Taorian'ny efa-bolana fampandrosoana dia naseho ny famoahana ny OpenSSH 8.7, fampiharana misokatra ho an'ny mpanjifa sy mpizara miasa amin'ny protocols SSH 2.0 sy SFTP.
Fiovana lehibe:
- Nampiana fomba famindrana angon-drakitra andrana amin'ny scp mampiasa ny protocole SFTP fa tsy ny protocole SCP/RCP mahazatra. Ny SFTP dia mampiasa fomba fitantanana anarana azo vinaniana kokoa ary tsy mampiasa akorandriaka amin'ny lamina glob amin'ny lafiny hafa, izay miteraka olana amin'ny fiarovana. Mba hahafahan'ny SFTP ao amin'ny scp, ny saina "-s" dia natolotra, fa amin'ny ho avy dia mikasa ny hifindra amin'ity protocol ity amin'ny alàlan'ny default.
- sftp-server dia mametraka fanitarana amin'ny protocol SFTP mba hanitarana ny lalana ~/ sy ~user/, izay ilaina amin'ny scp.
- Ny utility scp dia nanova ny fihetsika rehefa mandika rakitra eo amin'ny mpampiantrano lavitra roa (ohatra, "scp host-a:/path host-b:"), izay atao amin'ny alàlan'ny mpampiantrano eo an-toerana mpanelanelana ankehitriny, toy ny rehefa mamaritra ny " -3" saina. Ity fomba fiasa ity dia ahafahanao misoroka ny fandefasana fahazoan-dàlana tsy ilaina amin'ny mpampiantrano voalohany sy ny fandikana in-telo ny anaran'ny rakitra ao anaty akorandriaka (eo amin'ny loharano, toerana haleha ary eo amin'ny lafiny rafitra eo an-toerana), ary rehefa mampiasa SFTP, dia ahafahanao mampiasa ny fomba fanamarinana rehetra rehefa miditra lavitra. mpampiantrano, fa tsy fomba tsy misy interactive fotsiny. Ny safidy "-R" dia nampiana mba hamerina ny fitondran-tena taloha.
- Nampiana ForkAfterAuthentication ny ssh mifanaraka amin'ny saina "-f".
- Nampiana StdinNull ny ssh, mifanaraka amin'ny saina "-n".
- Nampiana ny SessionType ny ssh, izay ahafahanao mametraka maody mifanaraka amin'ny saina "-N" (tsy misy session) sy "-s" (subsystem).
- ssh-keygen dia ahafahanao mamaritra ny elanelana manan-kery amin'ny rakitra fototra.
- Nampiana saina "-Oprint-pubkey" amin'ny ssh-keygen hanonta ny fanalahidin'ny daholobe ho ampahany amin'ny sonia sshsig.
- Ao amin'ny ssh sy sshd, na ny mpanjifa na ny mpizara dia nafindra mba hampiasa parser fichier faneriterena kokoa izay mampiasa fitsipika mitovy amin'ny akorandriaka amin'ny fitantanana ny teny nindramina, habaka ary tarehin-tsoratra mandositra. Ny parser vaovao koa dia tsy manao tsinontsinona ireo vinavina efa natao teo aloha, toy ny fandroahana hevitra amin'ny safidy (ohatra, ny torolàlana DenyUsers dia tsy azo avela ho foana), ny teny tsy voahidy, ary ny famaritana maromaro = tarehintsoratra.
- Rehefa mampiasa SSHFP DNS firaketana rehefa manamarina ny fanalahidy, ssh izao dia manamarina ny rakitra mifanandrify rehetra, fa tsy ireo izay misy karazana sonia nomerika manokana.
- Ao amin'ny ssh-keygen, rehefa mamorona fanalahidin'ny FIDO miaraka amin'ny safidy -Ochallenge, ny sosona naorina dia ampiasaina amin'ny hashing, fa tsy libfido2, izay mamela ny fampiasana filaharana fanamby lehibe kokoa na kely noho ny 32 bytes.
