Гурван сарын хөгжлийн дараа суллах , SSH 2.0 болон SFTP протоколоор ажиллах нээлттэй үйлчлүүлэгч болон серверийн хэрэгжилт.
Шинэ хувилбар нь серверт хүссэнээс өөр файлын нэрийг дамжуулах боломжийг олгодог scp халдлагаас хамгаалах хамгаалалтыг нэмж өгдөг (эсрэгээр нь). , халдлага нь хэрэглэгчийн сонгосон лавлах эсвэл glob маскыг өөрчлөх боломжгүй болгодог). SCP-д сервер нь үйлчлүүлэгч рүү аль файл, лавлахыг илгээхийг шийддэг бөгөөд үйлчлүүлэгч зөвхөн буцаасан объектын нэрсийн зөв эсэхийг шалгадаг гэдгийг санаарай. Тодорхойлсон асуудлын мөн чанар нь utimes системийн дуудлага бүтэлгүйтвэл файлын агуулгыг файлын мета өгөгдөл гэж тайлбарлах явдал юм.
Халдагчийн удирддаг серверт холбогдох үед энэ функцийг utime-г дуудах үед бүтэлгүйтэлд хүргэдэг тохиргоонд (жишээлбэл, utimes-ыг хориглосон үед) scp ашиглан хуулах үед хэрэглэгчийн FS-д файлын нэр болон бусад агуулгыг хадгалахад ашиглаж болно. SELinux бодлого эсвэл системийн дуудлагын шүүлтүүр). Ердийн тохиргоонд utimes дуудлага бүтэлгүйтдэг тул бодит халдлага гарах магадлал хамгийн бага гэж тооцогддог. Нэмж дурдахад халдлага нь анзаарагдахгүй байх болно - scp руу залгахад өгөгдөл дамжуулах алдаа гарч ирдэг.
Ерөнхий өөрчлөлтүүд:
- Sftp-д өмнө нь хүлээн зөвшөөрөгдсөн боловч үл тоомсорлож байсан ssh болон scp-тэй адил "-1" аргументыг боловсруулахыг зогсоосон;
- sshd-д IgnoreRhosts-г ашиглах үед одоо гурван сонголт байна: "тийм" - rhosts/shosts-ыг үл тоомсорлох, "no" - rhosts/shosts-ыг хүндэтгэх, "зөвхөн shosts" - ".shosts"-ыг зөвшөөрөх боловч ".rhosts"-ыг идэвхгүй болгох;
- Ssh одоо Unix залгууруудыг дахин чиглүүлэхэд ашигладаг LocalFoward болон RemoteForward тохиргоонд %TOKEN орлуулалтыг дэмждэг;
- Нийтийн түлхүүртэй тусдаа файл байхгүй бол нууцлагдмал түлхүүр бүхий шифрлэгдээгүй файлаас нийтийн түлхүүрийг ачаалахыг зөвшөөрөх;
- Хэрэв системд libcrypto байгаа бол ssh болон sshd нь гүйцэтгэлийн хувьд хоцрогдсон зөөврийн суулгацын оронд энэ номын сангийн chacha20 алгоритмын хэрэгжилтийг ашиглаж байна;
- “ssh-keygen -lQf /path” командыг гүйцэтгэх үед хүчингүй болгох гэрчилгээний хоёртын жагсаалтын агуулгыг хаях боломжийг хэрэгжүүлсэн;
- Зөөврийн хувилбар нь SA_RESTART сонголттой дохио нь сонгох үйлдлийг тасалдаг системийн тодорхойлолтыг хэрэгжүүлдэг;
- HP/UX болон AIX системүүд дээр үүсэх асуудлууд шийдэгдсэн;
- Зарим Линукс тохиргоон дээр seccomp хамгаалагдсан хязгаарлагдмал орчин үүсгэхтэй холбоотой асуудлуудыг зассан;
- "--with-security-key-builtin" сонголтоор libfido2 номын сангийн илрүүлэлтийг сайжруулж, бүтээх асуудлыг шийдсэн.
OpenSSH хөгжүүлэгчид мөн SHA-1 хэш ашиглан алгоритмуудын задралын талаар дахин анхааруулав. өгөгдсөн угтвар бүхий мөргөлдөөний халдлагын үр нөлөө (мөргөлдөөнийг сонгох зардал нь ойролцоогоор 45 мянган доллараар үнэлэгддэг). Удахгүй гарах хувилбаруудын нэгэнд тэд SSH протоколын анхны RFC-д дурдсан, практикт өргөн тархсан хэвээр байгаа "ssh-rsa" дижитал гарын үсгийн олон нийтийн түлхүүрийг ашиглах боломжийг анхдагчаар идэвхгүй болгохоор төлөвлөж байна (хэрэглээг шалгахын тулд). ssh-rsa-г өөрийн системд байгаа бол та "-oHostKeyAlgorithms=-ssh-rsa" гэсэн сонголтоор ssh-ээр холбогдож үзээрэй).
OpenSSH дахь шинэ алгоритм руу шилжих ажлыг жигдрүүлэхийн тулд дараагийн хувилбаруудад UpdateHostKeys тохиргоог өгөгдмөлөөр идэвхжүүлэх бөгөөд энэ нь үйлчлүүлэгчдийг илүү найдвартай алгоритмууд руу автоматаар шилжүүлэх болно. Шилжүүлэхэд санал болгож буй алгоритмууд нь RFC2 RSA SHA-256 (OpenSSH 512-с хойш дэмжигдсэн бөгөөд анхдагчаар ашиглагддаг), ssh-ed8332 (OpenSSH 2-аас хойш дэмжигдсэн) болон ecdsa-sha7.2-nistp25519/6.5 дээр суурилсан rsa-sha2-256/384 орно. RFC521 ECDSA дээр (OpenSSH 5656-с хойш дэмжигддэг).
Сүүлийн хувилбарын дагуу "ssh-rsa" болон "diffie-hellman-group14-sha1" нь шинэ гэрчилгээнд дижитал гарын үсэг зурахыг зөвшөөрдөг алгоритмуудыг тодорхойлсон CASignatureAlgorithms жагсаалтаас хасагдсан, учир нь SHA-1-ийг гэрчилгээнд ашиглах нь нэмэлт эрсдэл үүсгэдэг. Үүний улмаас халдагчид одоо байгаа гэрчилгээний зөрчилдөөнийг хайх хязгааргүй хугацаатай байдаг бол хост түлхүүрүүд рүү халдсан хугацаа нь холболтын завсарлага (LoginGraceTime) -ээр хязгаарлагддаг.
Эх сурвалж: opennet.ru