OpenSSH 8.4 റിലീസ്

നാല് മാസത്തെ വികസനത്തിന് ശേഷം അവതരിപ്പിച്ചു ഓപ്പൺഎസ്എസ്എച്ച് 8.4, എസ്എസ്എച്ച് 2.0, എസ്എഫ്ടിപി പ്രോട്ടോക്കോളുകൾ ഉപയോഗിച്ച് പ്രവർത്തിക്കുന്നതിനുള്ള ഓപ്പൺ ക്ലയന്റും സെർവർ നടപ്പാക്കലും.

പ്രധാന മാറ്റങ്ങൾ:

• സുരക്ഷാ മാറ്റങ്ങൾ:
  • ssh-agent-ൽ, SSH പ്രാമാണീകരണത്തിനായി സൃഷ്‌ടിച്ചിട്ടില്ലാത്ത FIDO കീകൾ ഉപയോഗിക്കുമ്പോൾ (കീ ഐഡി "ssh:" എന്ന സ്‌ട്രിംഗിൽ ആരംഭിക്കുന്നില്ല), SSH പ്രോട്ടോക്കോളിൽ ഉപയോഗിക്കുന്ന രീതികൾ ഉപയോഗിച്ച് സന്ദേശം സൈൻ ചെയ്യപ്പെടുമോ എന്ന് ഇത് ഇപ്പോൾ പരിശോധിക്കുന്നു. വെബ് പ്രാമാണീകരണ അഭ്യർത്ഥനകൾക്കായി ഒപ്പുകൾ സൃഷ്ടിക്കുന്നതിന് ഈ കീകൾ ഉപയോഗിക്കുന്നതിനുള്ള കഴിവ് തടയുന്നതിന് FIDO കീകളുള്ള റിമോട്ട് ഹോസ്റ്റുകളിലേക്ക് ssh-ഏജൻറിനെ റീഡയറക്‌ടുചെയ്യാൻ ഈ മാറ്റം അനുവദിക്കില്ല (റിവേഴ്സ് കേസ്, ഒരു ബ്രൗസറിന് ഒരു SSH അഭ്യർത്ഥനയിൽ ഒപ്പിടാൻ കഴിയുമ്പോൾ, തുടക്കത്തിൽ ഒഴിവാക്കപ്പെടും. കീ ഐഡന്റിഫയറിലെ "ssh:" പ്രിഫിക്‌സിന്റെ ഉപയോഗം കാരണം).
  • ssh-keygen-ന്റെ റെസിഡന്റ് കീ ജനറേഷനിൽ FIDO 2.1 സ്പെസിഫിക്കേഷനിൽ വിവരിച്ചിരിക്കുന്ന credProtect ആഡ്-ഓണിനുള്ള പിന്തുണ ഉൾപ്പെടുന്നു, ഇത് ടോക്കണിൽ നിന്ന് റസിഡന്റ് കീ എക്‌സ്‌ട്രാക്റ്റുചെയ്യുന്നതിന് കാരണമായേക്കാവുന്ന ഏതെങ്കിലും പ്രവർത്തനം നടത്തുന്നതിന് മുമ്പ് ഒരു PIN ആവശ്യപ്പെടുന്നതിലൂടെ കീകൾക്ക് അധിക പരിരക്ഷ നൽകുന്നു.
• സാധ്യമായ പൊരുത്തം മാറ്റങ്ങൾ:
  • FIDO/U2F പിന്തുണയ്‌ക്കുന്നതിന്, കുറഞ്ഞത് പതിപ്പ് 2 എങ്കിലും libfido1.5.0 ലൈബ്രറി ഉപയോഗിക്കാൻ ശുപാർശ ചെയ്യുന്നു. പഴയ പതിപ്പുകൾ ഉപയോഗിക്കാനുള്ള കഴിവ് ഭാഗികമായി നടപ്പിലാക്കിയിട്ടുണ്ട്, എന്നാൽ ഈ സാഹചര്യത്തിൽ, റസിഡന്റ് കീകൾ, പിൻ അഭ്യർത്ഥന, ഒന്നിലധികം ടോക്കണുകൾ ബന്ധിപ്പിക്കൽ തുടങ്ങിയ പ്രവർത്തനങ്ങൾ ലഭ്യമാകില്ല.
  • ssh-keygen-ൽ, സ്ഥിരീകരണ ഡിജിറ്റൽ സിഗ്നേച്ചറുകൾ പരിശോധിക്കുന്നതിന് ആവശ്യമായ ഓതന്റിക്കേറ്റർ ഡാറ്റ സ്ഥിരീകരണ വിവരങ്ങളുടെ ഫോർമാറ്റിലേക്ക് ചേർത്തിട്ടുണ്ട്, ഒരു FIDO കീ ജനറേറ്റ് ചെയ്യുമ്പോൾ ഓപ്ഷണലായി സംരക്ഷിക്കപ്പെടും.
  • FIDO ടോക്കണുകൾ ആക്സസ് ചെയ്യുന്നതിനായി OpenSSH ലെയറുമായി സംവദിക്കുമ്പോൾ ഉപയോഗിക്കുന്ന API മാറ്റി.
  • OpenSSH-ന്റെ ഒരു പോർട്ടബിൾ പതിപ്പ് നിർമ്മിക്കുമ്പോൾ, കോൺഫിഗർ സ്‌ക്രിപ്‌റ്റും അനുബന്ധ ബിൽഡ് ഫയലുകളും ജനറേറ്റുചെയ്യാൻ ഇപ്പോൾ ഓട്ടോമേക്ക് ആവശ്യമാണ് (പ്രസിദ്ധീകരിച്ച ഒരു കോഡ് ടാർ ഫയലിൽ നിന്നാണ് നിർമ്മിക്കുന്നതെങ്കിൽ, കോൺഫിഗർ റീജനറേറ്റിംഗ് ആവശ്യമില്ല).
• ssh, ssh-keygen എന്നിവയിൽ PIN പരിശോധന ആവശ്യമായ FIDO കീകൾക്കുള്ള പിന്തുണ ചേർത്തു. പിൻ ഉപയോഗിച്ച് കീകൾ ജനറേറ്റ് ചെയ്യുന്നതിന്, ssh-keygen-ലേക്ക് “verify-required” ഓപ്ഷൻ ചേർത്തിരിക്കുന്നു. അത്തരം കീകൾ ഉപയോഗിക്കുകയാണെങ്കിൽ, സിഗ്നേച്ചർ സൃഷ്‌ടിക്കുന്നതിന് മുമ്പ്, ഒരു പിൻ കോഡ് നൽകി അവരുടെ പ്രവർത്തനങ്ങൾ സ്ഥിരീകരിക്കാൻ ഉപയോക്താവിനോട് ആവശ്യപ്പെടും.
• sshd-ൽ, "verify-required" ഓപ്‌ഷൻ അധികാരപ്പെടുത്തിയ_കീകളുടെ ക്രമീകരണത്തിലാണ് നടപ്പിലാക്കുന്നത്, ടോക്കൺ ഉപയോഗിച്ചുള്ള പ്രവർത്തനങ്ങളിൽ ഉപയോക്താവിന്റെ സാന്നിധ്യം പരിശോധിക്കുന്നതിനുള്ള കഴിവുകൾ ഇതിന് ആവശ്യമാണ്. FIDO സ്റ്റാൻഡേർഡ് അത്തരം സ്ഥിരീകരണത്തിനായി നിരവധി ഓപ്ഷനുകൾ നൽകുന്നു, എന്നാൽ നിലവിൽ OpenSSH പിൻ അടിസ്ഥാനമാക്കിയുള്ള സ്ഥിരീകരണത്തെ മാത്രമേ പിന്തുണയ്ക്കൂ.
• വെബ് ബ്രൗസറുകളിൽ FIDO കീകൾ ഉപയോഗിക്കാൻ അനുവദിക്കുന്ന FIDO Webauthn സ്റ്റാൻഡേർഡിന് അനുസൃതമായി ഡിജിറ്റൽ സിഗ്നേച്ചറുകൾ പരിശോധിക്കുന്നതിനുള്ള പിന്തുണ sshd, ssh-keygen എന്നിവ ചേർത്തിട്ടുണ്ട്.
• ssh-ൽ CertificateFile ക്രമീകരണങ്ങളിൽ,
  കൺട്രോൾപാത്ത്, ഐഡന്റിറ്റി ഏജന്റ്, ഐഡന്റിറ്റി ഫയൽ, ലോക്കൽ ഫോർവേഡ് എന്നിവയും
  "${ENV}" ഫോർമാറ്റിൽ വ്യക്തമാക്കിയിട്ടുള്ള എൻവയോൺമെന്റ് വേരിയബിളുകളിൽ നിന്ന് മൂല്യങ്ങൾ മാറ്റിസ്ഥാപിക്കാൻ RemoteForward അനുവദിക്കുന്നു.

