgu failos.
- Ssh-keygen pievienots karodziÅÅ” "-Oprint-pubkey", lai drukÄtu pilnu publisko atslÄgu kÄ daļu no sshsig paraksta.
- ProgrammÄ ssh un sshd gan klients, gan serveris ir pÄrvietoti, lai izmantotu stingrÄku konfigurÄcijas failu parsÄtÄju, kas pÄdiÅu, atstarpju un atsoļa rakstzÄ«mju apstrÄdei izmanto ÄaulÄm lÄ«dzÄ«gus noteikumus. Jaunais parsÄtÄjs arÄ« neÅem vÄrÄ iepriekÅ” izdarÄ«tos pieÅÄmumus, piemÄram, opciju argumentu izlaiÅ”anu (piemÄram, direktÄ«vu DenyUsers vairs nevar atstÄt tukÅ”u), neaizvÄrtas pÄdiÅas un norÄdÄ«t vairÄkas = rakstzÄ«mes.
- Izmantojot SSHFP DNS ierakstus, pÄrbaudot atslÄgas, ssh tagad pÄrbauda visus atbilstoÅ”os ierakstus, ne tikai tos, kas satur noteikta veida ciparparakstu.
- ProgrammÄ ssh-keygen, Ä£enerÄjot FIDO atslÄgu ar opciju -Ochallenge, jaukÅ”anai tagad tiek izmantots iebÅ«vÄtais slÄnis, nevis libfido2, kas ļauj izmantot izaicinÄjumu secÄ«bas, kas ir lielÄkas vai mazÄkas par 32 baitiem.
- Sshd, apstrÄdÄjot vides = = "..." direktÄ«vas failos authorised_keys, tagad tiek pieÅemta pirmÄ atbilstÄ«ba, un vides mainÄ«go nosaukumu ierobežojums ir 1024.
OpenSSH izstrÄdÄtÄji arÄ« brÄ«dinÄja par algoritmu sadalÄ«Å”anu, izmantojot SHA-1 jaucÄjus, jo palielinÄs sadursmes uzbrukumu efektivitÄte ar noteiktu prefiksu (sadursmes atlases izmaksas tiek lÄstas aptuveni 50 tÅ«kstoÅ”u dolÄru apmÄrÄ). NÄkamajÄ laidienÄ mÄs plÄnojam pÄc noklusÄjuma atspÄjot iespÄju izmantot publiskÄs atslÄgas digitÄlÄ paraksta algoritmu "ssh-rsa", kas tika minÄts sÄkotnÄjÄ SSH protokola RFC un joprojÄm tiek plaÅ”i izmantots praksÄ.
Lai pÄrbaudÄ«tu ssh-rsa izmantoÅ”anu savÄs sistÄmÄs, varat mÄÄ£inÄt izveidot savienojumu, izmantojot ssh, izmantojot opciju ā-oHostKeyAlgorithms=-ssh-rsaā. TajÄ paÅ”Ä laikÄ āssh-rsaā ciparparakstu atspÄjoÅ”ana pÄc noklusÄjuma nenozÄ«mÄ pilnÄ«gu atteikÅ”anos no RSA atslÄgu izmantoÅ”anas, jo papildus SHA-1 SSH protokols ļauj izmantot arÄ« citus jaucÄjkodas aprÄÄ·inÄÅ”anas algoritmus. Jo Ä«paÅ”i papildus āssh-rsaā joprojÄm bÅ«s iespÄjams izmantot ārsa-sha2-256ā (RSA/SHA256) un ārsa-sha2-512ā (RSA/SHA512) komplektus.
Lai vienmÄrÄ«gi pÄrietu uz jauniem algoritmiem, OpenSSH iepriekÅ” pÄc noklusÄjuma bija iespÄjots iestatÄ«jums UpdateHostKeys, kas ļauj klientiem automÄtiski pÄrslÄgties uz uzticamÄkiem algoritmiem. Izmantojot Å”o iestatÄ«jumu, tiek iespÄjots Ä«paÅ”s protokola paplaÅ”inÄjums "[e-pasts aizsargÄts]", ļaujot serverim pÄc autentifikÄcijas informÄt klientu par visÄm pieejamajÄm resursdatora atslÄgÄm. Klients var atspoguļot Ŕīs atslÄgas savÄ ~/.ssh/known_hosts failÄ, kas ļauj atjauninÄt resursdatora atslÄgas un atvieglo atslÄgu maiÅu serverÄ«.
UpdateHostKeys izmantoÅ”anu ierobežo vairÄki brÄ«dinÄjumi, kas nÄkotnÄ var tikt noÅemti: atslÄgai ir jÄbÅ«t atsaucei UserKnownHostsFile, un to nedrÄ«kst izmantot GlobalKnownHostsFile; atslÄgai jÄbÅ«t klÄt tikai ar vienu nosaukumu; resursdatora atslÄgas sertifikÄtu nevajadzÄtu izmantot; inknown_hosts maskas pÄc resursdatora nosaukuma nedrÄ«kst izmantot; ir jÄatspÄjo iestatÄ«jums VerifyHostKeyDNS; Parametram UserKnownHostsFile jÄbÅ«t aktÄ«vam.
Ieteicamie migrÄcijas algoritmi ietver rsa-sha2-256/512, pamatojoties uz RFC8332 RSA SHA-2 (tiek atbalstÄ«ts kopÅ” OpenSSH 7.2 un tiek izmantots pÄc noklusÄjuma), ssh-ed25519 (atbalstÄ«ts kopÅ” OpenSSH 6.5) un ecdsa-sha2-nistp256/384. uz RFC521 ECDSA (atbalstÄ«ts kopÅ” OpenSSH 5656).
Avots: opennet.ru