OpenSSH 8.7 റിലീസ്

നാല് മാസത്തെ വികസനത്തിന് ശേഷം, SSH 8.7, SFTP പ്രോട്ടോക്കോളുകൾ എന്നിവയിൽ പ്രവർത്തിക്കുന്ന ഒരു ക്ലയന്റിന്റെയും സെർവറിന്റെയും തുറന്ന നിർവ്വഹണമായ OpenSSH 2.0 ന്റെ റിലീസ് അവതരിപ്പിച്ചു.

പ്രധാന മാറ്റങ്ങൾ:

• പരമ്പരാഗത SCP/RCP പ്രോട്ടോക്കോളിന് പകരം SFTP പ്രോട്ടോക്കോൾ ഉപയോഗിച്ച് scp-ലേക്ക് ഒരു പരീക്ഷണാത്മക ഡാറ്റാ ട്രാൻസ്ഫർ മോഡ് ചേർത്തിരിക്കുന്നു. എസ്എഫ്‌ടിപി കൂടുതൽ പ്രവചിക്കാവുന്ന നെയിം ഹാൻഡ്‌ലിംഗ് രീതികൾ ഉപയോഗിക്കുന്നു, സുരക്ഷാ പ്രശ്‌നങ്ങൾ സൃഷ്ടിക്കുന്ന മറ്റൊരു ഹോസ്റ്റിന്റെ ഭാഗത്ത് ഗ്ലോബ് പാറ്റേണുകളുടെ ഷെൽ പ്രോസസ്സിംഗ് ഉപയോഗിക്കുന്നില്ല. scp-ൽ SFTP പ്രവർത്തനക്ഷമമാക്കുന്നതിന്, “-s” ഫ്ലാഗ് നിർദ്ദേശിച്ചിട്ടുണ്ട്, എന്നാൽ ഭാവിയിൽ ഈ പ്രോട്ടോക്കോളിലേക്ക് സ്വതവേ മാറാൻ പദ്ധതിയിട്ടിരിക്കുന്നു.
• എസ്‌എഫ്‌ടിപി-സെർവർ എസ്‌എഫ്‌ടിപി പ്രോട്ടോക്കോളിലേക്കുള്ള വിപുലീകരണങ്ങൾ നടപ്പിലാക്കുന്നു, ഇത് എസ്‌സി‌പിക്ക് ആവശ്യമായ ~/, ~ യൂസർ/ പാഥുകൾ വികസിപ്പിക്കുന്നു.
• രണ്ട് റിമോട്ട് ഹോസ്റ്റുകൾക്കിടയിൽ ഫയലുകൾ പകർത്തുമ്പോൾ scp യൂട്ടിലിറ്റി സ്വഭാവം മാറ്റി (ഉദാഹരണത്തിന്, "scp host-a:/path host-b:"), ഇത് ഇപ്പോൾ ഒരു ഇന്റർമീഡിയറ്റ് ലോക്കൽ ഹോസ്റ്റ് വഴി ഡിഫോൾട്ടായി ചെയ്യുന്നു, "" -3" പതാക. ആദ്യത്തെ ഹോസ്റ്റിലേക്ക് അനാവശ്യ ക്രെഡൻഷ്യലുകൾ കൈമാറുന്നത് ഒഴിവാക്കാനും ഷെല്ലിലെ ഫയൽ നാമങ്ങളുടെ ട്രിപ്പിൾ വ്യാഖ്യാനം ഒഴിവാക്കാനും ഈ സമീപനം നിങ്ങളെ അനുവദിക്കുന്നു (ഉറവിടം, ലക്ഷ്യസ്ഥാനം, പ്രാദേശിക സിസ്റ്റം വശത്ത്), കൂടാതെ SFTP ഉപയോഗിക്കുമ്പോൾ, റിമോട്ട് ആക്സസ് ചെയ്യുമ്പോൾ എല്ലാ പ്രാമാണീകരണ രീതികളും ഉപയോഗിക്കാൻ ഇത് നിങ്ങളെ അനുവദിക്കുന്നു. ഹോസ്റ്റുകൾ, മാത്രമല്ല നോൺ-ഇന്ററാക്ടീവ് രീതികൾ . പഴയ സ്വഭാവം പുനഃസ്ഥാപിക്കുന്നതിന് "-R" ഓപ്ഷൻ ചേർത്തു.
• "-f" ഫ്ലാഗിന് അനുയോജ്യമായ ssh-ലേക്ക് ForkAfterAuthentication ക്രമീകരണം ചേർത്തു.
• "-n" ഫ്ലാഗിന് അനുയോജ്യമായ StdinNull ക്രമീകരണം ssh-ലേക്ക് ചേർത്തു.
• ഒരു SessionType ക്രമീകരണം ssh-ലേക്ക് ചേർത്തു, അതിലൂടെ നിങ്ങൾക്ക് “-N” (സെഷനില്ല), “-s” (സബ്സിസ്റ്റം) ഫ്ലാഗുകൾക്ക് അനുയോജ്യമായ മോഡുകൾ സജ്ജമാക്കാൻ കഴിയും.
• കീ ഫയലുകളിൽ ഒരു കീ സാധുതയുള്ള ഇടവേള വ്യക്തമാക്കാൻ ssh-keygen നിങ്ങളെ അനുവദിക്കുന്നു.
• sshsig സിഗ്നേച്ചറിന്റെ ഭാഗമായി മുഴുവൻ പൊതു കീയും പ്രിന്റ് ചെയ്യുന്നതിനായി ssh-keygen-ലേക്ക് "-Oprint-pubkey" ഫ്ലാഗ് ചേർത്തു.
• ssh, sshd എന്നിവയിൽ, ക്ലയന്റും സെർവറും കൂടുതൽ നിയന്ത്രിത കോൺഫിഗറേഷൻ ഫയൽ പാഴ്‌സർ ഉപയോഗിക്കുന്നതിന് നീക്കി, അത് ഉദ്ധരണികൾ, സ്‌പെയ്‌സുകൾ, എസ്‌കേപ്പ് പ്രതീകങ്ങൾ എന്നിവ കൈകാര്യം ചെയ്യുന്നതിന് ഷെൽ പോലുള്ള നിയമങ്ങൾ ഉപയോഗിക്കുന്നു. ഓപ്‌ഷനുകളിലെ ആർഗ്യുമെന്റുകൾ ഒഴിവാക്കുന്നത് (ഉദാഹരണത്തിന്, DenyUsers ഡയറക്‌ടീവ് ഇനി ശൂന്യമാക്കാൻ കഴിയില്ല), അടയ്‌ക്കാത്ത ഉദ്ധരണികൾ, ഒന്നിലധികം = പ്രതീകങ്ങൾ വ്യക്തമാക്കൽ എന്നിവ പോലുള്ള മുൻകാല അനുമാനങ്ങളും പുതിയ പാഴ്‌സർ അവഗണിക്കുന്നില്ല.
• കീകൾ പരിശോധിക്കുമ്പോൾ SSHFP DNS റെക്കോർഡുകൾ ഉപയോഗിക്കുമ്പോൾ, ഒരു പ്രത്യേക തരം ഡിജിറ്റൽ സിഗ്നേച്ചർ അടങ്ങിയിട്ടുള്ളവ മാത്രമല്ല, പൊരുത്തപ്പെടുന്ന എല്ലാ രേഖകളും ssh ഇപ്പോൾ പരിശോധിക്കുന്നു.
• ssh-keygen-ൽ, -Ochallenge ഓപ്ഷൻ ഉപയോഗിച്ച് ഒരു FIDO കീ ജനറേറ്റ് ചെയ്യുമ്പോൾ, 2 ബൈറ്റുകളേക്കാൾ വലുതോ ചെറുതോ ആയ ചലഞ്ച് സീക്വൻസുകൾ ഉപയോഗിക്കാൻ അനുവദിക്കുന്ന libfido32-നേക്കാൾ ബിൽറ്റ്-ഇൻ ലെയർ ഇപ്പോൾ ഹാഷിംഗിനായി ഉപയോഗിക്കുന്നു.
• sshd-ൽ, authorized_keys ഫയലുകളിൽ environment="..." നിർദ്ദേശങ്ങൾ പ്രോസസ്സ് ചെയ്യുമ്പോൾ, ആദ്യ പൊരുത്തം ഇപ്പോൾ അംഗീകരിക്കപ്പെടുന്നു, കൂടാതെ 1024 പരിസ്ഥിതി വേരിയബിൾ നാമങ്ങളുടെ പരിധിയുണ്ട്.

