ProHoster > Блог > rongo ipurangi > OpenSSH 8.5 tuku

OpenSSH 8.5 tuku

I muri i nga marama e rima o te whakawhanaketanga, ka tukuna te OpenSSH 8.5, he whakatinanatanga tuwhera o te kiritaki me te tūmau mo te mahi i runga i nga tikanga SSH 2.0 me te SFTP.

I whakamaumahara mai nga kaiwhakawhanake OpenSSH mo te whakakorenga o nga algorithm e haere ake nei ma te whakamahi i nga tohu SHA-1 na te kaha ake o nga whakaeke tukinga me te tohu tuatahi (te utu mo te kowhiri i te tukinga kei te tata ki te $50 mano). I roto i tetahi o nga putanga e haere mai ana, ka whakamahere ratou ki te whakakore i te taunoa te kaha ki te whakamahi i te "ssh-rsa" tohu tohu tohu tohu a te iwi whanui, e whakahuahia ana i roto i te RFC taketake mo te kawa SSH me te noho whanui tonu i roto i nga mahi.

Hei whakamatautau i te whakamahinga o te ssh-rsa i runga i o punaha, ka taea e koe te ngana ki te hono ma te ssh me te "-oHostKeyAlgorithms=-ssh-rsa" kōwhiringa. I te wa ano, ko te whakakore i nga waitohu mamati "ssh-rsa" ma te taunoa ehara i te mea he whakarere katoa te whakamahi i nga taviri RSA, na te mea i tua atu i te SHA-1, ka taea e te kawa SSH te whakamahi i etahi atu algorithms tatauranga hash. Ina koa, i tua atu i te "ssh-rsa", ka taea tonu te whakamahi i nga kohinga "rsa-sha2-256" (RSA / SHA256) me "rsa-sha2-512" (RSA / SHA512).

Hei maeneene i te whakawhiti ki nga algorithms hou, kei a OpenSSH 8.5 te tautuhinga UpdateHostKeys kua whakahohea ma te taunoa, e taea ai e nga kiritaki te huri aunoa ki nga algorithms pono ake. Ma te whakamahi i tenei tautuhinga, ka taea te toronga kawa motuhake "[email tiakina]", ka tuku i te tūmau, i muri i te whakamotuhēhēnga, ki te whakamohio ki te kiritaki mo nga taviri manaaki katoa e waatea ana. Ka taea e te kiritaki te whakaata i enei taviri i roto i tana konae ~/.ssh/known_hosts, e taea ai te whakahou i nga taviri kaihautu me te ngawari ki te whakarereke i nga taviri i runga i te tūmau.

Ko te whakamahinga o UpdateHostKeys he iti noa e te maha o nga whakatupato ka taea te tango i nga ra kei mua: me tohu te ki i roto i te UserKnownHostsFile me kaua e whakamahia i roto i te GlobalKnownHostsFile; me noho te ki i raro i te ingoa kotahi anake; kaua e whakamahia he tiwhikete matua manaaki; i roto i te mohio_hosts kopare ma te ingoa kaihautu kaua e whakamahia; me whakakore te tautuhinga VerifyHostKeyDNS; Me kaha te tawhā UserKnownHostsFile.

Ko nga algorithms e taunakihia ana mo te heke ko te rsa-sha2-256/512 i runga i te RFC8332 RSA SHA-2 (tautokohia mai i te OpenSSH 7.2 me te whakamahi taunoa), ssh-ed25519 (tautokohia mai i te OpenSSH 6.5) me te ecdsa-sha2-nistp256/384/521 i runga i te RFC5656 ECDSA (tautokohia mai i te OpenSSH 5.7).

Ētahi atu huringa:

