OpenSSH 8.5 റിലീസ്

അഞ്ച് മാസത്തെ വികസനത്തിന് ശേഷം, SSH 8.5, SFTP പ്രോട്ടോക്കോളുകൾ എന്നിവയിൽ പ്രവർത്തിക്കുന്ന ഒരു ക്ലയന്റിന്റെയും സെർവറിന്റെയും തുറന്ന നിർവ്വഹണമായ OpenSSH 2.0 ന്റെ റിലീസ് അവതരിപ്പിക്കുന്നു.

തന്നിരിക്കുന്ന പ്രിഫിക്‌സ് ഉപയോഗിച്ചുള്ള കൂട്ടിയിടി ആക്രമണങ്ങളുടെ കാര്യക്ഷമത വർദ്ധിക്കുന്നതിനാൽ SHA-1 ഹാഷുകൾ ഉപയോഗിച്ച് അൽഗോരിതങ്ങളുടെ വരാനിരിക്കുന്ന ഡീകമ്മീഷൻ ചെയ്യുന്നതിനെക്കുറിച്ച് OpenSSH ഡെവലപ്പർമാർ ഞങ്ങളെ ഓർമ്മിപ്പിച്ചു (ഒരു കൂട്ടിയിടി തിരഞ്ഞെടുക്കുന്നതിനുള്ള ചെലവ് ഏകദേശം $50 ആയി കണക്കാക്കുന്നു). വരാനിരിക്കുന്ന റിലീസുകളിലൊന്നിൽ, "ssh-rsa" പബ്ലിക് കീ ഡിജിറ്റൽ സിഗ്നേച്ചർ അൽഗോരിതം ഉപയോഗിക്കാനുള്ള കഴിവ് ഡിഫോൾട്ടായി പ്രവർത്തനരഹിതമാക്കാൻ അവർ പദ്ധതിയിടുന്നു, ഇത് എസ്എസ്എച്ച് പ്രോട്ടോക്കോളിനായി യഥാർത്ഥ RFC-യിൽ പരാമർശിക്കുകയും പ്രായോഗികമായി വ്യാപകമായി തുടരുകയും ചെയ്യുന്നു.

നിങ്ങളുടെ സിസ്റ്റങ്ങളിൽ ssh-rsa ഉപയോഗം പരിശോധിക്കുന്നതിന്, "-oHostKeyAlgorithms=-ssh-rsa" ഓപ്ഷൻ ഉപയോഗിച്ച് നിങ്ങൾക്ക് ssh വഴി കണക്റ്റുചെയ്യാൻ ശ്രമിക്കാം. അതേ സമയം, ഡിഫോൾട്ടായി "ssh-rsa" ഡിജിറ്റൽ സിഗ്നേച്ചറുകൾ പ്രവർത്തനരഹിതമാക്കുന്നത് RSA കീകളുടെ ഉപയോഗം പൂർണ്ണമായും ഉപേക്ഷിക്കുക എന്നല്ല അർത്ഥമാക്കുന്നത്, കാരണം SHA-1 കൂടാതെ, SSH പ്രോട്ടോക്കോൾ മറ്റ് ഹാഷ് കണക്കുകൂട്ടൽ അൽഗോരിതങ്ങൾ ഉപയോഗിക്കാൻ അനുവദിക്കുന്നു. പ്രത്യേകിച്ചും, "ssh-rsa" എന്നതിന് പുറമേ, "rsa-sha2-256" (RSA/SHA256), "rsa-sha2-512" (RSA/SHA512) ബണ്ടിലുകൾ ഉപയോഗിക്കുന്നത് തുടരും.

