Taorian'ny telo volana ny fampandrosoana famotsorana , fampiharana mpanjifa misokatra sy mpizara miasa amin'ny alΓ lan'ny protocols SSH 2.0 sy SFTP.
Ny famoahana vaovao dia manampy fiarovana amin'ny fanafihana scp izay mamela ny mpizara handefa anarana hafa noho ireo nangatahana (mifanohitra amin'ny , ny fanafihana dia tsy mamela ny fanovana ny lahatahiry voafantina na ny glob mask). Tsarovy fa ao amin'ny SCP, ny mpizara dia manapa-kevitra hoe iza amin'ireo rakitra sy lahatahiry halefa any amin'ny mpanjifa, ary ny mpanjifa ihany no manamarina ny fahamarinan'ny anaran'ny zavatra naverina. Ny fototry ny olana fantatra dia ny hoe raha tsy mahomby ny antson'ny rafitra utimes, dia adika ho metadata rakitra ny votoatin'ny rakitra.
Ity endri-javatra ity, rehefa mifandray amin'ny mpizara fehezin'ny mpanafika, dia azo ampiasaina hitahiry anaran-drakitra hafa sy votoaty hafa ao amin'ny FS an'ny mpampiasa rehefa mandika amin'ny fampiasana scp amin'ny fanamafisana izay mitarika ho amin'ny tsy fahombiazana rehefa miantso utimes (ohatra, rehefa voarara ny utimes. ny politikan'ny SELinux na sivana antso an-tariby). Tombanana ho faran'izay kely ny mety hisian'ny fanafihana tena izy, satria amin'ny fanamboarana mahazatra dia tsy mandeha ny antso utimes. Ankoatra izany, ny fanafihana dia tsy voamarika - rehefa miantso ny scp dia misy hadisoana amin'ny famindrana data.
Fanovana ankapobeny:
- Ao amin'ny sftp, natsahatra ny fanodinana ny adihevitra "-1", mitovy amin'ny ssh sy scp, izay nekena teo aloha fa tsy noraharahiana;
- Ao amin'ny sshd, rehefa mampiasa IgnoreRhosts dia misy safidy telo izao: "eny" - tsy miraharaha ny rhosts/shosts, "tsia" - manaja ny rhosts/shosts, ary ny "shosts-only" - mamela ny ".shosts" fa esory ny ".rhosts";
- Ssh izao dia manohana ny fanoloana %TOKEN ao amin'ny toerana LocalFoward sy RemoteForward ampiasaina hamerenana ny socket Unix;
- Avelao ny fametahana ny fanalahidin'ny daholobe avy amin'ny rakitra tsy voafehy miaraka amin'ny fanalahidy manokana raha tsy misy rakitra misaraka miaraka amin'ny fanalahidin'ny daholobe;
- Raha misy libcrypto ao amin'ny rafitra, ny ssh sy sshd izao dia mampiasa ny fampiharana ny algorithm chacha20 avy amin'ity tranomboky ity, fa tsy ny fampiharana portable naorina, izay mihemotra amin'ny fampisehoana;
- Nampihatra ny fahafahana manary ny votoatin'ny lisitry ny mari-pamantarana voafonja rehefa manatanteraka ny baiko "ssh-keygen -lQf /path";
- Ny dikan-teny azo entina dia mametraka famaritana ny rafitra izay misy famantarana miaraka amin'ny safidy SA_RESTART manapaka ny fampandehanana ny safidy;
- Voavaha ny olana fananganana amin'ny rafitra HP/UX sy AIX;
- Namaha ny olana amin'ny fananganana boaty sandoka seccom amin'ny fandrindrana Linux sasany;
- Nohatsaraina ny fitadiavana tranomboky libfido2 ary namaha ny olana momba ny fananganana miaraka amin'ny safidy "--with-security-key-builtin".
Ireo mpamorona OpenSSH dia nampitandrina indray momba ny fanimbana ny algorithm amin'ny fampiasana ny hash SHA-1 noho ny ny fahombiazan'ny fanafihana fifandonana miaraka amin'ny prefix nomena (tombanana eo amin'ny 45 arivo dolara eo ho eo ny vidin'ny fifantenana fifandonana). Ao amin'ny iray amin'ireo famoahana ho avy, mikasa ny hanaisotra amin'ny alΓ lan'ny default ny fahafahana mampiasa ny algorithm sonia nomerika "ssh-rsa" ho an'ny daholobe izy ireo, izay voalaza ao amin'ny RFC tany am-boalohany ho an'ny protocol SSH ary mbola miparitaka amin'ny fampiharana (mba hitsapana ny fampiasana amin'ny ssh-rsa ao amin'ny rafitrao, azonao atao ny manandrana mampifandray amin'ny ssh miaraka amin'ny safidy "-oHostKeyAlgorithms=-ssh-rsa").
Mba hanamafisana ny fifindrana amin'ny algorithm vaovao ao amin'ny OpenSSH, amin'ny famoahana ho avy dia alefa amin'ny alΓ lan'ny default ny fanovana UpdateHostKeys, izay hamindra ho azy ireo mpanjifa amin'ny algorithm azo antoka kokoa. Ny algorithm naroso ho an'ny fifindra-monina dia misy ny rsa-sha2-256/512 miorina amin'ny RFC8332 RSA SHA-2 (tohanana hatramin'ny OpenSSH 7.2 ary ampiasaina amin'ny alΓ lan'ny default), ssh-ed25519 (tohanana hatramin'ny OpenSSH 6.5) ary ecdsa-sha2-nistp256/384/521 amin'ny RFC5656 ECDSA (tohana hatramin'ny OpenSSH 5.7).
Tamin'ny famoahana farany, "ssh-rsa" sy "diffie-hellman-group14-sha1" dia nesorina tao amin'ny lisitry ny CASignatureAlgorithms izay mamaritra ny algorithm avela hanao sonia nomerika vaovao, satria ny fampiasana SHA-1 amin'ny fanamarinana dia miteraka risika fanampiny. noho izany ny mpanafika dia manana fotoana tsy voafetra hitadiavana fifandonana ho an'ny taratasy fanamarinana efa misy, fa ny fotoana fanafihana amin'ny fanalahidin'ny mpampiantrano dia voafetra amin'ny fe-potoana fiatoan'ny fifandraisana (LoginGraceTime).
Source: opennet.ru