Taorian'ny dimy volana ny fampandrosoana famotsorana , fampiharana mpanjifa misokatra sy mpizara miasa amin'ny alΓ lan'ny protocols SSH 2.0 sy SFTP.
Fiovana lehibe:
- Ny fanohanana andrana amin'ny fomba fifanakalozana fototra izay mahatohitra ny fanafihana mahery vaika amin'ny solosaina quantum dia nampiana ssh sy sshd. Ny solosaina quantum dia haingana kokoa amin'ny famahana ny olan'ny fanimbana isa voajanahary ho anton-javatra voalohany, izay fototry ny algorithm asymmetric encryption maoderina ary tsy azo voavaha amin'ny fomba mahomby amin'ny processeur klasika. Ny fomba atolotra dia mifototra amin'ny algorithm (function ntrup4591761), novolavolaina ho an'ny cryptosystems post-quantum, ary ny fomba fifanakalozam-pahalalana elliptic curve X25519;
- Ao amin'ny sshd, ny toromarika ListenAddress sy PermitOpen dia tsy manohana ny lova "host/port" syntax, izay nampiharina tamin'ny taona 2001 ho solon'ny "host: port" mba hanatsorana ny fiasana amin'ny IPv6. Amin'ny toe-javatra maoderina, ny fehezanteny "[::6]:1" dia natsangana ho an'ny IPv22, ary matetika ny "host/port" dia misafotofoto amin'ny fanondroana ny subnet (CIDR);
- ssh, ssh-agent ary ssh-add izao dia manohana ny fanalahidy amin'ny marika PKCS#11;
- Ao amin'ny ssh-keygen, nitombo ho 3072 bit ny haben'ny lakile RSA default, mifanaraka amin'ny tolo-kevitry ny NIST vaovao;
- ssh dia mamela ny fampiasana ny "PKCS11Provider=none" mba hanilika ny torolΓ lana PKCS11Provider voalaza ao amin'ny ssh_config;
- sshd dia manome fampirantiana momba ny toe-javatra rehefa tapitra ny fifandraisana rehefa manandrana manatanteraka baiko voasakana ny fameperana "ForceCommand=internal-sftp" ao amin'ny sshd_config;
- Ao amin'ny ssh, rehefa mampiseho fangatahana hanamafisana ny fanekena ny fanalahidin'ny mpampiantrano vaovao, fa tsy ny valiny "eny", dia ekena izao ny dian-tΓ nana marina amin'ny fanalahidy (ho valin'ny fanasana hanamarina ny fifandraisana, ny mpampiasa dia afaka mandika ny voaray misaraka amin'ny alΓ lan'ny takelaka fitendry, mba tsy hampitahana azy amin'ny tanana);
- ssh-keygen dia manome fampitomboana mandeha ho azy ny laharan'ny filaharana fanamarinana rehefa mamorona sonia nomerika ho an'ny mari-pankasitrahana marobe amin'ny andalana baiko;
- Safidy vaovao "-J" dia nampiana scp sy sftp, mitovy amin'ny toerana ProxyJump;
- Ao amin'ny ssh-agent, ssh-pkcs11-helper ary ssh-add, ny fanodinana ny safidy andalana baiko "-v" dia nampiana mba hampitomboana ny votoatin'ny fampahalalam-baovao (rehefa voatondro, ity safidy ity dia ampitaina amin'ny fizotran'ny ankizy, ho an'ny ohatra, rehefa ssh-pkcs11-helper dia antsoina avy amin'ny ssh-agent );
- Ny safidy "-T" dia nampiana ssh-add mba hitsapana ny maha-mety ny fanalahidy amin'ny ssh-agent amin'ny fanatanterahana ny famoronana sonia nomerika sy ny asa fanamarinana;
- sftp-server dia mametraka fanohanana ny fanitarana protocol "lsetstat amin'ny openssh.com", izay manampy fanohanana amin'ny asa SSH2_FXP_SETSTAT ho an'ny SFTP, fa tsy manaraka rohy an'ohatra;