പുതിയ അൽഗോരിതങ്ങളിലേക്കുള്ള പരിവർത്തനം സുഗമമാക്കുന്നതിന്, OpenSSH 8.5-ൽ UpdateHostKeys ക്രമീകരണം സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ട്, ഇത് കൂടുതൽ വിശ്വസനീയമായ അൽഗോരിതങ്ങളിലേക്ക് സ്വയമേവ മാറാൻ ക്ലയന്റുകളെ അനുവദിക്കുന്നു. ഈ ക്രമീകരണം ഉപയോഗിച്ച്, ഒരു പ്രത്യേക പ്രോട്ടോക്കോൾ വിപുലീകരണം പ്രവർത്തനക്ഷമമാക്കി "[ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു]", പ്രാമാണീകരണത്തിന് ശേഷം, ലഭ്യമായ എല്ലാ ഹോസ്റ്റ് കീകളെക്കുറിച്ചും ക്ലയന്റിനെ അറിയിക്കാൻ സെർവറിനെ അനുവദിക്കുന്നു. ക്ലയന്റിന് ഈ കീകൾ അതിന്റെ ~/.ssh/known_hosts ഫയലിൽ പ്രതിഫലിപ്പിക്കാൻ കഴിയും, ഇത് ഹോസ്റ്റ് കീകൾ അപ്‌ഡേറ്റ് ചെയ്യാൻ അനുവദിക്കുകയും സെർവറിലെ കീകൾ മാറ്റുന്നത് എളുപ്പമാക്കുകയും ചെയ്യുന്നു.

UpdateHostKeys-ന്റെ ഉപയോഗം ഭാവിയിൽ നീക്കം ചെയ്തേക്കാവുന്ന നിരവധി മുന്നറിയിപ്പുകളാൽ പരിമിതപ്പെടുത്തിയിരിക്കുന്നു: കീ UserKnownHostsFile-ൽ പരാമർശിക്കേണ്ടതാണ്, GlobalKnownHostsFile-ൽ ഉപയോഗിക്കരുത്; കീ ഒരു പേരിൽ മാത്രം ഉണ്ടായിരിക്കണം; ഒരു ഹോസ്റ്റ് കീ സർട്ടിഫിക്കറ്റ് ഉപയോഗിക്കരുത്; അറിയപ്പെടുന്ന_ഹോസ്റ്റുകളിൽ ഹോസ്റ്റ് നാമത്തിലുള്ള മാസ്കുകൾ ഉപയോഗിക്കരുത്; VerifyHostKeyDNS ക്രമീകരണം പ്രവർത്തനരഹിതമാക്കിയിരിക്കണം; UserKnownHostsFile പരാമീറ്റർ സജീവമായിരിക്കണം.

RFC2 RSA SHA-256 അടിസ്ഥാനമാക്കിയുള്ള rsa-sha512-8332/2 (ഓപ്പൺഎസ്എസ്എച്ച് 7.2 മുതൽ പിന്തുണയ്‌ക്കുകയും സ്ഥിരസ്ഥിതിയായി ഉപയോഗിക്കുകയും ചെയ്യുന്നു), ssh-ed25519 (ഓപ്പൺഎസ്എസ്എച്ച് 6.5 മുതൽ പിന്തുണയ്‌ക്കുന്നു), ecdsa-sha2-n256 അടിസ്ഥാനമാക്കിയുള്ള മൈഗ്രേഷനായി ശുപാർശ ചെയ്‌ത അൽഗോരിതങ്ങളിൽ ഉൾപ്പെടുന്നു. RFC384 ECDSA-ൽ (ഓപ്പൺഎസ്എസ്എച്ച് 521 മുതൽ പിന്തുണയ്ക്കുന്നു).

മറ്റ് മാറ്റങ്ങൾ:

