🥇FIDO/U8.2F ടു-ഫാക്ടർ പ്രാമാണീകരണ ടോക്കണുകൾക്കുള്ള പിന്തുണയോടെ OpenSSH 2-ൻ്റെ റിലീസ്

നാല് മാസത്തെ വികസനത്തിന് ശേഷം അവതരിപ്പിച്ചു പ്രകാശനം OpenSSH 8.2, SSH 2.0, SFTP പ്രോട്ടോക്കോളുകൾ വഴി പ്രവർത്തിക്കുന്നതിനുള്ള ഒരു ഓപ്പൺ ക്ലയന്റും സെർവർ നടപ്പിലാക്കലും.

ഓപ്പൺഎസ്എസ്എച്ച് 8.2-ൻ്റെ പ്രകാശനത്തിലെ ഒരു പ്രധാന മെച്ചപ്പെടുത്തൽ പ്രോട്ടോക്കോൾ പിന്തുണയ്ക്കുന്ന ഉപകരണങ്ങൾ ഉപയോഗിച്ച് ടു-ഫാക്ടർ ആധികാരികത ഉപയോഗിക്കാനുള്ള കഴിവാണ്. U2F, സഖ്യം വികസിപ്പിച്ചെടുത്തു ഫിഡോ. യുഎസ്ബി, ബ്ലൂടൂത്ത് അല്ലെങ്കിൽ എൻഎഫ്‌സി വഴി അവരുമായി ഇടപഴകുകയും ഉപയോക്താവിൻ്റെ ശാരീരിക സാന്നിധ്യം സ്ഥിരീകരിക്കുകയും ചെയ്യുന്നതിനായി കുറഞ്ഞ നിരക്കിലുള്ള ഹാർഡ്‌വെയർ ടോക്കണുകൾ സൃഷ്ടിക്കാൻ U2F അനുവദിക്കുന്നു. വെബ്‌സൈറ്റുകളിൽ രണ്ട്-ഘടക പ്രാമാണീകരണത്തിനുള്ള ഉപാധിയായി ഇത്തരം ഉപകരണങ്ങൾ പ്രമോട്ട് ചെയ്യപ്പെടുന്നു, പ്രധാന ബ്രൗസറുകൾ ഇതിനകം പിന്തുണയ്‌ക്കുന്നു, കൂടാതെ യുബിക്കോ, ഫെയ്‌ഷ്യൻ, തീറ്റിസ്, കെൻസിംഗ്ടൺ എന്നിവയുൾപ്പെടെ വിവിധ നിർമ്മാതാക്കൾ നിർമ്മിക്കുകയും ചെയ്യുന്നു.

ഉപയോക്താവിൻ്റെ സാന്നിധ്യം സ്ഥിരീകരിക്കുന്ന ഉപകരണങ്ങളുമായി സംവദിക്കുന്നതിന്, SHA-25519 ഹാഷുമായി സംയോജിപ്പിച്ച് ECDSA, Ed25519 ഡിജിറ്റൽ സിഗ്നേച്ചർ അൽഗോരിതങ്ങൾ ഉപയോഗിക്കുന്ന OpenSSH-ലേക്ക് പുതിയ കീ തരങ്ങളായ “ecdsa-sk”, “ed256-sk” എന്നിവ ചേർത്തു. ടോക്കണുകളുമായി സംവദിക്കുന്നതിനുള്ള നടപടിക്രമങ്ങൾ ഒരു ഇൻ്റർമീഡിയറ്റ് ലൈബ്രറിയിൽ സ്ഥാപിച്ചിരിക്കുന്നു, ഇത് PKCS#11 പിന്തുണയ്‌ക്കായി ലൈബ്രറിക്ക് സമാനമായ രീതിയിൽ ലോഡ് ചെയ്‌തിരിക്കുന്നു, ഇത് ലൈബ്രറിയുടെ മുകളിൽ ഒരു റാപ്പറാണ്. ലിബ്ഫിഡോ2, ഇത് USB വഴി ടോക്കണുകളുമായി ആശയവിനിമയം നടത്തുന്നതിനുള്ള ഉപകരണങ്ങൾ നൽകുന്നു (FIDO U2F/CTAP 1, FIDO 2.0/CTAP 2 പ്രോട്ടോക്കോളുകൾ പിന്തുണയ്ക്കുന്നു). ഓപ്പൺഎസ്എസ്എച്ച് ഡെവലപ്പർമാർ തയ്യാറാക്കിയ ഇൻ്റർമീഡിയറ്റ് ലൈബ്രറി libsk-libfido2 ഉൾപ്പെടുത്തിയിട്ടുണ്ട് കോർ libfido2, അതുപോലെ HID ഡ്രൈവർ OpenBSD-യ്‌ക്ക്.