  • Huringa haumarutanga:
    • He whakaraeraetanga i puta mai i te wetewete ano i te waahi mahara kua wetekina (kore-rua) kua whakatikahia ki te ssh-agent. Kua puta mai te take mai i te tukunga o OpenSSH 8.2 ka taea pea te whakamahi mena ka whai waahi tetahi kaitukino ki te turanga ssh-agent i runga i te punaha o te rohe. Ko te mea e uaua ake ai te mahi ko te putake anake me te kaiwhakamahi taketake te uru ki te turanga. Ko te ahua o te whakaeke ka tukuna te kaihoko ki tetahi kaute e whakahaeretia ana e te kaitukino, ki tetahi kaihautu ranei kei reira te tangata whakaeke i te urunga pakiaka.
    • Kua taapirihia e te sshd te whakamarumaru ki te whakawhiti i nga tawhā tino nui me te ingoa kaiwhakamahi ki te PAM subsystem, e taea ai e koe te aukati i nga whakaraeraetanga i roto i nga waahanga punaha PAM (Pluggable Authentication Module). Hei tauira, ko te huringa ka aukati i te sshd kia whakamahia hei vector ki te whakamahi i te whakaraeraetanga pakiaka i kitea tata nei i Solaris (CVE-2020-14871).
  • Ka pakaru pea nga huringa hototahi:
    • I roto i te ssh me te sshd, kua hoahoatia ano tetahi tikanga whakawhiti matua whakamatautau e kaha ana ki te matapae i runga rorohiko nui. He tere rawa atu nga rorohiko quantum ki te whakaoti rapanga o te whakapohehe i te tau maori ki roto i nga mea matua, kei raro i nga huringa whakamunatanga hangarite hou, a, kaore e taea te whakaoti tika i runga i nga kaiwhakatikatika. Ko te tikanga e whakamahia ana i runga i te NTRU Prime algorithm, i whakawhanakehia mo nga cryptosystems post-quantum, me te X25519 elliptic curve key exchange method. Engari o [email tiakina] kua tohua te tikanga inaianei [email tiakina] (kua whakakapihia te sntrup4591761 algorithm e sntrup761).
    • I roto i te ssh me te sshd, kua whakarereketia te ota e tautokohia ana nga hainatanga hainatanga algorithm. Ko te ED25519 kua tukuna tuatahi hei utu mo te ECDSA.
    • I roto i te ssh me te sshd, kua oti te whakarite TOS/DSCP te kounga o nga tawhā ratonga mo nga huihuinga tauwhitiwhiti i mua i te whakatuu hononga TCP.
    • Kua whakakorehia te tautoko cipher i roto i te ssh me te sshd [email tiakina], he rite tonu ki te aes256-cbc ka whakamahia i mua i te whakaaetanga a RFC-4253.
    • Ma te taunoa, kua monoa te tawhā CheckHostIP, he iti noa te painga, engari ko tana whakamahinga he tino whakararu i te hurihanga matua mo nga kaihautu kei muri i nga taurite kawenga.
  • Ko nga tautuhinga PerSourceMaxStartups me PerSourceNetBlockSize kua taapirihia ki te sshd hei whakawhāiti i te kaha o te whakarewatanga o nga kaikawe i runga i te wahitau kiritaki. Ma enei tawhā ka taea e koe te whakahaere pai ake i te tepe o nga mahi whakarewatanga, ka whakaritea ki te tautuhinga MaxStartups whanui.
  • Kua taapirihia he tautuhinga LogVerbose hou ki te ssh me te sshd, e taea ai e koe te whakanui kaha i te taumata o nga korero patuiro kua maka ki roto i te raarangi, me te kaha ki te tarai ma nga tauira, nga mahi me nga konae.
  • I roto i te ssh, i te wa e whakaae ana ki te kii kaihautu hou, ka whakaatuhia nga ingoa kaihautu katoa me nga wahitau IP e hono ana ki te matua.
  • Ka taea e ssh te KaiwhakamahiKnownHostsFile=kaore he whiringa ki te whakakore i te whakamahinga o te konae_hosts i te wa e tautuhi ana i nga taviri manaaki.
  • Kua whakauruhia he tautuhinga KnownHostsCommand ki te ssh_config mo te ssh, ka taea e koe te tiki raraunga mohiotia_hosts mai i te putanga o te whakahau kua tohua.
  • Kua taapirihia he whiringa PermitRemoteOpen ki te ssh_config mo te ssh kia taea ai e koe te aukati i te waahi ka whakamahi koe i te waahanga MamaoMamua me SOCKS.
  • I roto i te ssh mo nga taviri FIDO, ka tukuna he tono PIN tukurua mena ka taka te mahi hainatanga mamati na te hē o te PIN me te kore e akiakihia te kaiwhakamahi mo te PIN (hei tauira, i te kore e taea te whiwhi raraunga koiora tika me te ka hoki te taputapu ki te urunga PIN a-ringa).
  • Ka taapirihia e te sshd te tautoko mo etahi atu waea punaha ki te tikanga wehe-a-seccomp-bpf i runga i te papaaho Linux.
  • Kua whakahōungia te whaipainga takoha/ssh-copy-id.

Source: opennet.ru

Tāpiri i te kōrero