• സുരക്ഷാ മാറ്റങ്ങൾ:
  • ഇതിനകം സ്വതന്ത്രമാക്കിയ മെമ്മറി ഏരിയ (ഇരട്ട-സ്വതന്ത്രം) വീണ്ടും സ്വതന്ത്രമാക്കുന്നത് മൂലമുണ്ടാകുന്ന ഒരു അപകടസാധ്യത ssh-ഏജൻറിൽ പരിഹരിച്ചിരിക്കുന്നു. ഓപ്പൺഎസ്എസ്എച്ച് 8.2 പുറത്തിറങ്ങിയതുമുതൽ ഈ പ്രശ്നം നിലവിലുണ്ട്, ലോക്കൽ സിസ്റ്റത്തിലെ ssh-ഏജന്റ് സോക്കറ്റിലേക്ക് ആക്രമണകാരിക്ക് ആക്സസ് ഉണ്ടെങ്കിൽ അത് ചൂഷണം ചെയ്യപ്പെടാൻ സാധ്യതയുണ്ട്. ചൂഷണം കൂടുതൽ പ്രയാസകരമാക്കുന്നത് റൂട്ടിനും യഥാർത്ഥ ഉപയോക്താവിനും മാത്രമേ സോക്കറ്റിലേക്ക് പ്രവേശനമുള്ളൂ എന്നതാണ്. ആക്രമണകാരി നിയന്ത്രിക്കുന്ന ഒരു അക്കൗണ്ടിലേക്കോ ആക്രമണകാരിക്ക് റൂട്ട് ആക്‌സസ് ഉള്ള ഒരു ഹോസ്റ്റിലേക്കോ ഏജന്റിനെ റീഡയറക്‌ടുചെയ്യുന്നതാണ് ഏറ്റവും സാധ്യതയുള്ള ആക്രമണ സാഹചര്യം.
  • PAM സബ്സിസ്റ്റത്തിലേക്ക് ഉപയോക്തൃനാമത്തോടുകൂടിയ വളരെ വലിയ പാരാമീറ്ററുകൾ കൈമാറുന്നതിനെതിരെ sshd സംരക്ഷണം ചേർത്തിട്ടുണ്ട്, ഇത് PAM (പ്ലഗ്ഗബിൾ ഓതന്റിക്കേഷൻ മൊഡ്യൂൾ) സിസ്റ്റം മൊഡ്യൂളുകളിലെ കേടുപാടുകൾ തടയാൻ നിങ്ങളെ അനുവദിക്കുന്നു. ഉദാഹരണത്തിന്, സോളാരിസിൽ (CVE-2020-14871) അടുത്തിടെ കണ്ടെത്തിയ റൂട്ട് കേടുപാടുകൾ മുതലെടുക്കാൻ sshd ഒരു വെക്‌ടറായി ഉപയോഗിക്കുന്നതിൽ നിന്ന് മാറ്റം തടയുന്നു.
• സാധ്യമായ പൊരുത്തം മാറ്റങ്ങൾ:
  • В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо [ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു] метод теперь идентифицируется как [ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു] (sntrup4591761 അൽഗോരിതം മാറ്റി sntrup761 ആണ്).
  • ssh, sshd എന്നിവയിൽ, പിന്തുണയ്‌ക്കുന്ന ഡിജിറ്റൽ സിഗ്നേച്ചർ അൽഗോരിതം പ്രഖ്യാപിച്ച ക്രമം മാറ്റി. ECDSA യ്ക്ക് പകരം ED25519 ആണ് ഇപ്പോൾ ആദ്യം നൽകുന്നത്.
  • ssh, sshd എന്നിവയിൽ, ഒരു ടിസിപി കണക്ഷൻ സ്ഥാപിക്കുന്നതിന് മുമ്പ് ഇന്ററാക്ടീവ് സെഷനുകൾക്കായി സേവന പാരാമീറ്ററുകളുടെ TOS/DSCP ഗുണനിലവാരം സജ്ജമാക്കുന്നത് ഇപ്പോൾ പൂർത്തിയായി.
  • ssh, sshd എന്നിവയിൽ സൈഫർ പിന്തുണ നിർത്തലാക്കിയിരിക്കുന്നു [ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു], ഇത് aes256-cbc ന് സമാനമാണ് കൂടാതെ RFC-4253 അംഗീകരിക്കുന്നതിന് മുമ്പ് ഉപയോഗിച്ചിരുന്നു.