ഒരു കീ പ്രാമാണീകരിക്കാനും ജനറേറ്റുചെയ്യാനും, നിങ്ങൾ ക്രമീകരണങ്ങളിൽ "SecurityKeyProvider" പാരാമീറ്റർ വ്യക്തമാക്കണം അല്ലെങ്കിൽ SSH_SK_PROVIDER എൻവയോൺമെൻ്റ് വേരിയബിൾ സജ്ജീകരിക്കണം, ഇത് ബാഹ്യ ലൈബ്രറിയിലേക്കുള്ള പാതയെ സൂചിപ്പിക്കുന്നു libsk-libfido2.so (കയറ്റുമതി SSH_SK_PROVIDER/libsk-libsk-tob. അങ്ങനെ). ലെയർ ലൈബ്രറിയുടെ (--with-security-key-builtin) ബിൽറ്റ്-ഇൻ പിന്തുണയോടെ openssh നിർമ്മിക്കുന്നത് സാധ്യമാണ്, ഈ സാഹചര്യത്തിൽ നിങ്ങൾ "SecurityKeyProvider=internal" പാരാമീറ്റർ സജ്ജമാക്കേണ്ടതുണ്ട്.
അടുത്തതായി നിങ്ങൾ “ssh-keygen -t ecdsa-sk” പ്രവർത്തിപ്പിക്കേണ്ടതുണ്ട് അല്ലെങ്കിൽ, കീകൾ ഇതിനകം സൃഷ്‌ടിച്ച് കോൺഫിഗർ ചെയ്‌തിട്ടുണ്ടെങ്കിൽ, “ssh” ഉപയോഗിച്ച് സെർവറിലേക്ക് കണക്റ്റുചെയ്യുക. നിങ്ങൾ ssh-keygen പ്രവർത്തിപ്പിക്കുമ്പോൾ, ജനറേറ്റ് ചെയ്‌ത കീ ജോടി “~/.ssh/id_ecdsa_sk” എന്നതിൽ സംരക്ഷിക്കപ്പെടും കൂടാതെ മറ്റ് കീകൾ പോലെ തന്നെ ഉപയോഗിക്കാനും കഴിയും.

പൊതു കീ (id_ecdsa_sk.pub) അധികാരപ്പെടുത്തിയ_കീ ഫയലിലെ സെർവറിലേക്ക് പകർത്തണം. സെർവർ വശത്ത്, ഡിജിറ്റൽ സിഗ്നേച്ചർ മാത്രമേ പരിശോധിച്ചിട്ടുള്ളൂ, ക്ലയൻ്റ് വശത്ത് ടോക്കണുകളുമായുള്ള ഇടപെടൽ നടത്തുന്നു (നിങ്ങൾ സെർവറിൽ libsk-libfido2 ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതില്ല, എന്നാൽ സെർവർ "ecdsa-sk" കീ തരത്തെ പിന്തുണയ്ക്കണം) . ജനറേറ്റ് ചെയ്‌ത സ്വകാര്യ കീ (id_ecdsa_sk) അടിസ്ഥാനപരമായി ഒരു കീ ഹാൻഡിൽ ആണ്, U2F ടോക്കൺ വശത്ത് സംഭരിച്ചിരിക്കുന്ന രഹസ്യ സീക്വൻസുമായി സംയോജിച്ച് ഒരു യഥാർത്ഥ കീ രൂപപ്പെടുത്തുന്നു. id_ecdsa_sk കീ ഒരു ആക്രമണകാരിയുടെ കൈകളിൽ അകപ്പെട്ടാൽ, പ്രാമാണീകരണം നൽകുന്നതിന് അയാൾക്ക് ഹാർഡ്‌വെയർ ടോക്കണിലേക്കും ആക്‌സസ്സ് നേടേണ്ടതുണ്ട്, അതില്ലാതെ id_ecdsa_sk ഫയലിൽ സംഭരിച്ചിരിക്കുന്ന സ്വകാര്യ കീ ഉപയോഗശൂന്യമാണ്.

