Taorian'ny enim-bolana ny fampandrosoana famotsorana , fampiharana mpanjifa misokatra sy mpizara miasa amin'ny alΓ lan'ny protocols SSH 2.0 sy SFTP.
Ny fiheverana manokana amin'ny famoahana vaovao dia ny fanafoanana ny vulnerability misy fiantraikany amin'ny ssh, sshd, ssh-add ary ssh-keygen. Ny olana dia hita ao amin'ny kaody ho an'ny fanaparitahana fanalahidy manokana miaraka amin'ny karazana XMSS ary mamela ny mpanafika iray hiteraka fihoaram-pefy. Ny vulnerability dia voamarika ho azo trandrahana, saingy tsy dia ampiasaina loatra, satria ny fanohanana ny fanalahidin'ny XMSS dia endri-panandramana izay kilemaina amin'ny alΓ lan'ny default (ny dikan-teny portable dia tsy manana safidy fananganana ao amin'ny autoconf ahafahana XMSS).
Fiovana lehibe:
- Ao amin'ny ssh, sshd ary ssh-agent kaody izay manakana ny famerenana ny fanalahidy manokana hita ao amin'ny RAM vokatry ny fanafihana amin'ny sisiny, toy ny , ΠΈ . Ny fanalahidin'ny privΓ© izao dia miafina rehefa ampidirina ao amin'ny fitadidiana ary asiana encryption raha tsy rehefa ampiasaina, mijanona ho voafehy mandritra ny fotoana rehetra. Amin'ity fomba fiasa ity, mba hamerenana amim-pahombiazana ny fanalahidin'ny tena manokana, ny mpanafika dia tsy maintsy mamerina aloha ny lakilen'ny mpanelanelana novokarina kisendrasendra amin'ny haben'ny 16 KB, ampiasaina amin'ny encryption ny fanalahidy fototra, izay tsy azo inoana fa omena ny tahan'ny fahadisoana fanarenana mahazatra amin'ny fanafihana maoderina;
- Π Fanampiana andrana natao ho an'ny tetika tsotsotra amin'ny famoronana sy fanamarinana sonia nomerika. Ny sonia nomerika dia azo noforonina amin'ny fampiasana ny fanalahidy SSH mahazatra voatahiry ao anaty kapila na ao amin'ny ssh-agent, ary voamarina amin'ny fampiasana zavatra mitovy amin'ny authorized_keys . Ampidirina ao anatin'ny sonia nomerika ny mombamomba ny espace mba hisorohana ny fisavoritahana rehefa ampiasaina amin'ny faritra samihafa (ohatra, amin'ny mailaka sy ny rakitra);
- Ny ssh-keygen dia navadika ho default hampiasa ny algorithm rsa-sha2-512 rehefa manamarina ny mari-pankasitrahana miaraka amin'ny sonia nomerika mifototra amin'ny fanalahidy RSA (rehefa miasa amin'ny fomba CA). Ny mari-pankasitrahana toy izany dia tsy mifanaraka amin'ny famoahana alohan'ny OpenSSH 7.2 (mba hiantohana ny fifanarahana, ny karazana algorithm dia tsy maintsy ovaina, ohatra amin'ny fiantsoana "ssh-keygen -t ssh-rsa -s ...");
- Ao amin'ny ssh, ny fanehoana ProxyCommand izao dia manohana ny fanitarana ny fanoloana "%n" (ny anaran'ny mpampiantrano voalaza ao amin'ny bara adiresy);
- Ao amin'ny lisitry ny algorithm fanafenana ho an'ny ssh sy sshd, azonao atao ny mampiasa ny endri-tsoratra "^" mba hampidirana ny algorithm default. Ohatra, mba hanampiana ssh-ed25519 amin'ny lisitry ny default, azonao atao ny mamaritra ny "HostKeyAlgorithms ^ssh-ed25519";
- Ny ssh-keygen dia manome vokatra avy amin'ny fanehoan-kevitra mifatotra amin'ny fanalahidy rehefa maka fanalahidin'ny daholobe avy amin'ny olon-tsotra;
- Nampiana ny fahafahana mampiasa ny saina "-v" amin'ny ssh-keygen rehefa manao asa fitadiavana fanalahidy (ohatra, "ssh-keygen -vF host"), mamaritra izay miteraka sonia mpampiantrano hita maso;
- Nampiana ny fahafahana mampiasa ho endrika hafa amin'ny fitehirizana fanalahidy manokana amin'ny kapila. Ny endrika PEM dia mbola ampiasaina amin'ny alΓ lan'ny default, ary ny PKCS8 dia mety ilaina amin'ny fahazoana mifanaraka amin'ny rindranasa an'ny antoko fahatelo.
Source: opennet.ru