ProHoster > блог > интернет вести > Издание на OpenSSH 8.0

Издание на OpenSSH 8.0

По пет месеци развој презентирани ослободување OpenSSH 8.0, отворена имплементација на клиент и сервер за работа преку протоколите SSH 2.0 и SFTP.

Главни промени:

  • На ssh и sshd е додадена експериментална поддршка за метод за размена на клучеви кој е отпорен на напади со брутална сила на квантен компјутер. Квантните компјутери се радикално побрзи во решавањето на проблемот со разложување на природен број на прости фактори, што е во основата на современите асиметрични алгоритми за шифрирање и не може ефективно да се реши на класичните процесори. Предложениот метод се базира на алгоритам NTRU Prime (функција ntrup4591761), развиена за пост-квантни криптосистеми и методот на размена на клучеви со елипсовидна крива X25519;
  • Во sshd, директивите ListenAddress и PermitOpen повеќе не ја поддржуваат наследната синтакса „домаќин/порта“, која беше имплементирана во 2001 година како алтернатива на „домаќин:порт“ за да се поедностави работата со IPv6. Во современи услови, синтаксата „[::6]:1“ е воспоставена за IPv22, а „домаќин/порта“ често се меша со означување на подмрежата (CIDR);
  • ssh, ssh-agent и ssh-add now поддржуваат клучеви ЕЦДСА во токени PKCS#11;
  • Во ssh-keygen, стандардната големина на клучот RSA е зголемена на 3072 бита, во согласност со новите препораки на NIST;
  • ssh дозволува користење на поставката „PKCS11Provider=none“ за да се отфрли директивата PKCS11Provider наведена во ssh_config;
  • sshd обезбедува приказ на дневник на ситуации кога врската е прекината кога се обидувате да извршите команди блокирани од ограничувањето „ForceCommand=internal-sftp“ во sshd_config;
  • Во ssh, кога се прикажува барање за потврда на прифаќање на нов клуч за домаќин, наместо одговорот „да“, сега се прифаќа точниот отпечаток од клучот (како одговор на поканата за потврда на врската, корисникот може да го копира одделно примен референтен хаш преку таблата со исечоци, за да не се споредува рачно);
  • ssh-keygen обезбедува автоматско зголемување на секвенцискиот број на сертификати при креирање дигитални потписи за повеќе сертификати на командната линија;
  • Додадена е нова опција „-J“ на scp и sftp, што е еквивалентно на поставката ProxyJump;
  • Во ssh-agent, ssh-pkcs11-helper и ssh-add, обработката на опцијата на командната линија „-v“ е додадена за да се зголеми информациската содржина на излезот (кога е наведено, оваа опција се пренесува на детските процеси, за на пример, кога ssh-pkcs11-helper се повикува од ssh-agent );
  • Опцијата „-T“ е додадена во ssh-add за да се тестира соодветноста на клучевите во ssh-agent за извршување на операции за креирање и верификација на дигитален потпис;
  • sftp-серверот имплементира поддршка за екстензијата на протоколот „lsetstat at openssh.com“, која додава поддршка за операцијата SSH2_FXP_SETSTAT за SFTP, но без следење симболични врски;
  • Додадена е опцијата „-h“ на sftp за извршување на команди chown/chgrp/chmod со барања кои не користат симболични врски;
  • sshd обезбедува поставување на променливата на животната средина $SSH_CONNECTION за PAM;
  • За sshd, режимот за совпаѓање „Match final“ е додаден на ssh_config, кој е сличен на „Match canonical“, но не бара да се овозможи нормализација на името на домаќинот;
  • Додадена е поддршка за префиксот '@' на sftp за да се оневозможи преводот на излезот на командите извршени во сериски режим;
  • Кога ја прикажувате содржината на сертификатот користејќи ја командата
    „ssh-keygen -Lf /path/certificate“ сега го прикажува алгоритмот што го користи CA за валидација на сертификатот;

  • Подобрена поддршка за животната средина Cygwin, на пример обезбедување споредба на групи и кориснички имиња без чувствителност на големи букви. Процесот sshd во портата Cygwin е променет во cygsshd за да се избегнат пречки со OpenSSH портата обезбедена од Microsoft;
  • Додадена е способност за градење со експерименталната гранка OpenSSL 3.x;
  • Елиминирани ранливост (CVE-2019-6111) во имплементацијата на алатката scp, која овозможува произволните датотеки во целниот директориум да се препишуваат на страната на клиентот кога се пристапува до сервер контролиран од напаѓач. Проблемот е што при користење на scp, серверот одлучува кои датотеки и директориуми да ги испрати до клиентот, а клиентот само ја проверува точноста на вратените имиња на објекти. Проверката од страна на клиентот е ограничена само на блокирање на патувања надвор од тековниот директориум (../“), но не го зема предвид преносот на датотеки со имиња различни од оние што беа првично побарани. Во случај на рекурзивно копирање (-r), покрај имињата на датотеките, можете да манипулирате и со имињата на поддиректориумите на сличен начин. На пример, ако корисникот ги копира датотеките во домашниот директориум, серверот контролиран од напаѓачот може да произведе датотеки со имиња .bash_aliases или .ssh/authorized_keys наместо бараните датотеки, и тие ќе бидат зачувани од scp алатката во корисничкиот домашен директориум.

    Во новото издание, алатката scp е ажурирана за да се провери кореспонденцијата помеѓу бараните имиња на датотеките и оние испратени од серверот, што се изведува на страната на клиентот. Ова може да предизвика проблеми со обработката на маската, бидејќи знаците за проширување на маската може да се обработуваат различно на страната на серверот и клиентот. Во случај таквите разлики да предизвикаат клиентот да престане да прифаќа датотеки во scp, опцијата „-T“ е додадена за да се оневозможи проверката од страна на клиентот. За целосно да се поправи проблемот, потребна е концептуална преработка на протоколот scp, кој сам по себе е веќе застарен, па затоа се препорачува наместо тоа да се користат посовремени протоколи како sftp и rsync.

Извор: opennet.ru

Додадете коментар