കൂടാതെ, സ്ഥിരസ്ഥിതിയായി, കീകൾ ഉപയോഗിച്ച് ഏതെങ്കിലും പ്രവർത്തനങ്ങൾ നടത്തുമ്പോൾ (ജനറേഷൻ സമയത്തും പ്രാമാണീകരണ സമയത്തും), ഉപയോക്താവിൻ്റെ ശാരീരിക സാന്നിധ്യത്തിൻ്റെ പ്രാദേശിക സ്ഥിരീകരണം ആവശ്യമാണ്, ഉദാഹരണത്തിന്, ടോക്കണിലെ സെൻസറിൽ സ്പർശിക്കാൻ നിർദ്ദേശിക്കപ്പെട്ടിരിക്കുന്നു, ഇത് ബുദ്ധിമുട്ടാക്കുന്നു. ബന്ധിപ്പിച്ച ടോക്കൺ ഉപയോഗിച്ച് സിസ്റ്റങ്ങളിൽ റിമോട്ട് ആക്രമണം നടത്തുക. മറ്റൊരു പ്രതിരോധ മാർഗമെന്ന നിലയിൽ, കീ ഫയൽ ആക്‌സസ് ചെയ്യുന്നതിനായി ssh-keygen-ൻ്റെ ആരംഭ ഘട്ടത്തിൽ ഒരു പാസ്‌വേഡ് വ്യക്തമാക്കാനും കഴിയും.

ഓപ്പൺഎസ്എസ്എച്ചിൻ്റെ പുതിയ പതിപ്പ്, SHA-1 ഹാഷുകൾ ഉപയോഗിച്ചുള്ള അൽഗോരിതങ്ങളുടെ വരാനിരിക്കുന്ന ഒഴിവാക്കലും പ്രഖ്യാപിച്ചു. പ്രമോഷൻ തന്നിരിക്കുന്ന പ്രിഫിക്‌സ് ഉപയോഗിച്ചുള്ള കൂട്ടിയിടി ആക്രമണങ്ങളുടെ ഫലപ്രാപ്തി (ഒരു കൂട്ടിയിടി തിരഞ്ഞെടുക്കുന്നതിനുള്ള ചെലവ് ഏകദേശം 45 ആയിരം ഡോളറായി കണക്കാക്കപ്പെടുന്നു). വരാനിരിക്കുന്ന റിലീസുകളിലൊന്നിൽ, പബ്ലിക് കീ ഡിജിറ്റൽ സിഗ്നേച്ചർ അൽഗോരിതം "ssh-rsa" ഉപയോഗിക്കാനുള്ള കഴിവ് ഡിഫോൾട്ടായി അപ്രാപ്‌തമാക്കാൻ അവർ പദ്ധതിയിടുന്നു, ഇത് SSH പ്രോട്ടോക്കോളിനായുള്ള യഥാർത്ഥ RFC-യിൽ പരാമർശിക്കുകയും പ്രായോഗികമായി വ്യാപകമായി തുടരുകയും ചെയ്യുന്നു (ഉപയോഗം പരിശോധിക്കുന്നതിന്. നിങ്ങളുടെ സിസ്റ്റങ്ങളിൽ ssh-rsa, "-oHostKeyAlgorithms=-ssh-rsa") എന്ന ഓപ്‌ഷൻ ഉപയോഗിച്ച് നിങ്ങൾക്ക് ssh വഴി ബന്ധിപ്പിക്കാൻ ശ്രമിക്കാം.