തന്നിരിക്കുന്ന പ്രിഫിക്‌സ് ഉപയോഗിച്ചുള്ള കൂട്ടിയിടി ആക്രമണത്തിന്റെ വർദ്ധിച്ച കാര്യക്ഷമത കാരണം SHA-1 ഹാഷുകൾ ഉപയോഗിച്ച് അൽഗോരിതം വിഘടിപ്പിക്കുന്നതിനെക്കുറിച്ചും OpenSSH ഡവലപ്പർമാർ മുന്നറിയിപ്പ് നൽകി (ഒരു കൂട്ടിയിടി തിരഞ്ഞെടുക്കുന്നതിനുള്ള ചെലവ് ഏകദേശം 50 ആയിരം ഡോളറായി കണക്കാക്കപ്പെടുന്നു). അടുത്ത പതിപ്പിൽ, SSH പ്രോട്ടോക്കോളിനായുള്ള യഥാർത്ഥ RFC-ൽ പരാമർശിച്ചിട്ടുള്ളതും പ്രായോഗികമായി വ്യാപകമായി ഉപയോഗിക്കുന്നതുമായ പൊതു കീ ഡിജിറ്റൽ സിഗ്നേച്ചർ അൽഗോരിതം "ssh-rsa" ഉപയോഗിക്കാനുള്ള കഴിവ് ഡിഫോൾട്ടായി പ്രവർത്തനരഹിതമാക്കാൻ ഞങ്ങൾ പദ്ധതിയിടുന്നു.

