Taorian'ny telo volana ny fampandrosoana
Ny famoahana vaovao dia manampy fiarovana amin'ny fanafihana scp izay mamela ny mpizara handefa anarana hafa noho ireo nangatahana (mifanohitra amin'ny
Ity endri-javatra ity, rehefa mifandray amin'ny mpizara fehezin'ny mpanafika, dia azo ampiasaina hitahiry anaran-drakitra hafa sy votoaty hafa ao amin'ny FS an'ny mpampiasa rehefa mandika amin'ny fampiasana scp amin'ny fanamafisana izay mitarika ho amin'ny tsy fahombiazana rehefa miantso utimes (ohatra, rehefa voarara ny utimes. ny politikan'ny SELinux na sivana antso an-tariby). Tombanana ho faran'izay kely ny mety hisian'ny fanafihana tena izy, satria amin'ny fanamboarana mahazatra dia tsy mandeha ny antso utimes. Ankoatra izany, ny fanafihana dia tsy voamarika - rehefa miantso ny scp dia misy hadisoana amin'ny famindrana data.
Fanovana ankapobeny:
- Ao amin'ny sftp, natsahatra ny fanodinana ny adihevitra "-1", mitovy amin'ny ssh sy scp, izay nekena teo aloha fa tsy noraharahiana;
- Ao amin'ny sshd, rehefa mampiasa IgnoreRhosts dia misy safidy telo izao: "eny" - tsy miraharaha ny rhosts/shosts, "tsia" - manaja ny rhosts/shosts, ary ny "shosts-only" - mamela ny ".shosts" fa esory ny ".rhosts";
- Ssh izao dia manohana ny fanoloana %TOKEN ao amin'ny toerana LocalFoward sy RemoteForward ampiasaina hamerenana ny socket Unix;
- Avelao ny fametahana ny fanalahidin'ny daholobe avy amin'ny rakitra tsy voafehy miaraka amin'ny fanalahidy manokana raha tsy misy rakitra misaraka miaraka amin'ny fanalahidin'ny daholobe;
- Raha misy libcrypto ao amin'ny rafitra, ny ssh sy sshd izao dia mampiasa ny fampiharana ny algorithm chacha20 avy amin'ity tranomboky ity, fa tsy ny fampiharana portable naorina, izay mihemotra amin'ny fampisehoana;
- Nampihatra ny fahafahana manary ny votoatin'ny lisitry ny mari-pamantarana voafonja rehefa manatanteraka ny baiko "ssh-keygen -lQf /path";
- Ny dikan-teny azo entina dia mametraka famaritana ny rafitra izay misy famantarana miaraka amin'ny safidy SA_RESTART manapaka ny fampandehanana ny safidy;
- Voavaha ny olana fananganana amin'ny rafitra HP/UX sy AIX;
- Namaha ny olana amin'ny fananganana boaty sandoka seccom amin'ny fandrindrana Linux sasany;
- Nohatsaraina ny fitadiavana tranomboky libfido2 ary namaha ny olana momba ny fananganana miaraka amin'ny safidy "--with-security-key-builtin".
Ireo mpamorona OpenSSH dia nampitandrina indray momba ny fanimbana ny algorithm amin'ny fampiasana ny hash SHA-1 noho ny
Mba hanamafisana ny fifindrana amin'ny algorithm vaovao ao amin'ny OpenSSH, amin'ny famoahana ho avy dia alefa amin'ny alΓ lan'ny default ny fanovana UpdateHostKeys, izay hamindra ho azy ireo mpanjifa amin'ny algorithm azo antoka kokoa. Ny algorithm naroso ho an'ny fifindra-monina dia misy ny rsa-sha2-256/512 miorina amin'ny RFC8332 RSA SHA-2 (tohanana hatramin'ny OpenSSH 7.2 ary ampiasaina amin'ny alΓ lan'ny default), ssh-ed25519 (tohanana hatramin'ny OpenSSH 6.5) ary ecdsa-sha2-nistp256/384/521 amin'ny RFC5656 ECDSA (tohana hatramin'ny OpenSSH 5.7).
Tamin'ny famoahana farany, "ssh-rsa" sy "diffie-hellman-group14-sha1" dia nesorina tao amin'ny lisitry ny CASignatureAlgorithms izay mamaritra ny algorithm avela hanao sonia nomerika vaovao, satria ny fampiasana SHA-1 amin'ny fanamarinana dia miteraka risika fanampiny. noho izany ny mpanafika dia manana fotoana tsy voafetra hitadiavana fifandonana ho an'ny taratasy fanamarinana efa misy, fa ny fotoana fanafihana amin'ny fanalahidin'ny mpampiantrano dia voafetra amin'ny fe-potoana fiatoan'ny fifandraisana (LoginGraceTime).
Source: opennet.ru