OpenSSH-ലെ പുതിയ അൽഗോരിതങ്ങളിലേക്കുള്ള മാറ്റം സുഗമമാക്കുന്നതിന്, ഭാവിയിൽ ഒരു റിലീസിൽ UpdateHostKeys ക്രമീകരണം ഡിഫോൾട്ടായി പ്രവർത്തനക്ഷമമാക്കും, ഇത് ക്ലയൻ്റുകളെ കൂടുതൽ വിശ്വസനീയമായ അൽഗോരിതങ്ങളിലേക്ക് സ്വയമേവ മൈഗ്രേറ്റ് ചെയ്യും. RFC2 RSA SHA-256 അടിസ്ഥാനമാക്കിയുള്ള rsa-sha512-8332/2 (ഓപ്പൺഎസ്എസ്എച്ച് 7.2 മുതൽ പിന്തുണയ്‌ക്കുകയും സ്ഥിരസ്ഥിതിയായി ഉപയോഗിക്കുകയും ചെയ്യുന്നു), ssh-ed25519 (ഓപ്പൺഎസ്എസ്എച്ച് 6.5 മുതൽ പിന്തുണയ്‌ക്കുന്നു), ecdsa-sha2-n256 അടിസ്ഥാനമാക്കിയുള്ള മൈഗ്രേഷനായി ശുപാർശ ചെയ്‌ത അൽഗോരിതങ്ങളിൽ ഉൾപ്പെടുന്നു. RFC384 ECDSA-ൽ (ഓപ്പൺഎസ്എസ്എച്ച് 521 മുതൽ പിന്തുണയ്ക്കുന്നു).

OpenSSH 8.2-ൽ, “ssh-rsa” ഉപയോഗിച്ച് കണക്റ്റുചെയ്യാനുള്ള കഴിവ് ഇപ്പോഴും ലഭ്യമാണ്, എന്നാൽ ഈ അൽഗോരിതം CASignatureAlgorithms ലിസ്റ്റിൽ നിന്ന് നീക്കംചെയ്‌തു, ഇത് പുതിയ സർട്ടിഫിക്കറ്റുകൾ ഡിജിറ്റലായി ഒപ്പിടുന്നതിന് അനുവദിച്ചിരിക്കുന്ന അൽഗോരിതം നിർവചിക്കുന്നു. അതുപോലെ, ഡിഫി-ഹെൽമാൻ-ഗ്രൂപ്പ്14-ഷാ1 അൽഗോരിതം പിന്തുണയ്ക്കുന്ന ഡിഫോൾട്ട് കീ എക്‌സ്‌ചേഞ്ച് അൽഗോരിതം നീക്കം ചെയ്‌തു. സർട്ടിഫിക്കറ്റുകളിൽ SHA-1 ഉപയോഗിക്കുന്നത് അധിക അപകടസാധ്യതയുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്, കാരണം ആക്രമണകാരിക്ക് നിലവിലുള്ള ഒരു സർട്ടിഫിക്കറ്റിനായി ഒരു കൂട്ടിയിടി തിരയാൻ പരിധിയില്ലാത്ത സമയമുണ്ട്, അതേസമയം ഹോസ്റ്റ് കീകളിൽ ആക്രമണ സമയം കണക്ഷൻ ടൈംഔട്ട് (ലോഗിൻഗ്രേസ്ടൈം) പരിമിതപ്പെടുത്തിയിരിക്കുന്നു. ).

ഓപ്പൺഎസ്എസ്എച്ച് 2 മുതൽ പിന്തുണയ്ക്കുന്ന ssh-keygen ഇപ്പോൾ rsa-sha512-7.2 അൽഗോരിതത്തിലേക്ക് സ്ഥിരസ്ഥിതിയായി പ്രവർത്തിക്കുന്നു, പഴയ OpenSSH റിലീസുകൾ പ്രവർത്തിക്കുന്ന സിസ്റ്റങ്ങളിൽ OpenSSH 8.2-ൽ സൈൻ ചെയ്‌തിരിക്കുന്ന സർട്ടിഫിക്കറ്റുകൾ പ്രോസസ്സ് ചെയ്യാൻ ശ്രമിക്കുമ്പോൾ ഇത് അനുയോജ്യത പ്രശ്‌നങ്ങൾ സൃഷ്ടിച്ചേക്കാം. ഒരു ഒപ്പ് സൃഷ്ടിക്കുമ്പോൾ, നിങ്ങൾക്ക് “ssh-keygen -t ssh-rsa” വ്യക്തമായി വ്യക്തമാക്കാം അല്ലെങ്കിൽ OpenSSH 2 മുതൽ പിന്തുണയ്ക്കുന്ന ecdsa-sha256-nistp384/521/5.7 അൽഗോരിതം ഉപയോഗിക്കുക).