• ssh, ssh-agent എന്നിവ $SSH_ASKPASS_REQUIRE എൻവയോൺമെന്റ് വേരിയബിളിന് പിന്തുണ ചേർത്തിട്ടുണ്ട്, ഇത് ssh-askpass കോൾ പ്രവർത്തനക്ഷമമാക്കാനോ പ്രവർത്തനരഹിതമാക്കാനോ ഉപയോഗിക്കാം.
• AddKeysToAgent നിർദ്ദേശത്തിലെ ssh_config-ൽ, ഒരു കീയുടെ സാധുത കാലയളവ് പരിമിതപ്പെടുത്താനുള്ള കഴിവ് ചേർത്തിരിക്കുന്നു. നിർദ്ദിഷ്‌ട പരിധി കാലഹരണപ്പെട്ടതിന് ശേഷം, കീകൾ സ്വയമേവ ssh-agent-ൽ നിന്ന് ഇല്ലാതാക്കപ്പെടും.
• scp, sftp എന്നിവയിൽ, "-A" ഫ്ലാഗ് ഉപയോഗിച്ച്, നിങ്ങൾക്ക് ഇപ്പോൾ ssh-agent ഉപയോഗിച്ച് scp, sftp എന്നിവയിലേക്ക് റീഡയറക്‌ഷൻ വ്യക്തമായി അനുവദിക്കാം (റീഡയറക്ഷൻ ഡിഫോൾട്ടായി അപ്രാപ്‌തമാക്കിയിരിക്കുന്നു).
• ഹോസ്റ്റ് കീ നാമം വ്യക്തമാക്കുന്ന ssh ക്രമീകരണങ്ങളിൽ '%k' സബ്സ്റ്റിറ്റ്യൂഷനുള്ള പിന്തുണ ചേർത്തു. പ്രത്യേക ഫയലുകളിലേക്ക് കീകൾ വിതരണം ചെയ്യാൻ ഈ സവിശേഷത ഉപയോഗിക്കാം (ഉദാഹരണത്തിന്, "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
• stdin-ൽ നിന്ന് ഇല്ലാതാക്കേണ്ട കീകൾ വായിക്കാൻ "ssh-add -d -" പ്രവർത്തനത്തിന്റെ ഉപയോഗം അനുവദിക്കുക.
• sshd-ൽ, കണക്ഷൻ പ്രൂണിംഗ് പ്രക്രിയയുടെ തുടക്കവും അവസാനവും ലോഗിൽ പ്രതിഫലിക്കുന്നു, MaxStartups പാരാമീറ്റർ ഉപയോഗിച്ച് നിയന്ത്രിക്കപ്പെടുന്നു.