- Ao amin'ny sshd, rehefa manodina ny environment="..." torolàlana ao amin'ny fisie authorised_keys, dia ekena ny lalao voalohany ary misy fetran'ny 1024 anarana miovaova.
Nampitandrina ihany koa ny mpamorona OpenSSH momba ny fanimbana ny algorithm amin'ny fampiasana hashes SHA-1 noho ny fitomboan'ny fahombiazan'ny fanafihana fifandonana miaraka amin'ny prefix nomena (tombanana eo amin'ny 50 arivo dolara eo ho eo ny vidin'ny fifantenana fifandonana). Amin'ny famoahana manaraka, mikasa ny hanaisotra amin'ny alàlan'ny default ny fahafahana mampiasa ny algorithm sonia nomerika "ssh-rsa" ho an'ny daholobe, izay voalaza ao amin'ny RFC tany am-boalohany ho an'ny protocol SSH ary mbola ampiasaina betsaka amin'ny fampiharana.
Mba hitsapana ny fampiasana ssh-rsa amin'ny rafitrao dia azonao atao ny manandrana mampifandray amin'ny ssh amin'ny safidy "-oHostKeyAlgorithms=-ssh-rsa". Mandritra izany fotoana izany, ny fanafoanana ny sonia nomerika "ssh-rsa" amin'ny alàlan'ny default dia tsy midika ho fialana tanteraka amin'ny fampiasana ny lakile RSA, satria ankoatra ny SHA-1, ny protocol SSH dia mamela ny fampiasana algorithm hafa momba ny kajy. Indrindra indrindra, ankoatra ny "ssh-rsa", dia mbola azo atao ny mampiasa ny "rsa-sha2-256" (RSA/SHA256) sy ny "rsa-sha2-512" (RSA/SHA512).
Mba hanamafisana ny fifindrana mankany amin'ny algorithm vaovao, OpenSSH dia nanana ny fanovana UpdateHostKeys natao tamin'ny alàlan'ny default, izay ahafahan'ny mpanjifa mifindra ho azy amin'ny algorithm azo antoka kokoa. Amin'ny fampiasana an'io toe-javatra io, ny fanitarana protocol manokana dia alefa "[email voaaro]", mamela ny mpizara, aorian'ny fanamarinana, hampahafantatra ny mpanjifa momba ny fanalahidin'ny mpampiantrano rehetra misy. Ny mpanjifa dia afaka maneho ireo fanalahidy ireo ao amin'ny rakitra ~/.ssh/known_hosts, izay mamela ny fanalahidin'ny mpampiantrano havaozina ary manamora ny fanovana ny fanalahidy ao amin'ny server.
Ny fampiasana ny UpdateHostKeys dia voafetra amin'ny fampitandremana maromaro izay mety hesorina amin'ny ho avy: ny lakile dia tsy maintsy adika ao amin'ny UserKnownHostsFile fa tsy ampiasaina ao amin'ny GlobalKnownHostsFile; tsy maintsy misy anarana iray ihany ny lakile; tsy tokony hampiasaina ny taratasy fanamarinana fanalahidin'ny mpampiantrano; amin'ny saron-tava fantatra amin'ny anaran'ny mpampiantrano dia tsy tokony hampiasaina; tsy maintsy vonoina ny fika VerifyHostKeyDNS; Ny parameter UserKnownHostsFile dia tsy maintsy mavitrika.
Ny algorithm naroso ho an'ny fifindra-monina dia misy ny rsa-sha2-256/512 miorina amin'ny RFC8332 RSA SHA-2 (tohanana hatramin'ny OpenSSH 7.2 ary ampiasaina amin'ny alàlan'ny default), ssh-ed25519 (tohanana hatramin'ny OpenSSH 6.5) ary ecdsa-sha2-nistp256/384/521 amin'ny RFC5656 ECDSA (tohanana hatramin'ny OpenSSH 5.7).
Source: opennet.ru