മറ്റ് മാറ്റങ്ങൾ:

കോൺഫിഗറേഷൻ ഫയലിൻ്റെ നിലവിലെ സ്ഥാനത്ത് മറ്റ് ഫയലുകളുടെ ഉള്ളടക്കങ്ങൾ ഉൾപ്പെടുത്താൻ നിങ്ങളെ അനുവദിക്കുന്ന ഒരു ഇൻക്ലൂഡ് ഡയറക്‌ടീവ് sshd_config-ലേക്ക് ചേർത്തിട്ടുണ്ട് (ഫയൽ നാമം വ്യക്തമാക്കുമ്പോൾ ഗ്ലോബ് മാസ്‌ക്കുകൾ ഉപയോഗിക്കാം);
"no-touch-required" ഓപ്ഷൻ ssh-keygen-ലേക്ക് ചേർത്തു, ഇത് കീ ജനറേറ്റ് ചെയ്യുമ്പോൾ ടോക്കണിലേക്കുള്ള ആക്സസ് ഫിസിക്കൽ സ്ഥിരീകരിക്കേണ്ടതിൻ്റെ ആവശ്യകതയെ പ്രവർത്തനരഹിതമാക്കുന്നു;
പബ്ലിക് കീ പ്രാമാണീകരണവുമായി ബന്ധപ്പെട്ട വിവിധ ഓപ്ഷനുകൾ സംയോജിപ്പിക്കുന്ന sshd_config-ലേക്ക് ഒരു PubkeyAuthOptions നിർദ്ദേശം ചേർത്തിട്ടുണ്ട്. നിലവിൽ, ടോക്കൺ പ്രാമാണീകരണത്തിനായുള്ള ഫിസിക്കൽ സാന്നിദ്ധ്യ പരിശോധനകൾ ഒഴിവാക്കുന്നതിന് "നോ-ടച്ച്-ആവശ്യമില്ല" ഫ്ലാഗ് മാത്രമേ പിന്തുണയ്ക്കൂ. സാമ്യമനുസരിച്ച്, "no-touch-required" ഓപ്ഷൻ authorized_keys ഫയലിലേക്ക് ചേർത്തിരിക്കുന്നു;
കീകൾ സൃഷ്ടിക്കുമ്പോൾ അധിക FIDO അറ്റസ്റ്റേഷൻ സർട്ടിഫിക്കറ്റുകൾ എഴുതാൻ അനുവദിക്കുന്നതിന് ssh-keygen-ലേക്ക് "-O write-attestation=/path" ഓപ്ഷൻ ചേർത്തു. OpenSSH ഇതുവരെ ഈ സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിക്കുന്നില്ല, എന്നാൽ കീ ഒരു വിശ്വസനീയ ഹാർഡ്‌വെയർ സ്റ്റോറിൽ സ്ഥാപിച്ചിട്ടുണ്ടോയെന്ന് പരിശോധിക്കാൻ പിന്നീട് അവ ഉപയോഗിക്കാനാകും;
ssh, sshd ക്രമീകരണങ്ങളിൽ, IPQoS നിർദ്ദേശം വഴി ട്രാഫിക് മുൻഗണനാ മോഡ് സജ്ജീകരിക്കുന്നത് ഇപ്പോൾ സാധ്യമാണ്. എൽഇ ഡിഎസ്‌സിപി (ലോവർ-എഫോർട്ട് പെർ-ഹോപ്പ് ബിഹേവിയർ);
ssh-ൽ, “AddKeysToAgent=yes” എന്ന മൂല്യം സജ്ജീകരിക്കുമ്പോൾ, കീയിൽ ഒരു കമൻ്റ് ഫീൽഡ് ഇല്ലെങ്കിൽ, കീയിലേക്കുള്ള പാത ഒരു കമൻ്റായി സൂചിപ്പിക്കുന്ന ssh-ഏജൻ്റിലേക്ക് അത് ചേർക്കും. IN
ssh-keygen, ssh-agent എന്നിവയും ഇപ്പോൾ കീയിലെ കമൻ്റുകളായി ലൈബ്രറി പാത്തിന് പകരം PKCS#11 ലേബലുകളും X.509 വിഷയ നാമവും ഉപയോഗിക്കുന്നു;