ഓപ്പൺഎസ്എസ്എച്ച് ഡെവലപ്പർമാർ എസ്എച്ച്എ-1 ഹാഷുകൾ ഉപയോഗിച്ച് അൽഗോരിതങ്ങളുടെ വരാനിരിക്കുന്ന ഡീകമ്മീഷൻ ചെയ്യലും ഓർമ്മിപ്പിച്ചു. പ്രമോഷൻ തന്നിരിക്കുന്ന പ്രിഫിക്‌സ് ഉപയോഗിച്ചുള്ള കൂട്ടിയിടി ആക്രമണങ്ങളുടെ ഫലപ്രാപ്തി (ഒരു കൂട്ടിയിടി തിരഞ്ഞെടുക്കുന്നതിനുള്ള ചെലവ് ഏകദേശം 45 ആയിരം ഡോളറായി കണക്കാക്കപ്പെടുന്നു). വരാനിരിക്കുന്ന റിലീസുകളിലൊന്നിൽ, പബ്ലിക് കീ ഡിജിറ്റൽ സിഗ്നേച്ചർ അൽഗോരിതം "ssh-rsa" ഉപയോഗിക്കാനുള്ള കഴിവ് ഡിഫോൾട്ടായി അപ്രാപ്‌തമാക്കാൻ അവർ പദ്ധതിയിടുന്നു, ഇത് SSH പ്രോട്ടോക്കോളിനായുള്ള യഥാർത്ഥ RFC-യിൽ പരാമർശിക്കുകയും പ്രായോഗികമായി വ്യാപകമായി തുടരുകയും ചെയ്യുന്നു (ഉപയോഗം പരിശോധിക്കുന്നതിന്. നിങ്ങളുടെ സിസ്റ്റങ്ങളിൽ ssh-rsa, "-oHostKeyAlgorithms=-ssh-rsa") എന്ന ഓപ്‌ഷൻ ഉപയോഗിച്ച് നിങ്ങൾക്ക് ssh വഴി ബന്ധിപ്പിക്കാൻ ശ്രമിക്കാം.

OpenSSH-ലെ പുതിയ അൽഗോരിതങ്ങളിലേക്കുള്ള പരിവർത്തനം സുഗമമാക്കുന്നതിന്, അടുത്ത പതിപ്പ് സ്ഥിരസ്ഥിതിയായി UpdateHostKeys ക്രമീകരണം പ്രവർത്തനക്ഷമമാക്കും, അത് ക്ലയന്റുകളെ കൂടുതൽ വിശ്വസനീയമായ അൽഗോരിതങ്ങളിലേക്ക് സ്വയമേവ മൈഗ്രേറ്റ് ചെയ്യും. RFC2 RSA SHA-256 അടിസ്ഥാനമാക്കിയുള്ള rsa-sha512-8332/2 (ഓപ്പൺഎസ്എസ്എച്ച് 7.2 മുതൽ പിന്തുണയ്‌ക്കുകയും സ്ഥിരസ്ഥിതിയായി ഉപയോഗിക്കുകയും ചെയ്യുന്നു), ssh-ed25519 (ഓപ്പൺഎസ്എസ്എച്ച് 6.5 മുതൽ പിന്തുണയ്‌ക്കുന്നു), ecdsa-sha2-n256 അടിസ്ഥാനമാക്കിയുള്ള മൈഗ്രേഷനായി ശുപാർശ ചെയ്‌ത അൽഗോരിതങ്ങളിൽ ഉൾപ്പെടുന്നു. RFC384 ECDSA-ൽ (ഓപ്പൺഎസ്എസ്എച്ച് 521 മുതൽ പിന്തുണയ്ക്കുന്നു).

അവലംബം: opennet.ru