I muri i te rima marama o te whanaketanga tuku , he kiritaki tuwhera me te whakatinanatanga tūmau mo te mahi ma te SSH 2.0 me nga tikanga SFTP.
Nga huringa matua:
- Ko te tautoko whakamatautau mo te tikanga whakawhiti matua e atete ana ki nga whakaeke tutua ki runga rorohiko quantum kua taapirihia ki te ssh me te sshd. He tere rawa atu nga rorohiko quantum ki te whakaoti i te raru o te whakapohehe i te tau maori ki nga mea matua, kei raro i nga huringa whakamunatanga hangarite hou, a, kaore e taea te whakaoti tika i runga i nga kaiwhakatikatika. Ko te tikanga e whakaarohia ana i runga i te algorithm (mahi ntrup4591761), i whakawhanakehia mo nga punaha crypto-quaantum, me te tikanga whakawhiti matua o te anau elliptic X25519;
- I roto i te sshd, karekau nga tohutohu a ListenAddress me PermitOpen e tautoko ana i te wetereo "kaihautu/tauranga" tuku iho, i whakatinanahia i te tau 2001 hei rereke ki te "kaihautu: tauranga" kia ngawari te mahi me te IPv6. I roto i nga ahuatanga hou, kua whakatauhia te "[::6]:1" mo IPv22, me te "kaihautu / tauranga" he maha tonu te pohehe ki te tohu i te kupengaroto (CIDR);
- ssh, ssh-agent me te ssh-apiri inaianei ka tautoko i nga taviri i roto i nga tohu PKCS#11;
- I roto i te ssh-keygen, kua whakanuia te rahi matua RSA taunoa ki te 3072 moka, i runga i nga tohutohu NIST hou;
- Ka taea e ssh te whakamahi i te tautuhinga "PKCS11Provider=kore" ki te whakakore i te tohutohu PKCS11Provider kua tohua ki ssh_config;
- Ka whakaratohia e sshd he whakaaturanga rangitaki mo nga ahuatanga ka mutu te hononga i te wa e ngana ana ki te whakahaere i nga whakahau kua aukatihia e te "ForceCommand=internal-sftp" here i sshd_config;
- I roto i te ssh, i te wa e whakaatu ana i te tono ki te whakaū i te whakaaetanga o tetahi taviri kaihautu hou, hei utu mo te whakautu "ae", ka whakaaehia te tohu maihao tika o te ki (i te whakautu ki te powhiri ki te whakaū i te hononga, ka taea e te kaiwhakamahi te kape i te kua wehea he tohu tohutoro ma te papatopenga, kia kore ai e whakataurite a ringa);
- Ka whakaratohia e ssh-keygen te whakarahi aunoa i te nama raupapa tiwhikete i te wa e hanga ana i nga waitohu mamati mo nga tiwhikete maha i runga i te raina whakahau;
- He kōwhiringa hou "-J" kua taapirihia ki te scp me te sftp, he rite ki te tautuhinga ProxyJump;
- I roto i te ssh-agent, ssh-pkcs11-helper me te ssh-add, ko te tukatuka o te "-v" kōwhiringa raina whakahau kua taapirihia hei whakanui ake i nga korero korero o te putanga (ka tohua, ka tukuna tenei whiringa ki nga tukanga tamariki, mo tauira, ka karangahia te ssh-pkcs11-helper mai i te ssh-agent );
- Ko te kōwhiringa "-T" kua taapirihia ki te ssh-add ki te whakamatautau i te tika o nga taviri i roto i te ssh-agent mo te mahi i te waihanga waitohu mamati me nga mahi whakamana;
- Ka whakatinanahia e te sftp-server te tautoko mo te toronga kawa "lsetstat at openssh.com", e taapiri ana i te tautoko mo te mahi SSH2_FXP_SETSTAT mo SFTP, engari me te kore e whai i nga hononga tohu;
- Kua taapirihia te whiringa "-h" ki te sftp ki te whakahaere i nga whakahau chown/chgrp/chmod me nga tono kaore e whakamahi hononga tohu;
- Ka whakaratohia e sshd te tautuhinga o te taurangi taiao $SSH_CONNECTION mo PAM;
- Mo te sshd, kua taapirihia he aratau whakaritenga "Whakamutunga whakamutunga" ki te ssh_config, he rite ki te "Match canonical", engari kaore e hiahiatia kia whakahohea te whakahoa ingoa ingoa;
- He tautoko taapiri mo te '@' prefix ki te sftp hei whakakore i te whakamaoritanga o te whakaputanga o nga whakahau i mahia i roto i te aratau puranga;
- Ina whakaatu koe i nga ihirangi o te tiwhikete ma te whakamahi i te whakahau
"ssh-keygen -Lf /path/certificate" ka whakaatu inaianei i te algorithm e whakamahia ana e te CA hei whakamana i te tiwhikete; - He pai ake te tautoko mo te taiao o Cygwin, hei tauira te whakarite whakatairite koretake o nga ingoa roopu me nga ingoa kaiwhakamahi. Ko te tukanga sshd i roto i te tauranga Cygwin kua hurihia ki te cygsshd kia kore ai e pokanoa ki te tauranga OpenSSH kua tukuna e Microsoft;
- Kua taapirihia te kaha ki te hanga me te manga OpenSSL 3.x whakamatautau;
- I whakakorea (CVE-2019-6111) i roto i te whakatinanatanga o te whaipainga scp, e taea ai te tuhi i nga konae i roto i te raarangi whaainga ki te taha o te kiritaki ka uru atu ki tetahi tūmau e whakahaerehia ana e te kaiwhaiwhai. Ko te raru ko te wa e whakamahi ana i te scp, ka whakatauhia e te tūmau ko ēhea ngā kōnae me ngā whaiaronga hei tuku ki te kiritaki, ā, ka tirohia e te kiritaki te tika o ngā ingoa ahanoa i whakahokia mai. He iti noa te arowhai taha-kiritaki ki te aukati i nga haerenga ki tua atu i te raarangi o naianei ("../"), engari kaore e whai whakaaro ki te whakawhiti i nga konae he rereke nga ingoa mai i era i tono tuatahi. I roto i te take o te kape recursive (-r), i tua atu i nga ingoa konae, ka taea hoki e koe te whakahaere i nga ingoa o nga raarangi-roto kia rite ano. Hei tauira, ki te kape te kaiwhakamahi i nga konae ki te raarangi kaainga, ka taea e te tūmau e whakahaeretia ana e te kaitukino te whakaputa i nga konae me nga ingoa .bash_aliases, .ssh/authorized_keys ranei hei utu mo nga konae kua tonohia, ka tiakina e te taputapu scp i te kaiwhakamahi. whaiaronga kainga.
I roto i te tukunga hou, kua whakahoutia te whaipainga scp ki te tirotiro i nga reta i waenga i nga ingoa konae i tonohia me era i tukuna mai e te tūmau, e mahia ana i te taha o te kiritaki. Ka raru pea tenei ki te tukatuka kanohi, na te mea ka rereke te tuka o nga kiripuaki roha kanohi ki te taha tūmau me te taha kiritaki. Mena he rereke nga rereketanga ka mutu te whakaae a te kaihoko ki nga konae kei roto i te scp, kua taapirihia te "-T" hei whakakore i te tirotiro taha-kiritaki. Hei whakatika katoa i te raru, me mahi ano te ariā o te kawa scp, he mea tawhito kee, na reira ka tūtohu kia whakamahia nga tikanga hou penei i te sftp me te rsync.
Source: opennet.ru