ssh-keygen-ലേക്ക് DSA, ECDSA കീകൾക്കായി PEM കയറ്റുമതി ചെയ്യാനുള്ള കഴിവ് ചേർത്തു;
FIDO/U2F ടോക്കൺ ആക്സസ് ലൈബ്രറിയെ ഒറ്റപ്പെടുത്താൻ ഉപയോഗിക്കുന്ന ഒരു പുതിയ എക്സിക്യൂട്ടബിൾ, ssh-sk-helper ചേർത്തു;
zlib ലൈബ്രറി പിന്തുണയോടെ സമാഹരിക്കാൻ ssh, sshd എന്നിവയിലേക്ക് “--with-zlib” ബിൽഡ് ഓപ്ഷൻ ചേർത്തു;
RFC4253-ൻ്റെ ആവശ്യകതയ്ക്ക് അനുസൃതമായി, കണക്ഷൻ സമയത്ത് പ്രദർശിപ്പിക്കുന്ന ബാനറിൽ MaxStartup പരിധികൾ കവിഞ്ഞതിനാൽ ആക്സസ് തടയൽ സംബന്ധിച്ച മുന്നറിയിപ്പ് നൽകിയിട്ടുണ്ട്. ഡയഗ്നോസ്റ്റിക്സ് ലളിതമാക്കാൻ, ps യൂട്ടിലിറ്റി ഉപയോഗിക്കുമ്പോൾ ദൃശ്യമാകുന്ന sshd പ്രോസസ്സ് ഹെഡർ, ഇപ്പോൾ ആധികാരികതയുള്ള കണക്ഷനുകളുടെ എണ്ണവും MaxStartup പരിധിയുടെ നിലയും പ്രദർശിപ്പിക്കുന്നു;
ssh, ssh-agent എന്നിവയിൽ, $SSH_ASKPASS വഴി വ്യക്തമാക്കിയ, സ്ക്രീനിൽ ഒരു ക്ഷണം പ്രദർശിപ്പിക്കാൻ ഒരു പ്രോഗ്രാമിനെ വിളിക്കുമ്പോൾ, ക്ഷണത്തിൻ്റെ തരത്തോടുകൂടിയ ഒരു ഫ്ലാഗ് ഇപ്പോൾ അധികമായി കൈമാറുന്നു: “സ്ഥിരീകരിക്കുക” - സ്ഥിരീകരണ ഡയലോഗ് (അതെ/ഇല്ല), “ഒന്നുമില്ല ” - വിവര സന്ദേശം, “ശൂന്യം” — പാസ്‌വേഡ് അഭ്യർത്ഥന;
ഒരു നിർദ്ദിഷ്‌ട ഡിജിറ്റൽ സിഗ്‌നേച്ചറുമായി ബന്ധപ്പെട്ട ഉപയോക്താവിനായി അനുവദനീയമായ സൈനേഴ്‌സ് ഫയൽ തിരയുന്നതിനായി ssh-keygen-ലേക്ക് ഒരു പുതിയ ഡിജിറ്റൽ സിഗ്നേച്ചർ ഓപ്പറേഷൻ "ഫൈൻഡ്-പ്രിൻസിപ്പൽസ്" ചേർത്തു;
seccomp മെക്കാനിസം ഉപയോഗിച്ച് Linux-ൽ sshd പ്രോസസ്സ് ഐസൊലേഷനുള്ള മെച്ചപ്പെട്ട പിന്തുണ: IPC സിസ്റ്റം കോളുകൾ പ്രവർത്തനരഹിതമാക്കുന്നു, clock_gettime64(), clock_nanosleep_time64, clock_nanosleep() എന്നിവ അനുവദിക്കുന്നു.

അവലംബം: opennet.ru

FIDO/U8.2F ടു-ഫാക്ടർ പ്രാമാണീകരണ ടോക്കണുകൾക്കുള്ള പിന്തുണയോടെ OpenSSH 2-ന്റെ റിലീസ്

ഒരു അഭിപ്രായം ചേർക്കുക

FIDO/U8.2F ടു-ഫാക്ടർ പ്രാമാണീകരണ ടോക്കണുകൾക്കുള്ള പിന്തുണയോടെ OpenSSH 2-ന്റെ റിലീസ്

ഒരു അഭിപ്രായം ചേർക്കുക മറുപടി റദ്ദാക്കാൻ

ഒരു അഭിപ്രായം ചേർക്കുക