  • സ്ഥിരസ്ഥിതിയായി, CheckHostIP പാരാമീറ്റർ പ്രവർത്തനരഹിതമാക്കിയിരിക്കുന്നു, ഇതിന്റെ പ്രയോജനം നിസ്സാരമാണ്, എന്നാൽ അതിന്റെ ഉപയോഗം ലോഡ് ബാലൻസറുകൾക്ക് പിന്നിലുള്ള ഹോസ്റ്റുകളുടെ കീ റൊട്ടേഷനെ ഗണ്യമായി സങ്കീർണ്ണമാക്കുന്നു.
• ക്ലയന്റ് വിലാസത്തെ അടിസ്ഥാനമാക്കി ഹാൻഡ്‌ലറുകൾ ലോഞ്ച് ചെയ്യുന്നതിന്റെ തീവ്രത പരിമിതപ്പെടുത്തുന്നതിന് PerSourceMaxStartups ഉം PerSourceNetBlockSize ക്രമീകരണങ്ങളും sshd-ലേക്ക് ചേർത്തു. പൊതുവായ MaxStartup ക്രമീകരണവുമായി താരതമ്യപ്പെടുത്തുമ്പോൾ, പ്രോസസ്സ് ലോഞ്ചുകളുടെ പരിധി കൂടുതൽ സൂക്ഷ്മമായി നിയന്ത്രിക്കാൻ ഈ പരാമീറ്ററുകൾ നിങ്ങളെ അനുവദിക്കുന്നു.
• ssh, sshd എന്നിവയിലേക്ക് ഒരു പുതിയ LogVerbose ക്രമീകരണം ചേർത്തു, ഇത് ടെംപ്ലേറ്റുകൾ, ഫംഗ്‌ഷനുകൾ, ഫയലുകൾ എന്നിവ ഉപയോഗിച്ച് ഫിൽട്ടർ ചെയ്യാനുള്ള കഴിവ് ഉപയോഗിച്ച് ലോഗിലേക്ക് വലിച്ചെറിയുന്ന ഡീബഗ്ഗിംഗ് വിവരങ്ങളുടെ നിലവാരം ശക്തമായി ഉയർത്താൻ നിങ്ങളെ അനുവദിക്കുന്നു.
• ssh-ൽ, ഒരു പുതിയ ഹോസ്റ്റ് കീ സ്വീകരിക്കുമ്പോൾ, കീയുമായി ബന്ധപ്പെട്ട എല്ലാ ഹോസ്റ്റ്നാമങ്ങളും IP വിലാസങ്ങളും പ്രദർശിപ്പിക്കും.
• ssh, UserKnownHostsFile=ഹോസ്റ്റ് കീകൾ തിരിച്ചറിയുമ്പോൾ, known_hosts ഫയലിന്റെ ഉപയോഗം അപ്രാപ്‌തമാക്കുന്നതിനുള്ള ഓപ്ഷനുകളൊന്നുമില്ല.
• ssh-നുള്ള ssh_config-ലേക്ക് ഒരു KnownHostsCommand ക്രമീകരണം ചേർത്തിട്ടുണ്ട്, ഇത് നിർദ്ദിഷ്ട കമാൻഡിന്റെ ഔട്ട്‌പുട്ടിൽ നിന്ന് known_hosts ഡാറ്റ നേടുന്നതിന് നിങ്ങളെ അനുവദിക്കുന്നു.
• SOCKS-നൊപ്പം RemoteForward ഓപ്‌ഷൻ ഉപയോഗിക്കുമ്പോൾ ലക്ഷ്യസ്ഥാനം നിയന്ത്രിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നതിന് ssh-നുള്ള ssh_config-ലേക്ക് PermitRemoteOpen ഓപ്ഷൻ ചേർത്തു.
• FIDO കീകൾക്കായുള്ള ssh-ൽ, ഒരു തെറ്റായ PIN കാരണം ഒരു ഡിജിറ്റൽ സിഗ്നേച്ചർ ഓപ്പറേഷൻ പരാജയപ്പെടുകയും ഉപയോക്താവിനെ PIN-നായി ആവശ്യപ്പെടാതിരിക്കുകയും ചെയ്താൽ ആവർത്തിച്ചുള്ള PIN അഭ്യർത്ഥന നൽകുന്നു (ഉദാഹരണത്തിന്, ശരിയായ ബയോമെട്രിക് ഡാറ്റ ലഭിക്കാത്തപ്പോൾ ഉപകരണം സ്വമേധയാലുള്ള പിൻ എൻട്രിയിലേക്ക് മടങ്ങി).
• Linux-ലെ seccomp-bpf-അധിഷ്ഠിത പ്രോസസ്സ് ഐസൊലേഷൻ മെക്കാനിസത്തിലേക്ക് അധിക സിസ്റ്റം കോളുകൾക്കുള്ള പിന്തുണ sshd ചേർക്കുന്നു.
• contrib/ssh-copy-id യൂട്ടിലിറ്റി അപ്ഡേറ്റ് ചെയ്തു.

അവലംബം: opennet.ru