ProHoster > блог > интернет вести > Издание на OpenSSH 8.4

Издание на OpenSSH 8.4

По четири месеци развој презентирани издание на OpenSSH 8.4, имплементација на отворен клиент и сервер за работа со користење на протоколите SSH 2.0 и SFTP.

Главни промени:

  • Безбедносни промени:
    • Во ssh-agent, кога се користат FIDO клучеви кои не се создадени за SSH автентикација (ID на клучот не започнува со низата „ssh:“), тој сега проверува дали пораката ќе биде потпишана користејќи ги методите што се користат во протоколот SSH. Промената нема да дозволи ssh-agent да се пренасочува кон далечински хостови кои имаат клучеви FIDO за да ја блокираат можноста за користење на овие клучеви за генерирање потписи за барања за веб-автентикација (обратен случај, кога прелистувачот може да потпише барање за SSH, првично е исклучен поради употребата на префиксот „ssh:“ во идентификаторот на клучот).
    • Генерирањето на резидентни клучеви на ssh-keygen вклучува поддршка за додатокот credProtect опишан во спецификацијата FIDO 2.1, кој обезбедува дополнителна заштита за клучевите со барање PIN пред да се изврши каква било операција што може да резултира со извлекување на резидентниот клуч од токенот.
  • Потенцијални промени во компатибилноста:
    • За поддршка на FIDO/U2F, се препорачува да се користи библиотеката libfido2 најмалку верзија 1.5.0. Способноста за користење на постари изданија е делумно имплементирана, но во овој случај, функциите како што се резидентни клучеви, барање PIN и поврзување повеќе токени нема да бидат достапни.
    • Во ssh-keygen, податоците за автентикаторот потребни за проверка на потврдените дигитални потписи се додадени во форматот на информациите за потврда, опционално зачувани при генерирање на клучот FIDO.
    • API-то што се користи кога OpenSSH комуницира со слојот за пристап до FIDO токените е променет.
    • Кога се гради пренослива верзија на OpenSSH, сега е потребно автоматско производство за да ја генерира скриптата за конфигурирање и придружните датотеки за градење (ако се гради од објавена датотека со код tar, конфигурацијата за регенерирање не е потребна).
  • Додадена е поддршка за FIDO клучеви за кои е потребна проверка на PIN во ssh и ssh-keygen. За да се генерираат клучеви со PIN, опцијата „потврди-потребно“ е додадена на ssh-keygen. Доколку се користат такви клучеви, пред да се изврши операцијата за создавање потпис, од корисникот се бара да ги потврди своите постапки со внесување на PIN-код.
  • Во sshd, опцијата „потврди-потребно“ е имплементирана во поставката authorized_keys, која бара употреба на способности за да се потврди присуството на корисникот за време на операциите со токенот. Стандардот FIDO обезбедува неколку опции за таква верификација, но во моментов OpenSSH поддржува само проверка базирана на PIN.
  • sshd и ssh-keygen додадоа поддршка за верификација на дигитални потписи кои се во согласност со стандардот FIDO Webauthn, кој дозволува FIDO клучевите да се користат во веб-прелистувачите.
  • Во ssh во поставките за CertificateFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward и
    RemoteForward овозможува замена на вредностите од променливите на околината наведени во форматот „${ENV}“.
  • ssh и ssh-agent додадоа поддршка за променливата на животната средина $SSH_ASKPASS_REQUIRE, која може да се користи за да се овозможи или оневозможи повикот ssh-askpass.
  • Во ssh во ssh_config во директивата AddKeysToAgent, додадена е можноста за ограничување на периодот на важност на клучот. Откако ќе истече одреденото ограничување, копчињата автоматски се бришат од ssh-agent.
  • Во scp и sftp, користејќи го знамето „-A“, сега можете експлицитно да дозволите пренасочување кон scp и sftp користејќи ssh-agent (пренасочувањето е стандардно оневозможено).
  • Додадена е поддршка за замена на „%k“ во поставките за ssh, што го одредува името на клучот на домаќинот. Оваа функција може да се користи за дистрибуција на клучеви во посебни датотеки (на пример, „UserKnownHostsFile ~/.ssh/known_hosts.d/%k“).
  • Дозволете употреба на операцијата "ssh-add -d -" за читање клучеви од stdin што треба да се избришат.
  • Во sshd, почетокот и крајот на процесот на кастрење на поврзувањето се рефлектираат во дневникот, регулиран со помош на параметарот MaxStartups.

Програмерите на OpenSSH, исто така, потсетија на претстојното деактивирање на алгоритми кои користат хашови SHA-1 поради промоција ефективноста на нападите од судир со даден префикс (трошокот за избор на судир се проценува на приближно 45 илјади долари). Во едно од претстојните изданија, тие планираат стандардно да ја оневозможат можноста за користење на алгоритам за дигитален потпис со јавен клуч „ssh-rsa“, кој е споменат во оригиналниот RFC за протоколот SSH и останува широко распространет во пракса (за тестирање на употребата на ssh-rsa во вашите системи, можете да се обидете да се поврзете преку ssh со опцијата „-oHostKeyAlgorithms=-ssh-rsa“).

За да се ублажи транзицијата кон нови алгоритми во OpenSSH, следното издание стандардно ќе ја овозможи поставката UpdateHostKeys, која автоматски ќе ги мигрира клиентите кон посигурни алгоритми. Препорачани алгоритми за миграција вклучуваат rsa-sha2-256/512 базирани на RFC8332 RSA SHA-2 (поддржан од OpenSSH 7.2 и се користи стандардно), ssh-ed25519 (поддржан од OpenSSH 6.5) и ecdsa-sha2-nistp256/384 базиран на RFC521 ECDSA (поддржано од OpenSSH 5656).

Извор: opennet.ru

Додадете коментар