നിങ്ങളുടെ സിസ്റ്റങ്ങളിൽ ssh-rsa ഉപയോഗം പരിശോധിക്കുന്നതിന്, "-oHostKeyAlgorithms=-ssh-rsa" ഓപ്ഷൻ ഉപയോഗിച്ച് നിങ്ങൾക്ക് ssh വഴി കണക്റ്റുചെയ്യാൻ ശ്രമിക്കാം. അതേ സമയം, ഡിഫോൾട്ടായി "ssh-rsa" ഡിജിറ്റൽ സിഗ്നേച്ചറുകൾ പ്രവർത്തനരഹിതമാക്കുന്നത് RSA കീകളുടെ ഉപയോഗം പൂർണ്ണമായും ഉപേക്ഷിക്കുക എന്നല്ല അർത്ഥമാക്കുന്നത്, കാരണം SHA-1 കൂടാതെ, SSH പ്രോട്ടോക്കോൾ മറ്റ് ഹാഷ് കണക്കുകൂട്ടൽ അൽഗോരിതങ്ങൾ ഉപയോഗിക്കാൻ അനുവദിക്കുന്നു. പ്രത്യേകിച്ചും, "ssh-rsa" എന്നതിന് പുറമേ, "rsa-sha2-256" (RSA/SHA256), "rsa-sha2-512" (RSA/SHA512) ബണ്ടിലുകൾ ഉപയോഗിക്കുന്നത് തുടരും.

പുതിയ അൽഗോരിതങ്ങളിലേക്കുള്ള പരിവർത്തനം സുഗമമാക്കുന്നതിന്, OpenSSH-ൽ മുമ്പ് UpdateHostKeys ക്രമീകരണം സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനക്ഷമമാക്കിയിരുന്നു, ഇത് കൂടുതൽ വിശ്വസനീയമായ അൽഗോരിതങ്ങളിലേക്ക് സ്വയമേവ മാറാൻ ക്ലയന്റുകളെ അനുവദിക്കുന്നു. ഈ ക്രമീകരണം ഉപയോഗിച്ച്, ഒരു പ്രത്യേക പ്രോട്ടോക്കോൾ വിപുലീകരണം പ്രവർത്തനക്ഷമമാക്കി "[ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു]", പ്രാമാണീകരണത്തിന് ശേഷം, ലഭ്യമായ എല്ലാ ഹോസ്റ്റ് കീകളെക്കുറിച്ചും ക്ലയന്റിനെ അറിയിക്കാൻ സെർവറിനെ അനുവദിക്കുന്നു. ക്ലയന്റിന് ഈ കീകൾ അതിന്റെ ~/.ssh/known_hosts ഫയലിൽ പ്രതിഫലിപ്പിക്കാൻ കഴിയും, ഇത് ഹോസ്റ്റ് കീകൾ അപ്‌ഡേറ്റ് ചെയ്യാൻ അനുവദിക്കുകയും സെർവറിലെ കീകൾ മാറ്റുന്നത് എളുപ്പമാക്കുകയും ചെയ്യുന്നു.

UpdateHostKeys-ന്റെ ഉപയോഗം ഭാവിയിൽ നീക്കം ചെയ്തേക്കാവുന്ന നിരവധി മുന്നറിയിപ്പുകളാൽ പരിമിതപ്പെടുത്തിയിരിക്കുന്നു: കീ UserKnownHostsFile-ൽ പരാമർശിക്കേണ്ടതാണ്, GlobalKnownHostsFile-ൽ ഉപയോഗിക്കരുത്; കീ ഒരു പേരിൽ മാത്രം ഉണ്ടായിരിക്കണം; ഒരു ഹോസ്റ്റ് കീ സർട്ടിഫിക്കറ്റ് ഉപയോഗിക്കരുത്; അറിയപ്പെടുന്ന_ഹോസ്റ്റുകളിൽ ഹോസ്റ്റ് നാമത്തിലുള്ള മാസ്കുകൾ ഉപയോഗിക്കരുത്; VerifyHostKeyDNS ക്രമീകരണം പ്രവർത്തനരഹിതമാക്കിയിരിക്കണം; UserKnownHostsFile പരാമീറ്റർ സജീവമായിരിക്കണം.

RFC2 RSA SHA-256 അടിസ്ഥാനമാക്കിയുള്ള rsa-sha512-8332/2 (ഓപ്പൺഎസ്എസ്എച്ച് 7.2 മുതൽ പിന്തുണയ്‌ക്കുകയും സ്ഥിരസ്ഥിതിയായി ഉപയോഗിക്കുകയും ചെയ്യുന്നു), ssh-ed25519 (ഓപ്പൺഎസ്എസ്എച്ച് 6.5 മുതൽ പിന്തുണയ്‌ക്കുന്നു), ecdsa-sha2-n256 അടിസ്ഥാനമാക്കിയുള്ള മൈഗ്രേഷനായി ശുപാർശ ചെയ്‌ത അൽഗോരിതങ്ങളിൽ ഉൾപ്പെടുന്നു. RFC384 ECDSA-ൽ (ഓപ്പൺഎസ്എസ്എച്ച് 521 മുതൽ പിന്തുണയ്ക്കുന്നു).

അവലംബം: opennet.ru