- Nampiana "-h" safidy amin'ny sftp hampandehanana baiko chown/chgrp/chmod miaraka amin'ny fangatahana tsy mampiasa rohy an'ohatra;
- sshd dia manome ny fametrahana ny fari-piainan'ny $SSH_CONNECTION ho an'ny PAM;
- Ho an'ny sshd, dia nampiana fomba mifanandrify "Match final" amin'ny ssh_config, izay mitovy amin'ny "Match canonical", saingy tsy mitaky ny fampivoarana ny anaran'ny mpampiantrano;
- Fanampiana fanampiny ho an'ny tovana '@' amin'ny sftp hanakanana ny fandikana ny famoahana ny baiko vita amin'ny fomba andiany;
- Rehefa asehonao ny votoatin'ny taratasy fanamarinana mampiasa ny baiko
"ssh-keygen -Lf /path/certificate" izao dia mampiseho ny algorithm ampiasain'ny CA hanamarina ny taratasy fanamarinana; - Fanohanana nohatsaraina ho an'ny tontolo iainana Cygwin, ohatra ny fanomezana fampitahana tsy misy dikany amin'ny anaran'ny vondrona sy ny mpampiasa. Ny dingana sshd ao amin'ny seranan-tsambo Cygwin dia niova ho cygsshd mba hisorohana ny fanelingelenana ny seranan-tsambo OpenSSH omen'ny Microsoft;
- Nampiana ny fahafahana manangana miaraka amin'ny sampana OpenSSL 3.x andrana;
- intsony (CVE-2019-6111) amin'ny fampiharana ny scp utility, izay mamela ny rakitra tsy misy dikany ao amin'ny lahatahiry kendrena hosoloina amin'ny lafiny mpanjifa rehefa miditra amin'ny mpizara fehezin'ny mpanafika. Ny olana dia rehefa mampiasa scp ny mpizara dia manapa-kevitra hoe iza amin'ireo rakitra sy lahatahiry halefa any amin'ny mpanjifa, ary ny mpanjifa ihany no manamarina ny fahamarinan'ny anaran'ny zavatra naverina. Ny fisavana amin'ny lafiny mpanjifa dia voafetra amin'ny fanakanana ny dia ivelan'ny lahatahiry ankehitriny (β../β), fa tsy miraharaha ny famindrana rakitra misy anarana tsy mitovy amin'ireo nangatahana tany am-boalohany. Raha ny fanaovana kopia miverimberina (-r), ankoatry ny anaran-drakitra dia azonao atao koa ny manodinkodina ny anaran'ny subdirectories amin'ny fomba mitovy. Ohatra, raha mandika rakitra any amin'ny lahatahiry an-trano ny mpampiasa, dia afaka mamokatra rakitra miaraka amin'ny anarana .bash_aliases na .ssh/authorized_keys ny lohamilina fehezin'ny mpanafika fa tsy ny rakitra nangatahana, ary hotehirizin'ny scp utility ao amin'ny mpampiasa. lahatahiry an-trano.
Ao amin'ny famoahana vaovao, ny scp utility dia nohavaozina mba hijerena ny fifandraisana misy eo amin'ny anaran'ny rakitra nangatahana sy ireo nalefan'ny mpizara, izay atao amin'ny lafiny mpanjifa. Mety hiteraka olana amin'ny fanodinana saron-tava izany, satria ny endri-tsoratra fanitarana saron-tava dia mety ho hafa amin'ny lafiny mpizara sy mpanjifa. Raha toa ka mahatonga ny mpanjifa hijanona tsy handray rakitra ao amin'ny scp ny tsy fitoviana toy izany, dia nampiana ny safidy "-T" mba hanesorana ny fisavana amin'ny lafiny mpanjifa. Mba hanitsiana tanteraka ny olana dia ilaina ny fanavaozana ara-kevitra ny protocol scp, izay efa lany andro, noho izany dia asaina mampiasa protocols maoderina kokoa toy ny sftp sy rsync fa tsy.
Source: opennet.ru